해커들은 방대한 Rabbit R1 사용자 데이터에 액세스할 수 있다고 주장합니다.

24/06/26 오후 12시 50분 업데이트: 

해커와 개발자 집단인 Rabbitude는 Rabbit이 마침내 원래 ElevenLabs API 키를 취소하여 사용자의 AI 응답과 장치의 음성 모델에 액세스할 수 있게 되었다고 Gizmodo에 말했습니다. 그러나 새로운 반전이 있습니다. 이제 이 그룹은 Rabbit의 내부 메시징 서비스에도 접근할 수 있었다고 주장합니다.

수요일 그룹 사이트에 게시된 게시물 에서 Rabbitude는 Rabbit R1 제조업체가 이전에 공개된 모든 API 키를 취소했다고 말했습니다. 하나는 너무 형편없기 때문에 ElevenLabs를 다시 복원할 수 있을 때까지 잠시 동안 사용자의 장치를 차단했습니다. 그러나 그룹은 Rabbit을 문제에서 벗어날 준비가 되어 있지 않았으며 Rabbit에 하드코딩된 또 다른 API 키가 있음을 공유했습니다. 이것은 r1.rabbit.tech 하위 도메인에 사용되는 이메일 서비스인 Sendgrid를 위한 것이었습니다. 해커 그룹은 해당 도메인이 민감한 사용자 데이터가 포함된 스프레드시트를 보관하고 있다고 밝혔습니다.

그룹 개발자 중 한 명이 [email protected] 주소에서 전송된 것으로 보이는 이메일을 Gizmodo와 공유했습니다. 이 그룹은 한 달 전에 테스트로 비슷한 이메일을 보냈지만 Rabbit의 개발자들은 이를 눈치채지 못했다고 말했습니다.

그룹은 [email protected] 주소에서 404 Media 의 Jason Koebler에게 더 많은 이메일을 보냈습니다 . 해당 이메일은 이전에 언론 발표 세부 정보를 언론인과 공유하는 데 사용되었습니다.

Rabbit은 논평 요청에 즉시 응답하지 않았습니다. 우리는 증가하는 침해에 대해 개발자들이 더 공유할 것이 있는지 알아보겠습니다. 우리의 요점은 여전히 ​​유효합니다. Rabbit R1을 사용하고 있다면 Rabbit이 내부 보안에 대한 구체적인 세부 정보를 공유할 때까지 이를 일시 중지해야 합니다.

오리지널 스토리:

Rabbit R1이라고 불리는 200달러짜리 타오르는 오렌지색의 미니멀리스트 AI doohickey 는 이것이 당신의 AI 동반자가 될 것이라고 약속했습니다. 대신에, 그것은 그 어떤 고상한 약속에도 부응할 수 없는 기형이고 반쯤 구운 기계 라는 것을 증명했습니다. 이제 화이트 햇 해커 그룹에 따르면 상황은 그보다 훨씬 더 심각합니다. 스스로를 Rabbitude 라고 부르는 팀은 한 달 넘게 Rabbit R1의 모든 코드베이스 API 키에 액세스할 수 있었으며 AI에 제공되는 민감한 정보를 포함하여 Rabbit의 모든 응답을 엿볼 수 있다고 주장합니다.

즉, 당신이 여전히 Rabbit R1을 사용할 기회에 뛰어드는 작은 토끼 중 하나라면 즉시 사용을 중단해야 한다는 것입니다.

Rabbitude는 5월 16일에 Rabbit 코드베이스에 대한 액세스 권한을 얻었다고 주장했습니다. 또한 팀은 Rabbit이 Google 지도 및 Yelp에 연결할 수 있도록 하는 API 키를 공유하여 AI 모델이 지역 리뷰 및 길찾기에 액세스할 수 있게 했습니다. 또한 팀은 Rabbit이 텍스트 음성 변환에 사용하는 시스템인 ElevenLabs 키 에 액세스할 수 있다고 밝혔습니다. 마지막 항목은 해커가 과거의 모든 텍스트 음성 변환 메시지 기록을 얻을 수 있고 심지어 음성을 완전히 삭제하여 장치를 차단할 수 있기 때문에 일상적인 Rabbit 작업에 특히 중요합니다.

해커 그룹이 화요일 늦게 결과를 발표한 후 Eva 온라인을 방문하는 회원 중 한 명은 ElevenLabs가 ElevenLabs API 키를 일시적으로 취소했으며 온라인으로 돌아오기 전에 모든 Rabbit 장치를 잠시 종료했다고 말했습니다. 그들은 “토끼는 그 사실을 알고도 고치려고 아무 것도 하지 않았다”고 말했습니다.

Gizmodo는 수요일 아침 일찍 Rabbit에게 연락하여 의견을 요청했지만 즉시 답변을 듣지 못했습니다. 회사는 엔가젯(Engadget)에 침해 혐의를 알고 있었지만 "고객 데이터가 유출되거나 우리 시스템이 손상되었다는 사실은 알지 못했다"고 말했습니다. Gizmodo는 또한 Rabbit에게 API 키를 취소했는지 물었습니다. 더 많은 내용을 들으면 이 게시물을 업데이트하겠습니다.

Rabbit R1은 Rabbit 팀이 직접 제어하지 않는 클라우드 서비스에 너무 많이 의존하기 때문에 이미 오류가 발생하기 쉽습니다. 지난 달 ChatGPT 중단으로 인해 기기가 일시적으로 완전히 쓸모없게 되었습니다 . Gizmodo는 ElevenLabs API에 대한 간섭으로 인해 Rabbit이 오프라인 상태가 되었는지 여부를 독립적으로 확인할 수 없었습니다. 우리는 증거와 논평을 위해 해커 팀에 연락했고, 더 많은 소식을 들으면 이 이야기를 업데이트하겠습니다.

기술 블로거 Ed Zitron은 이미 암호화폐 메타버스 프로젝트 작업에서 AI 장치로의 회사 전환을 자세히 설명 했습니다. 유튜버 CoffeeZilla는 또한 Rabbit의 코드베이스를 살펴본 후 "심각한 데이터 개인 정보 보호 문제"를 포함하여 장치의 더 우려되는 측면을 분석했습니다. 그는 "악의적인 행위자가 R1이 제공한 모든 응답에 액세스하기 위해 사용할 수 있는 것"에 대해 언급했습니다.

Rabbitude Discord에서 팀은 한 달 전에 해당 코드베이스에 액세스한 이후 CoffeeZilla와 협력해 왔다고 주장합니다. 이어 제작진은 “이것이 현실이다. 토끼는 원하는 대로 주위에서 춤을 출 수 있지만 그것은 현실이고 이런 일이 일어났습니다. 그들은 열쇠를 바꾸는 데 한 달이 걸렸지만 그러지 않았습니다. 그건 그들 몫이에요.”