Rabbit und sein R1 KI-Gadget stecken wieder in Schwierigkeiten, dieses Mal deutlich gravierender als bei der Entdeckung, dass der Starter als Android-App installiert werden kann.
Eine Gruppe von Entwicklern und Forschern namens Rabbitude hat hartcodierte API-Schlüssel im Firmen-Code entdeckt, wodurch sensible Informationen in die falschen Hände geraten könnten. Diese Schlüssel ermöglichen im Wesentlichen den Zugriff auf Rabbits Konten, darunter den Text-to-Speech-Anbieter ElevenLabs und das SendGrid-Konto des Unternehmens. Laut Rabbitude bedeutet der Zugriff auf diese API-Schlüssel, dass sie Zugriff auf jede Antwort haben, die das R1-Gerät liefert – ein schwerwiegender Sicherheitsmangel.
Rabbitude veröffentlichte gestern einen Artikel, in dem es heißt, dass sie bereits vor über einem Monat Zugriff auf diese Schlüssel hatten, Rabbit aber trotz Kenntnis des Verstoßes nichts unternommen hat, um die Informationen zu schützen. Obwohl die Organisation später angab, dass der Zugriff auf die meisten Schlüssel widerrufen wurde, war der Zugriff auf den SendGrid-Schlüssel bis heute Morgen noch möglich. Rabbit reagierte mit einem Verweis auf eine Seite auf seiner Website und erklärte, dass es „mit der Veröffentlichung weiterer Informationen Updates geben wird“.
In einer Erklärung auf der Unternehmenswebsite heißt es, Rabbit untersuche den Vorfall, habe aber noch keine „Gefährdung unserer kritischen Systeme oder Kundendaten“ festgestellt.
Rabbit R1, das im Frühjahr dieses Jahres auf den Markt kam, erregte zwar Aufmerksamkeit, enttäuschte aber in der Praxis. Die Akkulaufzeit ist schlecht, die Funktionen sind spärlich und die KI-generierten Antworten enthalten oft Fehler. Obwohl das Unternehmen Software-Updates veröffentlicht hat, die Probleme wie den Akkuverbrauch behoben haben, bleibt das Kernproblem von übertriebenen Versprechungen und unzureichender Leistung bestehen. Die schwerwiegende Sicherheitslücke macht es noch schwieriger, das Vertrauen der Öffentlichkeit zurückzugewinnen.
Wichtigste Punkte:
- Eine Gruppe von Entwicklern und Forschern namens Rabbitude hat hartcodierte API-Schlüssel im Firmen-Code entdeckt, wodurch sensible Informationen in die falschen Hände geraten könnten.
- Obwohl Rabbit Maßnahmen ergriffen hat, um den Zugriff einzuschränken, besteht weiterhin eine Sicherheitslücke, die den Wiederaufbau des öffentlichen Vertrauens erschwert.
- Rabbit R1 weist in der Praxis mehrere Probleme auf, und Software-Updates haben das Kernproblem von übertriebenen Versprechungen und unzureichender Leistung nicht behoben.