Il progetto di reverse engineering Rabbitude, condotto da un gruppo di appassionati della tecnologia, ha recentemente scoperto una grave falla di sicurezza nel codice del Rabbit R1, un dispositivo assistente IA. La squadra ha annunciato di essere entrata in possesso del codice sorgente il 16 maggio e di aver identificato "diversi API key critici in codice chiaro".
Queste API key permetterebbero a chiunque di accesso alle risposte fornite dal dispositivo AI Rabbit R1, inclusi i dati personali degli utenti. Potenzialmente, queste chiavi potrebbero anche essere usate per disabilitare i dispositivi R1, manipolare le risposte o cambiare la voce del dispositivo.
Gli API key trovati autenticano l'accesso ai servizi di ElevenLabs per il text-to-speech, Azure per il speech-to-text, Yelp per la ricerca di recensioni e Google Maps per le ricerche di posizione sul dispositivo AI Rabbit R1. In seguito alla divulgazione di questa scoperta, Rabbit ha revocato l'API key di Elevenlabs, causando temporanei malfunzionamenti dei dispositivi R1.
In risposta alle accuse, Rabbit ha rilasciato una dichiarazione ufficiale, sostenendo di essere stato informato di una "presunta violazione dei dati" solo il 25 giugno. La società ha poi dichiarato a Engadget che il team di sicurezza ha immediatamente avviato un'indagine. "Al momento non ci sono prove di una fuga di dati personali dei clienti o di una compromissione dei nostri sistemi. Se verranno alla luce ulteriori informazioni rilevanti, forniremo un aggiornamento con più dettagli", ha affermato Rabbit.