Het nieuws rond de Rabbit R1 was niet de beste sinds de lancering. Van rapporten over slechte functionaliteit tot de vele functies die nog in behandeling zijn: de AI-aangedreven assistent voldoet niet aan de verwachtingen. Nu lijkt het erop dat een beveiligingsprobleem in de Rabbit R1-code zou kunnen leiden tot een mogelijk datalek.
Als je zelfs maar een beetje bekend bent met de Rabbit R1, zal de naam “Rabbitude” je misschien bekend voorkomen. Rabbitude is een gemeenschapsproject om het apparaat en de bijbehorende software te reverse-engineeren. Het team publiceert van tijd tot tijd zijn bevindingen, en de meest recente is enigszins zorgwekkend. Volgens het Rabbitude-team bevat de Rabbit R1-code enkele API’s die toegang bieden tot alle antwoorden van het apparaat.
Sommige API’s van de Rabbit R1-code zouden een potentieel datalek ‘faciliteren’
Omdat het een persoonlijke assistent is, bevatten de reacties van het apparaat vaak de persoonlijke gegevens van de gebruiker. De ontdekking van het Rabbitude-team suggereert dus dat deze API’s na een mogelijke aanval een inbreuk op de gebruikersgegevens kunnen veroorzaken. Bovendien bieden deze API’s toegang tot belangrijke opties om het apparaat te besturen. Volgens het rapport kunnen ze worden gebruikt om de reacties van het apparaat te veranderen of de stem ervan te veranderen. Ze zouden zelfs toestaan dat de R1 werd gemetseld.
Het Rabbitude-team noemt ze “kritieke hardcoded API-sleutels”. Ze werden voornamelijk ontwikkeld voor tekst-naar-spraak (en vice versa) functies aangestuurd door ElevenLabs en Azure. Ook voor toegang tot Yelp-recensies en Google Maps voor locatiegerelateerde vereisten. Ze beweren dat het Rabbit R1-team op de hoogte was van het probleem, maar niets deed om het op te lossen.
Er zijn geen gebruikersgegevens openbaar gemaakt, beweert het Rabbit R1-team
Ondertussen beweert het Rabbit R1-team niet op de hoogte te zijn van enig gebruikersdatalek. Ze onderzoeken echter een gerelateerde situatie die zich op 25 juni heeft voorgedaan. Het bedrijf zegt dat ze hierover updates zullen geven zodra ze meer informatie vinden.
Na de post van het Rabbitude-team trok het bedrijf de ElevenLabs-sleutels in. Dit had een tijdlang invloed op de functionaliteit van de Rabbit R1-apparaten. Ze hebben echter niet onthuld of ze ook de andere door Rabbitude gerapporteerde API-sleutels hebben ingetrokken.