Tin tặc tuyên bố họ có quyền truy cập vào kho dữ liệu người dùng Rabbit R1

Jun 26 2024
Một tập thể nhà phát triển nhỏ tuyên bố rằng từ lâu đã có một lỗ hổng lớn trong bảo mật của Rabbit, mặc dù Rabbit tiếp tục nói rằng họ “không biết” về bất kỳ sự xâm phạm nào.
Vỏ của Rabbit R1 được thiết kế bởi Teenage Engineering với thiết kế thực sự tối giản. Theo một nhóm tin tặc, độ bảo mật của thiết bị cũng ở mức tối thiểu tương tự.

Cập nhật ngày 26/06/24 lúc 12:50 trưa: 

Tập thể hacker và nhà phát triển Rabbitude nói với Gizmodo rằng Rabbit cuối cùng đã thu hồi khóa API ElevenLabs ban đầu, cho phép họ truy cập vào phản hồi AI của người dùng và mẫu giọng nói của thiết bị. Tuy nhiên, có một bước ngoặt mới. Nhóm hiện tuyên bố họ cũng có quyền truy cập vào dịch vụ nhắn tin nội bộ của Rabbit.

cách đọc được đề nghị

Thợ săn ma cà rồng Van Helsing sẽ dẫn dắt chương trình tội phạm mới nhất của CBS
Bạn sẽ phải đợi chiếc mũ bảo hiểm dành cho nhân vật phản diện ốm yếu của Acolyte trở thành một món đồ chơi ốm yếu
Trò chơi Funko Pop của Funko ra mắt Bộ sưu tập Funko Pop bằng Ouroboros bằng nhựa hoàn hảo

cách đọc được đề nghị

Thợ săn ma cà rồng Van Helsing sẽ dẫn dắt chương trình tội phạm mới nhất của CBS
Bạn sẽ phải đợi chiếc mũ bảo hiểm dành cho nhân vật phản diện ốm yếu của Acolyte trở thành một món đồ chơi ốm yếu
Trò chơi Funko Pop của Funko ra mắt Bộ sưu tập Funko Pop bằng Ouroboros bằng nhựa hoàn hảo
MSI Claw có làm xước thiết bị chơi game cầm tay của bạn không?
Chia sẻ
phụ đề
  • Tắt
  • Tiếng Anh
Chia sẻ video này
Facebook Twitter Email
Liên kết Reddit
MSI Claw có làm xước thiết bị chơi game cầm tay của bạn không?

Nội dung liên quan

Trình tạo giọng nói AI của ElevenLabs hiện có thể giả giọng nói của bạn bằng 30 ngôn ngữ
Mọi điều bạn nên biết trước khi mua Người bạn đồng hành AI Rabbit R1

Trong một bài đăng hôm thứ Tư trên trang web của nhóm, Rabbitude nói rằng các nhà sản xuất Rabbit R1 đã hủy tất cả các khóa API được tiết lộ trước đó; một cái được thực hiện kém đến mức khiến thiết bị của người dùng bị brick trong một thời gian ngắn cho đến khi nó có thể khôi phục lại ElevenLabs. Tuy nhiên, nhóm vẫn chưa sẵn sàng loại bỏ Rabbit và chia sẻ rằng họ còn có một khóa API khác được mã hóa cứng vào Rabbit. Cái này dành cho Sendgrid, dịch vụ email được sử dụng cho tên miền phụ r1.rabbit.tech. Nhóm hacker cho biết miền này chứa các bảng tính chứa dữ liệu nhạy cảm của người dùng.

Nội dung liên quan

Trình tạo giọng nói AI của ElevenLabs hiện có thể giả giọng nói của bạn bằng 30 ngôn ngữ
Mọi điều bạn nên biết trước khi mua Người bạn đồng hành AI Rabbit R1

Một trong những nhà phát triển của nhóm đã chia sẻ một email với Gizmodo, email này dường như được gửi từ địa chỉ [email protected] . Nhóm cho biết họ đã gửi một email tương tự như một bản thử nghiệm cách đây hơn một tháng, nhưng các nhà phát triển của Rabbit đã không chú ý đến điều đó.

Nhóm đã gửi thêm email từ địa chỉ [email protected] tới Jason Koebler tại 404 Media . Email đó trước đây được sử dụng để chia sẻ thông tin chi tiết về thông cáo báo chí với các nhà báo.

Rabbit đã không trả lời ngay lập tức yêu cầu bình luận. Chúng tôi sẽ theo dõi xem liệu các nhà phát triển có chia sẻ gì thêm về vi phạm ngày càng tăng hay không. Quan điểm của chúng tôi vẫn giữ nguyên: nếu bạn đang sử dụng Rabbit R1, bạn nên tạm dừng việc đó cho đến khi Rabbit chia sẻ bất kỳ chi tiết cụ thể nào về bảo mật nội bộ của nó.

Câu chuyện gốc:

Chiếc doohickey AI tối giản, màu cam rực rỡ trị giá 200 đô la đó có tên là Rabbit R1 hứa hẹn sẽ trở thành người bạn đồng hành với AI của bạn. Thay vào đó, nó đã chứng minh rằng nó là một cỗ máy không đúng định dạng và chưa hoàn thiện , không thể thực hiện được bất kỳ lời hứa cao cả nào của nó. Hiện nay, theo một nhóm hacker mũ trắng, mọi chuyện còn tệ hơn thế. Nhóm tự gọi mình là Rabbitude tuyên bố rằng họ đã có quyền truy cập vào tất cả các khóa API cơ sở mã của Rabbit R1 trong hơn một tháng, cho phép họ xem qua tất cả các phản hồi của Rabbit, bao gồm mọi thông tin nhạy cảm được cung cấp cho AI.

Tất cả điều này muốn nói rằng, nếu bạn vẫn là một trong những con thỏ nhỏ vẫn chớp lấy cơ hội sử dụng Rabbit R1, bạn nên ngừng làm việc đó ngay lập tức.

Rabbitude tuyên bố họ đã giành được quyền truy cập vào cơ sở mã Rabbit vào ngày 16 tháng 5. Nhóm cũng chia sẻ các khóa API cho phép Rabbit kết nối với Google Maps và Yelp, cho phép các mô hình AI truy cập vào các đánh giá và chỉ đường địa phương. Nhóm cũng cho biết họ có quyền truy cập vào khóa ElevenLabs , hệ thống mà Rabbit sử dụng để chuyển văn bản thành giọng nói. Điều cuối cùng đặc biệt quan trọng đối với hoạt động hàng ngày của Rabbit vì nó cho phép tin tặc lấy được lịch sử của tất cả các tin nhắn chuyển văn bản thành giọng nói trước đây và thậm chí biến thiết bị thành cục gạch bằng cách xóa hoàn toàn giọng nói.

Sau khi nhóm hacker công bố phát hiện của mình vào cuối ngày thứ Ba, một trong những thành viên theo dõi Eva trực tuyến cho biết ElevenLabs đã tạm thời thu hồi khóa API ElevenLabs, khóa này cũng tắt tất cả các thiết bị Rabbit trong một thời gian trước khi nó trực tuyến trở lại. Họ nói: “Thỏ biết chuyện đó và không làm gì để sửa chữa”.

Gizmodo đã liên hệ với Rabbit vào sáng sớm thứ Tư để nhận xét nhưng chúng tôi không nhận được phản hồi ngay lập tức. Công ty nói với Engadget rằng họ đã biết về cáo buộc vi phạm nhưng “không biết về bất kỳ dữ liệu khách hàng nào bị rò rỉ hoặc bất kỳ sự xâm phạm nào đối với hệ thống của chúng tôi”. Gizmodo cũng hỏi Rabbit liệu nó có thu hồi bất kỳ khóa API nào không, mặc dù chúng tôi sẽ cập nhật bài đăng này nếu có thêm thông tin.

Rabbit R1 vốn dễ gặp lỗi vì nó phụ thuộc quá nhiều vào các dịch vụ đám mây mà nhóm Rabbit không trực tiếp kiểm soát. Tháng trước, sự cố ngừng hoạt động ChatGPT đã tạm thời khiến thiết bị này hoàn toàn vô dụng . Gizmodo không thể xác nhận một cách độc lập liệu Rabbit có ngoại tuyến hay không do bất kỳ sự can thiệp nào vào API ElevenLabs. Chúng tôi đã liên hệ với nhóm hacker để có bằng chứng và nhận xét, đồng thời chúng tôi sẽ cập nhật câu chuyện này nếu có thêm thông tin.

Blogger công nghệ Ed Zitron đã trình bày chi tiết về quá trình chuyển đổi của công ty từ hoạt động trong dự án siêu dữ liệu tiền điện tử sang thiết bị AI của mình. YouTuber CoffeeZilla cũng đã phân tích một số khía cạnh đáng lo ngại hơn của thiết bị, bao gồm một số “mối lo ngại nghiêm trọng về quyền riêng tư dữ liệu” sau khi xem cơ sở mã của Rabbit. Anh ấy đề cập đến “những thứ mà những kẻ độc hại có thể sử dụng để có quyền truy cập vào tất cả các câu trả lời mà R1 đã từng đưa ra”.

Trên Rabbitude Discord, nhóm tuyên bố rằng họ đã làm việc với CoffeeZilla kể từ khi truy cập cơ sở mã đó hơn một tháng trước. Nhóm nghiên cứu cho biết thêm: “Điều này là có thật. Thỏ có thể nhảy múa tùy thích, nhưng đó là sự thật và điều này đã xảy ra. Họ có một tháng để thay chìa khóa, nhưng họ đã không làm vậy. Đó là ở họ.”