Уязвимость Rabbit R1 подвергает пользовательские данные потенциальному злоупотреблению
В Rabbit отрицают уязвимость системы после обвинений в доступе к конфиденциальной информации через жёстко закодированные ключи API.
В кодовой системе устройства Rabbit R1 был обнаружен серьезный недостаток безопасности, хотя компания отрицает существование какой-либо уязвимости.
По данным Rabbitude, сообщества разработчиков Rabbit R1, этот недостаток позволяет третьим лицам получать доступ к текстовым подсказкам, отправляемым через R1, потенциально раскрывая конфиденциальную информацию.
В обновлении Rabbitude выделены «несколько критических жестко запрограммированных ключей API», обнаруженных после того, как разработчики получили доступ к кодовой базе Rabbit.
Устройство, созданное стартапом, стоящим за критикуемым AI Pin, представляет собой инструмент на базе искусственного интеллекта для поиска в Интернете, прослушивания музыки, составления списков, перевода и генерации изображений. Эти задачи выполняются путем разговора с устройством или использования его камеры для анализа окружения пользователя.
Кролик отрицает уязвимость
Когда пользователи делают запросы к R1, их инструкции должны быть безопасно отправлены в «кроличью нору» — облачную систему, которая обрабатывает запросы ИИ и выдает результаты через подключенные приложения. Если сообщенная уязвимость верна, любой, у кого есть доступ к запрограммированным клавишам, может перехватить конфиденциальную информацию в подсказках и ответах.
Rabbitude утверждает, что Rabbit знал об этой критической проблеме, но не предпринял соответствующих действий для ее решения. В ответ компания сообщила Engadget, что было сообщено о «предполагаемой утечке данных», но нет никаких доказательств, указывающих на серьезный недостаток в системе.
Кролик заявил:
«На данный момент нам не известно ни об утечке данных клиентов, ни о каком-либо компрометации наших систем. Если мы узнаем какую-либо другую соответствующую информацию, мы предоставим обновленную информацию, как только получим более подробную информацию».
Компания не подтвердила, были ли отозваны ключи, к которым, по утверждению Rabbitude, имел доступ в кодовой базе.