Die Nachrichten rund um den Rabbit R1 waren seit seiner Markteinführung nicht die besten. Von Berichten über schlechte Funktionalität bis hin zu den vielen noch ausstehenden Funktionen hat der KI-gestützte Assistent die Erwartungen nicht erfüllt. Nun scheint es, dass ein Sicherheitsproblem im Rabbit R1-Code zu einem potenziellen Datenverstoß führen könnte.
Wenn Sie mit dem Rabbit R1 auch nur ein bisschen vertraut sind, kommt Ihnen der Name „Rabbitude“ vielleicht bekannt vor. Rabbitude ist ein Community-Projekt zur Rückentwicklung des Geräts und seiner Software. Das Team veröffentlicht seine Ergebnisse von Zeit zu Zeit, und das jüngste ist ein wenig beunruhigend. Laut dem Rabbitude-Team enthält der Rabbit R1-Code einige APIs, die Zugriff auf alle Antworten des Geräts bieten.
Einige APIs des Rabbit R1-Codes würden einen potenziellen Datenschutzverstoß „erleichtern“
Da es sich bei dem Gerät um einen persönlichen Assistenten handelt, enthalten die Antworten des Geräts häufig die persönlichen Daten des Benutzers. Die Entdeckung des Rabbitude-Teams legt also nahe, dass diese APIs nach einem möglichen Angriff zu einem Datendiebstahl des Benutzers führen könnten. Darüber hinaus ermöglichen diese APIs den Zugriff auf wichtige Optionen zur Steuerung des Geräts. Dem Bericht zufolge können sie verwendet werden, um die Antworten des Geräts zu ändern oder seine Stimme zu verändern. Sie würden sogar das Bricken des R1 ermöglichen.
Das Rabbitude-Team bezeichnet sie als „kritische, fest codierte API-Schlüssel“. Sie wurden in erster Linie für Text-to-Speech-Funktionen (und umgekehrt) entwickelt, die von ElevenLabs und Azure unterstützt werden. Außerdem für den Zugriff auf Yelp-Bewertungen und Google Maps für standortbezogene Anforderungen. Sie behaupten, dass das Rabbit R1-Team sich des Problems bewusst war, aber nichts unternommen hat, um es zu lösen.
Laut Rabbit R1-Team wurden keine Benutzerdaten offengelegt
Unterdessen behauptet das Rabbit R1-Team, von keinem Verstoß gegen Benutzerdaten Kenntnis zu haben. Allerdings untersuchen sie einen ähnlichen Fall, der sich am 25. Juni ereignete. Das Unternehmen teilt mit, dass sie Updates dazu bereitstellen werden, sobald sie weitere Informationen finden.
Nach dem Post des Rabbitude-Teams widerrief das Unternehmen die ElevenLabs-Schlüssel. Dies beeinträchtigte die Funktionalität der Rabbit R1-Geräte eine Zeit lang. Sie gaben jedoch nicht bekannt, ob sie auch die anderen von Rabbitude gemeldeten API-Schlüssel widerriefen.
