Hakerzy twierdzą, że mają dostęp do skarbu danych użytkowników Rabbit R1
Aktualizacja 26.06.24 o 12:50:
Kolektyw hakerów i programistów Rabbitude powiedział Gizmodo, że Rabbit w końcu unieważnił oryginalny klucz ElevenLabs API, umożliwiając im dostęp do odpowiedzi sztucznej inteligencji użytkowników i modelu głosu urządzenia. Jednak jest nowy zwrot akcji. Grupa twierdzi teraz, że miała również dostęp do wewnętrznej usługi przesyłania wiadomości Rabbit.
Sugerowane czytanie
Sugerowane czytanie
- Wyłączony
- język angielski
powiązana zawartość
W środowym poście na stronie grupy Rabbitude poinformował, że twórcy Rabbit R1 anulowali wszystkie ujawnione wcześniej klucze API; jeden był tak źle wykonany, że na krótki czas zablokował urządzenia użytkowników, dopóki nie mógł ponownie uruchomić ElevenLabs. Jednak grupa nie była gotowa, aby zdjąć Rabbita z haka i udostępniła, że ma jeszcze inny klucz API, który został zakodowany na stałe w Rabbicie. Ten był przeznaczony dla Sendgrid, usługi e-mail używanej w subdomenie r1.rabbit.tech. Grupa hakerów twierdzi, że w domenie znajdują się arkusze kalkulacyjne zawierające wrażliwe dane użytkowników.
powiązana zawartość
Jeden z programistów grupy udostępnił Gizmodo e-mail, który prawdopodobnie został wysłany z adresu [email protected] . Grupa twierdzi, że wysłała podobny e-mail w ramach testu ponad miesiąc temu, ale twórcy Rabbita nie zauważyli tego.
Grupa wysłała więcej e-maili z adresu kró[email protected] do Jasona Koeblera pod adresem 404 Media . Ten e-mail był wcześniej używany do udostępniania dziennikarzom szczegółów ogłoszeń prasowych.
Rabbit nie od razu odpowiedział na prośbę o komentarz. Będziemy sprawdzać, czy programiści mają coś więcej do powiedzenia na temat rosnącego naruszenia. Nasz punkt widzenia jest nadal aktualny: jeśli korzystałeś z Rabbit R1, powinieneś to wstrzymać, dopóki Rabbit nie poda żadnych konkretnych szczegółów na temat swojego bezpieczeństwa wewnętrznego.
Oryginalna historia:
Ten warty 200 dolarów, jaskrawo pomarańczowy, minimalistyczny doohickey AI o nazwie Rabbit R1 obiecał, że stanie się Twoim ulubionym towarzyszem AI. Zamiast tego udowodniło, że jest to zniekształcona i niedopieczona maszyna , która nie jest w stanie spełnić żadnej ze swoich wzniosłych obietnic. Zdaniem grupy hakerów „białych kapeluszy” jest jeszcze gorzej. Zespół nazywający siebie Rabbitude twierdzi, że ma dostęp do wszystkich kluczy API bazy kodu Rabbit R1 od ponad miesiąca, dzięki czemu może wglądnąć we wszystkie odpowiedzi Rabbit, w tym wszelkie wrażliwe informacje oferowane sztucznej inteligencji.
Wszystko to oznacza, że jeśli nadal jesteś jednym z tych małych zajęcy, którzy wciąż chętnie korzystają z okazji korzystania z Rabbit R1, powinieneś natychmiast przestać to robić.
Rabbitude twierdziło, że uzyskało dostęp do bazy kodu Rabbit 16 maja. Zespół udostępnił także klucze API, które umożliwiają Rabbitowi łączenie się z Mapami Google i Yelp, co zapewnia modelom AI dostęp do lokalnych recenzji i wskazówek. Zespół twierdzi również, że ma dostęp do klucza ElevenLabs , czyli systemu używanego przez Rabbit do zamiany tekstu na mowę. Ta ostatnia jest szczególnie ważna w codziennych operacjach Rabbit, ponieważ pozwala hakerom uzyskać historię wszystkich wcześniejszych wiadomości zamiany tekstu na mowę, a nawet zepsuć urządzenie, całkowicie usuwając głosy.
Po tym, jak grupa hakerów opublikowała swoje ustalenia pod koniec wtorku, jeden z członków, który łączy się z Eva online, powiedział, że ElevenLabs tymczasowo unieważniło klucz ElevenLabs API, co również spowodowało wyłączenie na pewien czas wszystkich urządzeń Rabbit, zanim ponownie wróciły do trybu online. Powiedzieli: „Królik wiedział o tym i nie zrobił nic, aby temu zaradzić”.
Gizmodo skontaktował się z firmą Rabbit wczesnym rankiem w środę, aby uzyskać komentarz, ale nie otrzymaliśmy od razu odpowiedzi. Firma powiedziała Engadget , że była świadoma rzekomego naruszenia, ale „nie była świadoma wycieku danych klientów ani żadnego zagrożenia dla naszych systemów”. Gizmodo zapytał także Rabbita, czy unieważnił jakiekolwiek klucze API, chociaż zaktualizujemy ten post, jeśli usłyszymy więcej.
Rabbit R1 jest już podatny na awarie, ponieważ w dużym stopniu opiera się na usługach w chmurze, które nie są bezpośrednio kontrolowane przez zespół Rabbit. W zeszłym miesiącu awaria ChatGPT tymczasowo uczyniła urządzenie całkowicie bezużytecznym . Gizmodo nie mógł niezależnie potwierdzić, czy Królik przeszedł w tryb offline z powodu jakiejkolwiek ingerencji w interfejs API ElevenLabs. Skontaktowaliśmy się z zespołem hakerów w celu uzyskania dowodu i komentarza, a jeśli usłyszymy więcej, zaktualizujemy tę historię.
Bloger technologiczny Ed Zitron szczegółowo opisał już transformację firmy z pracy nad projektem kryptowalutowego metaświata w urządzenie AI. YouTuber CoffeeZilla opisał także niektóre bardziej niepokojące aspekty urządzenia, w tym niektóre „poważne obawy dotyczące prywatności danych”, po zapoznaniu się z bazą kodów Rabbit. Wspomniał o „rzeczach, których złośliwi aktorzy mogą użyć, aby uzyskać dostęp do wszystkich odpowiedzi, których kiedykolwiek udzielił R1”.
Na Rabbitude Discord zespół twierdzi, że współpracuje z CoffeeZilla, odkąd ponad miesiąc temu uzyskał dostęp do tej bazy kodów. Zespół powiedział dalej: „To jest prawdziwe. Królik może wokół tego tańczyć, ile chce, ale to dzieje się naprawdę i to się wydarzyło. Mieli miesiąc na wymianę kluczy i tego nie zrobili. To ich sprawa.
