На Rabbit R1, одном из новейших аппаратных устройств, созданных командой, ориентированной на ИИ, обнаружена довольно серьезная уязвимость безопасности. Эта уязвимость позволяет третьим лицам получать доступ к текстовым запросам, отправляемым через R1, которые могут содержать любой объем конфиденциальной информации.
Rabbit R1 стал еще одним продуктом, разработанным компанией, которая «специализируется» на разработке ИИ. По сути, это портативное устройство, которое позволяет вам отправлять запросы или просить его выполнить определенные задачи. Эти задачи могут включать «закажи мне пиццу» или «дай знать моему партнеру, что я опоздаю». Это не замена телефону, но довольно близко — по крайней мере, так задумывалось. Эти запросы должны быть безопасной передачей в «rabbithole» Rabbit, облачную систему обработки, которая принимает запросы ИИ и преобразует их в действия через ваши подключенные приложения.
Однако, как оказалось, эти передачи не так безопасны, как можно подумать. Согласно отчету от rabbitude — сообщества разработчиков Rabbit R1 — запросы могут быть получены через жестко закодированные API-ключи (через Engadget). В отчете отмечается, что эти ключи содержат ответы, которые устройства R1 возвращают.
Обновление 28.06: Rabbit с тех пор сообщил нам, что эти API-ключи были ротированы, отметив, что компания начала принимать меры для отзыва и обеспечения надлежащего хранения «секретов», или API-ключей. Однако компания не прокомментировала утверждение о том, что эти ключи, независимо от того, в чьих руках они находятся, по-прежнему содержат ответы R1 с конфиденциальными данными. Вы можете найти страницу безопасности компании на ее веб-сайте.
Существенная проблема здесь заключается в том, что эти ответы часто содержат конфиденциальную информацию. Эта информация затем может быть доступна злоумышленникам, имеющим доступ к жестко закодированным ключам. Среди приложений, упомянутых в отчете, — Google Maps, Yelp, Azure и другие. Легко понять, как некоторые из этих ответов могут содержать информацию, которую никто не хотел бы делать доступной без значительных усилий.
Rabbitude заявил , что Rabbit знал о проблеме безопасности R1 и не предпринимал никаких действий для ее устранения. Rabbit, в свою очередь, сообщил Engadget, что ему стало известно об «предполагаемой утечке данных», но не было обнаружено ничего, указывающего на уязвимость в системе.
На данный момент нам неизвестно о каких-либо утечках данных клиентов или о компрометации наших систем. Если мы получим какую-либо другую соответствующую информацию, мы предоставим обновление, как только у нас появятся более подробные сведения.
Rabbit
Rabbit R1 не чужд критике. Когда устройство было выпущено, быстро стало ясно, что устройство не готово к премьере, даже если это был всего лишь умный помощник за 200 долларов.