Après son lancement fin avril 2024, le Rabbit R1 a reçu des critiques mitigées, de nombreux évaluateurs le qualifiant de gadget peu utile ou à peine plus pratique que l'AI Pin de Humane. Joe Maring lui a attribué une étoile, déclarant : « Le Rabbit R1 était censé être l'un des gadgets IA les plus tendances de l'année. Au lieu de cela, c'est un désordre bogué, défaillant et infructueux à tous points de vue. »
Pour aggraver la situation, Rabbit fait désormais face à des rapports de violation de données qui pourraient avoir exposé des informations sensibles des utilisateurs. Rabbitude, un projet de rétro-ingénierie du Rabbit R1, a rapporté avoir accédé au code source de Rabbit et avoir trouvé plusieurs clés API en dur.
Bien que la liste ci-dessous ne soit pas exhaustive, elle permet à quiconque de faire ce qui suit :
- Lire chaque réponse fournie par le R1, y compris celles contenant des informations personnelles.
- Rendre tous les R1 inutilisables.
- Modifier les réponses de tous les R1.
- Remplacer la voix de chaque R1.
Les services suivants ont également vu leurs clés API exposées :
- ElevenLabs (pour la synthèse vocale)
- Azure (pour un ancien système de reconnaissance vocale)
- Yelp (pour les recherches de critiques)
- Google Maps (pour les recherches de localisation)
Rabbitude indique que les clés API d'ElevenLabs offrent des privilèges complets, permettant d'accéder à l'historique de tous les messages de synthèse vocale, de changer de voix, d'ajouter des remplacements de texte personnalisés, de supprimer des voix et de faire planter le backend de rabbitOS, rendant ainsi tous les appareils Rabbit R1 inutilisables. Cependant, Rabbit a révoqué la clé API d'ElevenLabs, ce qui a également causé des dysfonctionnements des appareils Rabbit pendant un certain temps.
Il s'agit d'un ensemble de permissions préoccupant pour tout appareil, d'autant plus que c'est pour un gadget IA activé par la voix et toujours allumé, équipé de caméras. Rabbitude affirme avoir contacté l'équipe de Rabbit, qui est consciente des clés API divulguées, mais qui a « choisi de l'ignorer », et ces clés continuent d'être valides à ce jour.
Endgadget a également contacté l'entreprise et a reçu la confirmation que Rabbit est au courant de la « prétendue » violation de données depuis le 25 juin. « Notre équipe de sécurité a immédiatement commencé à enquêter », a déclaré l'entreprise. « À l'heure actuelle, nous ne sommes pas au courant d'une fuite de données clients ou d'une compromission de nos systèmes. Si nous découvrons d'autres informations pertinentes, nous fournirons une mise à jour dès que nous aurons plus de détails. »
En matière d'échecs de sécurité, cela semble être particulièrement sérieux. Bien que le Rabbit R1 soit un appareil intéressant, il présente des défauts importants, et les problèmes de sécurité sont suffisamment graves pour que nous vous recommandions de cesser de l'utiliser, du moins pour l'instant. Après tout, il n'y a rien que votre Rabbit R1 à 199 $ (un forfait de données séparé est requis) puisse faire que votre smartphone ne puisse pas accomplir.
Classement
