“Todos [Rabbit] As respostas R1 já dadas podem ser baixadas,” de acordo com para um grupo de pesquisa R1 chamado Rabbitude.
Rabbit e seu dispositivo R1 AI já foram considerados nada mais do que um Aplicativo Android embrulhado em um dispositivo de hardware, mas algo muito mais alarmante está acontecendo.
Testei Rabbit R1 vs. Meta AI: O assistente de IA vencedor vai te surpreender
O relatório (via A beira) disse que Rabbitude obteve acesso à base de código e descobriu que as chaves de API estavam embutidas em seu código. Isso significa que qualquer pessoa com essas chaves poderia “ler todas as respostas que cada r1 já deu, incluindo aquelas que contêm informações pessoais, bloquear todos os r1s, alterar as respostas de todos os r1s [and] substituir a voz de cada r1.” A investigação descobriu que essas chaves de API são o que fornecem acesso ao ElevenLabs e ao Azure para geração de texto para fala, ao Yelp para avaliações e ao Google Maps para dados de localização.
Velocidade da luz Mashable
O que é pior, o Rabbitude disse que identificou a falha de segurança em 16 de maio e que o Rabbit estava ciente do problema. Mas “as chaves de API continuam válidas no momento da escrita”, em 25 de junho. O acesso contínuo às chaves de API significa que atores mal-intencionados podem acessar dados confidenciais, travar todo o sistema RabbitOS e adicionar texto personalizado.
No dia seguinte (26 de junho), o Rabbit emitiu um comunicado em seu servidor Discord dizendo que as quatro chaves de API identificadas pelo Rabbitude foram revogadas. “No momento, não temos conhecimento de nenhum vazamento de dados de clientes ou de qualquer comprometimento de nossos sistemas”, disse a empresa.
Mas a trama se complica. Coelho também encontrado uma quinta chave de API que foi incorporada ao código, mas não divulgada publicamente em sua investigação. Este é chamado sendgrid, que fornece acesso a todos os emails do subdomínio r1.rabbit.tech. No momento em que Rabbitude publicou seu relatório de acompanhamento, a chave API sendgrid ainda estava ativa. O acesso a esta chave de API significava que o Rabbitude poderia acessar informações adicionais do usuário nas funções de planilha do R1 e até mesmo enviar e-mails de endereços de e-mail da Rabbit.tech.
Se você já estava cético em relação aos recursos malfeitos do R1, que a editora de tecnologia do Mashable, Kimberly Gedeon, atribuiu à “inovação apressada, desilusão e impetuosidade” em sua análise, este pode ser um sinal de que o Rabbit, na melhor das hipóteses, não vale o dinheiro e, na pior, é incapaz de manter seus dados privados.
Tópicos
Privacidade de Inteligência Artificial
