RabbitR1于4月问世，自正式推出以来，它就因夸大了独立设备的功能而引发争议和批评。RabbitR1还被质疑作为专用设备推出，而它本来可以作为应用程序推出。据说该设备运行在Android的AOSP版本上，由于发布时间过早，未能兑现提供命令到操作功能的承诺。围绕R1代码系统出现了一个新问题，可能带来严重的安全威胁。

RabbitR1开发人员社区指出R1的代码系统中存在一些严重的安全漏洞

Rabbitude是RabbitR1的开发者社区，他们声称可以访问Rabbit代码库，并偶然发现了硬编码的API密钥。这些密钥对用户构成了严重的安全威胁，因为任何人都有可能读取每个R1响应、修改响应，甚至用其访问权限替换R1的声音。

用户的请求本应安全发送，而名为“兔子洞”的云端处理系统本不应危及客户数据隐私，也不应直接嵌入源代码。任何第三方都可以使用API密钥来访问敏感和隐私信息，不良行为者可以利用这些安全漏洞。

以下服务使用了API，表明某些r1响应可能包含关键数据：Azure、Yelp、GoogleMaps等。ElevenLabs构成了最大的威胁，因为有了它的API密钥，Rabbitude团队可以完全访问消息历史记录、更改声音、进行修改，甚至只需删除声音即可完全使rabbitOS崩溃。

研究人员声称，Rabbit自5月以来就完全意识到了这个问题，尽管完全了解潜在的数据泄露，但并没有采取行动。他们公然否认Engadget目前存在任何系统问题，并声称刚刚听说了这个问题。该公司表示，

截至目前，我们尚未发现任何客户数据被泄露或我们的系统受到任何损害。”

即使Rabbit声称没有造成任何损害，它还是撤销了四个密钥，甚至导致系统暂时崩溃。开发人员小组并没有就此止步，而是让用户意识到R1的潜在安全漏洞。他们告知404Media可以访问电子邮件子域SendGrid的API，并通过Rabbit的官方域冒充管理员通知该出版物，以展示潜在影响。

RabbitR1似乎只引起了争议、批评和担忧，让我们质疑该设备的功能是否值得承担它带来的所有负担。