Rabbitude 팀은 Rabbit R1 기기를 위한 커뮤니티 기반 리버스 엔지니어링 프로젝트를 진행하며, 이 기기의 코드에서 심각한 보안 취약점을 발견했습니다. 이 문제는 사용자들의 민감한 정보를 무단으로 노출시킬 가능성이 있습니다.
Rabbitude 웹사이트의 업데이트에 따르면, 팀은 5월 16일 Rabbit 코드베이스에 접근하여 "여러 중요한 하드코딩된 API 키"를 찾아냈습니다. 이 키들은 R1 AI 기기에서 개인 정보를 포함한 모든 응답에 접근할 수 있도록 하며, 기기가 벽돌이 되거나, 응답을 조작하거나, 장치의 음성을 변경하는 등의 위험을 초래합니다.
유출된 API 키는 ElevenLabs의 텍스트 음성 변환, Azure의 음성 텍스트 변환, Yelp의 리뷰, Google Maps의 위치 서비스 등을 포함한 여러 서비스에 대한 연결을 인증합니다. 이후 트윗에서 Rabbitude의 한 멤버는 Rabbit이 이 취약점을 한 달 전부터 알고 있었지만 이를 해결하지 않았다고 밝혔습니다. 발표 이후 Rabbit은 ElevenLabs의 API 키를 일시적으로 무효화하여 R1 기기 운영에 차질을 빚었습니다.
6월 25일, Rabbit은 "사실상의 데이터 유출"에 대한 통지를 받았다고 주장했습니다. 이들은 "우리 보안 팀이 즉시 조사에 들어갔습니다. 현재 고객 데이터 유출이나 시스템 침해에 대한 정보는 없습니다. 추가 정보가 확인되는 대로 업데이트하겠습니다."라고 언급했습니다. 그러나 회사는 Rabbitude 팀이 언급한 키를 무효화했는지에 대해서는 명확히 하지 않았습니다.
Rabbit의 R1은 Teenage Engineering이 설계한 AI 보조 기기로, 음식 배달 주문 및 빠른 정보 검색과 같은 작업을 위해 만들어졌습니다. 그러나 우리 리뷰에서는 AI 기능이 자주 실패해 많은 사용자들이 같은 작업을 스마트폰을 통해 더 효율적으로 수행할 수 있다고 평가하여 199달러의 가격이 의문스럽다고 지적했습니다.