L'actualité autour du Rabbit R1 n'a pas été la meilleure depuis son lancement. Des rapports faisant état de fonctionnalités médiocres aux nombreuses fonctionnalités encore en attente, l’assistant basé sur l’IA n’a pas répondu aux attentes. Il semble désormais qu’un problème de sécurité dans le code du Rabbit R1 pourrait entraîner une potentielle violation de données.
Si vous connaissez ne serait-ce qu'un peu le Rabbit R1, le nom « Rabbitude » vous est peut-être familier. Rabbitude est un projet communautaire visant à procéder à l'ingénierie inverse de l'appareil et de ses logiciels. L’équipe publie ses conclusions de temps en temps, et la plus récente est un peu inquiétante. Selon l'équipe Rabbitude, le code Rabbit R1 comprend des API qui offrent un accès à toutes les réponses données par l'appareil.
Certaines API du code Rabbit R1 « faciliteraient » une potentielle violation de données
En tant qu'assistant personnel, les réponses de l'appareil incluent souvent les informations personnelles de l'utilisateur. Ainsi, la découverte de l'équipe Rabbitude suggère que ces API pourraient permettre une violation des données des utilisateurs après une attaque potentielle. De plus, ces API permettent d'accéder aux options clés pour contrôler l'appareil. Selon le rapport, ils peuvent être utilisés pour modifier les réponses de l'appareil ou changer sa voix. Ils permettraient même de briquer le R1.
L’équipe Rabbitude les appelle des « clés API codées en dur critiques ». Ils ont été principalement développés pour les fonctions de synthèse vocale (et vice versa) optimisées par ElevenLabs et Azure. Également pour accéder aux avis Yelp et à Google Maps pour les exigences liées à la localisation. Ils affirment que l’équipe Rabbit R1 était au courant du problème, mais n’a rien fait pour le résoudre.
Aucune donnée utilisateur n'a été exposée, affirme l'équipe Rabbit R1
Pendant ce temps, l’équipe Rabbit R1 affirme n’être au courant d’aucune violation de données utilisateur. Cependant, ils enquêtent sur une situation connexe qui s'est produite le 25 juin. La société affirme qu'elle proposera des mises à jour à ce sujet à mesure qu'elle trouvera plus d'informations.
Après le message de l'équipe Rabbitude, la société a révoqué les clés d'ElevenLabs. Cela a affecté la fonctionnalité des appareils Rabbit R1 pendant un certain temps. Cependant, ils n'ont pas révélé s'ils avaient également révoqué les autres clés API signalées par Rabbitude.
