Gli hacker affermano di avere accesso a un tesoro di dati utente di Rabbit R1
Aggiornamento del 26/06/24 alle 12:50:
Il collettivo di hacker e sviluppatori Rabbitude ha detto a Gizmodo che Rabbit ha finalmente revocato la chiave API originale di ElevenLabs, consentendo loro di accedere alle risposte dell'intelligenza artificiale degli utenti e al modello vocale del dispositivo. Tuttavia, c'è una nuova svolta. Il gruppo ora afferma di avere accesso anche al servizio di messaggistica interno di Rabbit.
Lettura consigliata
Lettura consigliata
- Spento
- Inglese
Contenuto relativo
In un post di mercoledì sul sito del gruppo, Rabbitude ha affermato che i produttori di Rabbit R1 hanno cancellato tutte le chiavi API precedentemente rivelate; uno era fatto così male che ha bloccato i dispositivi degli utenti per un breve periodo finché non è stato possibile ripristinare ElevenLabs. Tuttavia, il gruppo non era pronto a togliere Rabbit dai guai e ha condiviso che aveva ancora un'altra chiave API codificata in Rabbit. Questo era per Sendgrid, il servizio di posta elettronica utilizzato per il sottodominio r1.rabbit.tech. Il gruppo di hacker afferma che il dominio ospita fogli di calcolo contenenti dati sensibili degli utenti.
Contenuto relativo
Uno degli sviluppatori del gruppo ha condiviso un'e-mail con Gizmodo che sembra essere inviata dall'indirizzo [email protected] . Il gruppo afferma di aver inviato un'e-mail simile come prova più di un mese fa, ma che è passata inosservata agli sviluppatori di Rabbit.
Il gruppo ha inviato altre email dall'indirizzo [email protected] a Jason Koebler presso 404 Media . Quell'e-mail era stata precedentemente utilizzata per condividere i dettagli degli annunci stampa con i giornalisti.
Rabbit non ha risposto immediatamente alla richiesta di commento. Cercheremo di vedere se gli sviluppatori hanno altro da condividere sulla crescente violazione. Il nostro punto rimane valido: se stavi utilizzando un Rabbit R1, dovresti metterlo in pausa finché Rabbit non condividerà dettagli concreti sulla sua sicurezza interna.
Storia originale:
Quel doohickey AI minimalista da $ 200, arancione brillante e minimalista chiamato Rabbit R1 prometteva che sarebbe diventato il tuo compagno AI preferito. Invece, ha dimostrato che si trattava di una macchina malformata e cotta a metà che non poteva mantenere nessuna delle sue nobili promesse. Ora, secondo un gruppo di hacker white hat, la situazione è addirittura peggiore. Il team che si fa chiamare Rabbitude afferma di aver avuto accesso a tutte le chiavi API della base di codice di Rabbit R1 per oltre un mese, garantendo loro una sbirciatina a tutte le risposte di Rabbit, comprese tutte le informazioni sensibili offerte all'IA.
Tutto questo per dire che se sei ancora una di quelle piccole lepri che ancora coglie l'occasione di usare un Rabbit R1, dovresti smettere di farlo immediatamente.
Rabbitude ha affermato di aver ottenuto l'accesso al codice base di Rabbit il 16 maggio. Il team ha anche condiviso le chiavi API che consentono a Rabbit di connettersi a Google Maps e Yelp, il che fornisce ai modelli di intelligenza artificiale l'accesso a recensioni e indicazioni locali. Il team afferma inoltre di avere accesso alla chiave ElevenLabs , che è il sistema utilizzato da Rabbit per la sintesi vocale. Quest'ultimo è particolarmente importante per le operazioni quotidiane di Rabbit poiché consente agli hacker di ottenere una cronologia di tutti i messaggi di sintesi vocale passati e persino di bloccare il dispositivo eliminando completamente le voci.
Dopo che il gruppo di hacker ha pubblicato i suoi risultati martedì scorso, uno dei membri che si fa chiamare Eva online ha detto che ElevenLabs ha temporaneamente revocato la chiave API ElevenLabs, che ha anche spento tutti i dispositivi Rabbit per un certo periodo prima che tornassero online. Hanno detto: "Coniglio lo sapeva e non ha fatto nulla per risolverlo".
Gizmodo ha contattato Rabbit mercoledì mattina presto per un commento, ma non abbiamo ricevuto risposta immediatamente. La società ha dichiarato a Engadget di essere a conoscenza della presunta violazione ma di “non essere a conoscenza della fuga di dati dei clienti o di qualsiasi compromissione dei nostri sistemi”. Gizmodo ha anche chiesto a Rabbit se ha revocato eventuali chiavi API, anche se aggiorneremo questo post se ne sentiremo di più.
Il Rabbit R1 è già soggetto a fallimenti poiché fa molto affidamento su servizi cloud che non sono controllati direttamente dal team Rabbit. Il mese scorso, un'interruzione di ChatGPT ha reso temporaneamente il dispositivo completamente inutilizzabile . Gizmodo non ha potuto confermare in modo indipendente se Rabbit fosse andato offline a causa di qualsiasi ingerenza con l'API ElevenLabs. Abbiamo contattato il team di hacker per prove e commenti e aggiorneremo questa storia se ne sentiremo di più.
Il blogger tecnologico Ed Zitron ha già descritto dettagliatamente la trasformazione dell'azienda dal lavoro su un progetto di cripto-metaverso al suo dispositivo di intelligenza artificiale. Lo YouTuber CoffeeZilla ha anche analizzato alcuni degli aspetti più preoccupanti del dispositivo, inclusi alcuni "gravi problemi di privacy dei dati" dopo aver esaminato la base di codice di Rabbit. Ha menzionato “cose che gli autori malintenzionati potrebbero utilizzare per avere accesso a tutte le risposte che R1 ha mai fornito”.
Su Rabbitude Discord, il team afferma di aver lavorato con CoffeeZilla da quando hanno avuto accesso a quel codice più di un mese fa. Il team ha inoltre affermato: “Questo è reale. Il coniglio può ballarci intorno quanto vuole, ma è reale, ed è successo. Avevano un mese per cambiare le chiavi e non l'hanno fatto. Dipende da loro."
