ثغرة أمنية في Rabbit R1 قد تعرض بيانات المستخدم الحساسة للوصول غير المصرح به

كشفت الفريق وراء "Rabbitude"، المشروع المجتمعي المعني بالهندسة العكسية لجهاز Rabbit R1، عن ثغرة أمنية كبيرة في كود الجهاز. هذه المشكلة قد تعرض المعلومات الحساسة للمستخدمين للوصول غير المصرح به.

في تحديث على موقع Rabbitude، أعلن الفريق أنه تم الوصول إلى قاعدة شفرة Rabbit في 16 مايو، مما كشف عن "عدة مفاتيح API مشفرة حرارية حرجة". هذه المفاتيح تتيح الوصول إلى جميع ردود جهاز R1 الذكي، بما في ذلك البيانات الشخصية، مما يشكل مخاطر مثل تعطيل أجهزة R1، والتلاعب بالردود، وتغيير صوت الجهاز.

تقوم مفاتيح API المعرضة للخطر بتوثيق الاتصالات مع عدة خدمات، بما في ذلك خدمة تحويل النص إلى كلام من ElevenLabs، وخدمة تحويل الكلام إلى نص من Azure، وYelp للمراجعات، وخرائط Google لخدمات الموقع. في تغريدة لاحقة، ذكر أحد أعضاء Rabbitude أن Rabbit كانت على علم بهذه الثغرة منذ شهر لكنها لم تقم بمعالجتها. وبعد إعلانهم، قامت Rabbit مؤقتًا بإلغاء مفتاح API الخاص بـ ElevenLabs، مما أثر على أجهزة R1.

في 25 يونيو، ادعت Rabbit أنها تلقت فقط معلومات عن "خرق محتمل للبيانات". وأفادت قائلة: "بدأ فريق الأمان لدينا على الفور التحقيق. حاليًا، لا نعلم بوجود أي تسرب لمعلومات العملاء أو أي تعرض لأنظمتنا. سنقوم بتقديم تحديثات حالما تتوفر المزيد من المعلومات." لم توضح الشركة ما إذا كانت قد ألغت المفاتيح التي حددها فريق Rabbitude.

يُعتبر جهاز R1 من Rabbit مساعدًا ذكياً مصممًا من قِبل Teenage Engineering، ويهدف لأداء مهام مثل طلبات توصيل الطعام واسترجاع المعلومات بسرعة. ومع ذلك، فقد قيمتنا له كانت ضعيفة، مشيرين إلى أن ميزاته الذكية غالبًا ما تفشل، وأن العديد من المستخدمين يمكنهم أداء نفس الوظائف بشكل أكثر فعالية باستخدام هواتفهم الذكية، مما يجعل سعره البالغ 199 دولارًا موضع تساؤل.