"ניתן להוריד את כל התגובות R1 [ארנב] שניתנו אי פעם,"לפילקבוצת מחקר R1 בשם Rabbitude.

ארנב ומכשיר ה-R1 AI שלו כבר היושקע עללהוויהשום דבר יותרמאשר אאפליקציית אנדרואידעטוף בגאדג'ט חומרה, אבל משהו הרבה יותר מדאיג קורה.

הדו"ח (דרךהגבול) אמר ש-Rabbitude השיגה גישה לבסיס הקוד וגילתה שמפתחות API מחוברים לקוד שלו. זה אומר שכל אחד עם המפתחות האלה יכול "לקרוא כל תגובה שכל r1 נתן אי פעם, כולל כאלה המכילות מידע אישי, לבנים את כל ה-r1s, לשנות את התגובות של כל r1s [ו] להחליף את הקול של כל r1." החקירה גילתה שמפתחות ה-API הללו הם אלה שסיפקו גישה ל-ElevenLabs ול-Azure ליצירת טקסט לדיבור, Yelp לביקורות ומפות Google לנתוני מיקום.

מה שגרוע מכך, Rabbitude אמרה שהיא זיהתה את ליקוי האבטחה ב-16 במאי ושראביט היה מודע לנושא. אבל "מפתחות ה-API ממשיכים להיות תקפים נכון לכתיבת שורות אלו", ב-25 ביוני. המשך גישה למפתחות ה-API פירושה ששחקנים גרועים עלולים לגשת לנתונים רגישים, לקרוס את כל מערכת rabbitOS ולהוסיף טקסט מותאם אישית.

למחרת (26 ביוני) פרסמה Rabbit הצהרה בשרת הדיסקורד שלה שבה נאמר כי ארבעת מפתחות ה-API ש-Rabbitude זיהה בוטלו. "נכון לעכשיו, איננו מודעים לדליפה של נתוני לקוחות או פגיעה כלשהי במערכות שלנו", אמרה החברה.

אבל העלילה מתעבה. שפןנמצא גםמפתח API חמישי שהיה מחובר בקוד, אך לא נחשף בפומבי בחקירתו. זה נקרא sendgrid, המספק גישה לכל האימיילים לתת-דומיין r1.rabbit.tech. בזמן ש-Rabbitude פרסמה את דוח המעקב שלה, מפתח ה-API של sendgrid עדיין היה פעיל. גישה למפתח ה-API הזה פירושה ש-Rabbitude יכלה לגשת למידע משתמש נוסף בתוך פונקציות הגיליון האלקטרוני של R1 ואפילו לשלוח מיילים מכתובות דוא"ל של rabbit.tech.

אם כבר הייתם סקפטיים לגבי היכולות החצי אפויות של ה-R1 שעורכת Mashable Tech, קימברלי גדעון, האשימה ב"חדשנות, התפכחות ועזות נפש" בסקירה שלה, זה עשוי להיות הסימן שלך לכך שראביט במקרה הטוב, לא שווה את הכסף, ו במקרה הגרוע, לא מסוגל לשמור על פרטיות הנתונים שלך.