Rabbit 和其 R1 AI 小工具再次陷入麻烦,这一次比我们发现其启动器真的可以作为 Android 应用程序安装时要严重得多。

image.png

一群名为 Rabbitude 的开发人员和研究人员发现了公司代码库中硬编码的 API 密钥,使敏感信息面临落入坏人之手的风险。这些密钥基本上提供了对 Rabbit 的帐户的访问权限,其中包括文本转语音提供商 ElevenLabs,以及公司的 SendGrid 帐户。据 Rabbitude 称,它对这些 API 密钥的访问意味着它可以访问 R1设备给出的每一个响应,这是非常严重的安全隐患。

Rabbitude 于昨日发布了一篇文章,称其一个多月前就获得了这些密钥的访问权限,但尽管知道违规行为,Rabbit 却没有采取任何措施来保护信息。尽管此后该组织表示其对大多数密钥的访问已被撤销,但直至今天早些时候,仍可以访问 SendGrid 密钥。Rabbit 通过指向其网站上的一个页面作出回应,表示将 “随着信息的逐步公布进行更新”。

公司网站上的声明称,Rabbit 正在调查这一事件,但尚未发现 “我们的关键系统或客户数据的安全受到任何损害”。

Rabbit R1在今年春季推出后备受关注,但实际表现令人失望。电池寿命差,功能简陋,人工智能生成的响应中经常包含错误。尽管公司发布了软件更新修复了电池耗尽等问题,但 R1过度承诺和交付严重不足的核心问题仍然没有改变。而此次严重的安全漏洞使得赢回公众信任变得更加困难。

划重点:

- 一群名为 Rabbitude 的开发人员和研究人员发现了公司代码库中硬编码的 API 密钥,使敏感信息面临落入坏人之手的风险。

- 尽管 Rabbit 已采取措施来限制访问,但安全隐患依然存在,令公众信任重建变得更加困难。

- Rabbit R1在实际表现中存在多个问题,软件更新并未解决其过度承诺和交付不足的核心问题。