RabbitR1于4月问世,自正式推出以来,它就因夸大了独立设备的功能而引发争议和批评。RabbitR1还被质疑作为专用设备推出,而它本来可以作为应用程序推出。据说该设备运行在Android的AOSP版本上,由于发布时间过早,未能兑现提供命令到操作功能的承诺。围绕R1代码系统出现了一个新问题,可能带来严重的安全威胁。
RabbitR1开发人员社区指出R1的代码系统中存在一些严重的安全漏洞
Rabbitude是RabbitR1的开发者社区,他们声称可以访问Rabbit代码库,并偶然发现了硬编码的API密钥。这些密钥对用户构成了严重的安全威胁,因为任何人都有可能读取每个R1响应、修改响应,甚至用其访问权限替换R1的声音。
用户的请求本应安全发送,而名为“兔子洞”的云端处理系统本不应危及客户数据隐私,也不应直接嵌入源代码。任何第三方都可以使用API密钥来访问敏感和隐私信息,不良行为者可以利用这些安全漏洞。
以下服务使用了API,表明某些r1响应可能包含关键数据:Azure、Yelp、GoogleMaps等。ElevenLabs构成了最大的威胁,因为有了它的API密钥,Rabbitude团队可以完全访问消息历史记录、更改声音、进行修改,甚至只需删除声音即可完全使rabbitOS崩溃。
研究人员声称,Rabbit自5月以来就完全意识到了这个问题,尽管完全了解潜在的数据泄露,但并没有采取行动。他们公然否认Engadget目前存在任何系统问题,并声称刚刚听说了这个问题。该公司表示,
截至目前,我们尚未发现任何客户数据被泄露或我们的系统受到任何损害。”
即使Rabbit声称没有造成任何损害,它还是撤销了四个密钥,甚至导致系统暂时崩溃。开发人员小组并没有就此止步,而是让用户意识到R1的潜在安全漏洞。他们告知404Media可以访问电子邮件子域SendGrid的API,并通过Rabbit的官方域冒充管理员通知该出版物,以展示潜在影响。
RabbitR1似乎只引起了争议、批评和担忧,让我们质疑该设备的功能是否值得承担它带来的所有负担。