Récemment, le très regardé gadget d'IA Rabbit R1 et sa société de développement Rabbit ont été impliqués dans de graves failles de sécurité. L'équipe de recherche en sécurité Rabbitude a découvert l'existence de clés API codées en dur dans la base de code Rabbit. Ces clés donnent accès à plusieurs comptes Rabbit clés, y compris les comptes du fournisseur de synthèse vocale ElevenLabs et SendGrid, ce qui peut conduire à la divulgation d'utilisateurs sensibles. information. L'équipe Rabbitude a découvert cette vulnérabilité il y a un mois, mais Rabbit a réagi lentement et n'a résolu que partiellement le problème aujourd'hui. Cet incident a une nouvelle fois révélé les graves lacunes du produit Rabbit R1 en termes de sécurité et de fiabilité, portant un coup dur à sa réputation.
Rabbit et son gadget R1 AI sont à nouveau en difficulté, cette fois bien plus sérieusement que lorsque nous avons découvert que son lanceur pouvait en fait être installé en tant qu'application Android.
Un groupe de développeurs et de chercheurs appelé Rabbitude a découvert des clés API codées en dur dans la base de code de l'entreprise, exposant ainsi des informations sensibles au risque de tomber entre de mauvaises mains. Les clés donnaient essentiellement accès aux comptes de Rabbit, qui incluent le fournisseur de synthèse vocale ElevenLabs, ainsi qu'au compte SendGrid de la société. Selon Rabbitude, son accès à ces clés API signifie qu'il a accès à chaque réponse donnée par l'appareil R1, ce qui constitue un risque de sécurité très sérieux.
Rabbitude a publié hier un article affirmant qu'il avait eu accès aux clés il y a plus d'un mois, mais bien qu'il soit au courant de la violation, Rabbit n'a rien fait pour protéger les informations. Bien que le groupe ait depuis déclaré que son accès à la plupart des clés avait été révoqué, les clés SendGrid étaient toujours accessibles plus tôt dans la journée. Rabbit a répondu en désignant une page de son site Web disant qu'il « mettrait à jour à mesure que les informations seraient disponibles ».
Rabbit enquête sur l'incident mais n'a identifié "aucun compromis avec la sécurité de nos systèmes critiques ou des données clients", indique un communiqué publié sur le site Internet de l'entreprise.
Le Rabbit R1 a reçu beaucoup d'attention après son lancement ce printemps, mais ses performances réelles ont été décevantes. La durée de vie de la batterie est médiocre, les fonctionnalités sont rudimentaires et les réponses générées par l'IA contiennent souvent des erreurs. Même si la société a publié des mises à jour logicielles qui ont résolu des problèmes tels que l'épuisement de la batterie, le problème principal du R1, à savoir les promesses excessives et la sous-livraison terrible, reste inchangé. Cette grave faille de sécurité rend encore plus difficile la reconquête de la confiance du public.
Souligner:
- Un groupe de développeurs et de chercheurs appelé Rabbitude a découvert des clés API codées en dur dans la base de code de l'entreprise, exposant ainsi des informations sensibles au risque de tomber entre de mauvaises mains.
- Bien que Rabbit ait pris des mesures pour restreindre l'accès, des risques de sécurité demeurent, ce qui rend plus difficile le rétablissement de la confiance du public.
- Rabbit R1 a de nombreux problèmes avec ses performances réelles, et les mises à jour logicielles n'ont pas résolu ses principaux problèmes de promesses excessives et de sous-livraison.
La vulnérabilité de sécurité de Rabbit R1 nous rappelle une fois de plus que la sécurité et la fiabilité des produits d’intelligence artificielle sont cruciales. Pour Rabbit, il est urgent de réparer les vulnérabilités en temps opportun et de rétablir la confiance des utilisateurs, sinon il sera confronté à des risques de marché plus importants et à des pertes de réputation. Cet incident a également sonné l'alarme et a incité d'autres sociétés d'IA à prêter attention à la sécurité du code afin d'éviter des incidents similaires.