Rabbitudeチームは、Rabbit R1デバイスのコードに重大なセキュリティの欠陥を発見しました。この問題により、ユーザーの敏感な情報が不正アクセスにさらされる可能性があります。
Rabbitudeのウェブサイトでの更新によると、チームは5月16日にRabbitのコードベースにアクセスし、「いくつかの重要なハードコードされたAPIキー」を発見しました。これらのキーは、R1 AIデバイスからのすべての応答へのアクセスを許可し、個人データを含むリスクを伴い、デバイスの機能を停止させたり、応答を操作したり、デバイスの音声を変更したりする恐れがあります。
これにより、認証されたAPIキーは、ElevenLabsのテキスト読み上げ、Azureの音声認識、Yelpのレビュー、Googleマップの位置情報サービスなど、複数のサービスへの接続を認証します。その後のツイートで、Rabbitudeのメンバーは、Rabbitがこの脆弱性を1か月間認識していたが、対処しなかったと述べました。発表後、Rabbitは一時的にElevenLabsのAPIキーを取り消し、R1デバイスに影響を与えました。
6月25日、Rabbitは「疑わしいデータ侵害」という情報を受け取ったと主張しました。彼らは「セキュリティチームが直ちに調査を開始しました。現在、顧客データが漏洩したり、システムが侵害されたりしていることは確認されていません。詳細が分かり次第、更新を行います」と述べました。しかし、RabbitはRabbitudeチームによって特定されたキーが取り消されたかどうかについては明確にしませんでした。
RabbitのR1は、Teenage Engineeringによって設計されたAIアシスタントデバイスで、食事の配達注文や迅速な情報収集などのタスクを目的としています。しかし、私たちのレビューでは、AI機能がしばしば失敗し、多くのユーザーがスマートフォンを使って同じ機能をより効果的に実行できるため、199ドルの価格が疑問視されています。
この事態に対処するため、ユーザーはR1デバイスのセキュリティに特に注意を払う必要があります。