近日,备受关注的AI小工具Rabbit R1及其研发公司Rabbit陷入严重安全漏洞风波。安全研究团队Rabbitude发现Rabbit代码库中存在硬编码的API密钥,这些密钥可访问Rabbit的多个关键账户,包括文本转语音提供商ElevenLabs和SendGrid账户,这可能导致用户敏感信息泄露。Rabbitude团队已于一个月前发现此漏洞,但Rabbit公司反应迟缓,直至今日才部分解决问题。此次事件再次暴露出Rabbit R1产品在安全性和可靠性方面的严重不足,对其声誉造成重大打击。
Rabbit 和其 R1 AI 小工具再次陷入麻烦,这一次比我们发现其启动器真的可以作为 Android 应用程序安装时要严重得多。
一群名为 Rabbitude 的开发人员和研究人员发现了公司代码库中硬编码的 API 密钥,使敏感信息面临落入坏人之手的风险。这些密钥基本上提供了对 Rabbit 的帐户的访问权限,其中包括文本转语音提供商 ElevenLabs,以及公司的 SendGrid 帐户。据 Rabbitude 称,它对这些 API 密钥的访问意味着它可以访问 R1设备给出的每一个响应,这是非常严重的安全隐患。
Rabbitude 于昨日发布了一篇文章,称其一个多月前就获得了这些密钥的访问权限,但尽管知道违规行为,Rabbit 却没有采取任何措施来保护信息。尽管此后该组织表示其对大多数密钥的访问已被撤销,但直至今天早些时候,仍可以访问 SendGrid 密钥。Rabbit 通过指向其网站上的一个页面作出回应,表示将 “随着信息的逐步公布进行更新”。
公司网站上的声明称,Rabbit 正在调查这一事件,但尚未发现 “我们的关键系统或客户数据的安全受到任何损害”。
Rabbit R1在今年春季推出后备受关注,但实际表现令人失望。电池寿命差,功能简陋,人工智能生成的响应中经常包含错误。尽管公司发布了软件更新修复了电池耗尽等问题,但 R1过度承诺和交付严重不足的核心问题仍然没有改变。而此次严重的安全漏洞使得赢回公众信任变得更加困难。
划重点:
- 一群名为 Rabbitude 的开发人员和研究人员发现了公司代码库中硬编码的 API 密钥,使敏感信息面临落入坏人之手的风险。
- 尽管 Rabbit 已采取措施来限制访问,但安全隐患依然存在,令公众信任重建变得更加困难。
- Rabbit R1在实际表现中存在多个问题,软件更新并未解决其过度承诺和交付不足的核心问题。
Rabbit R1的安全漏洞事件再次提醒我们,人工智能产品的安全性和可靠性至关重要。对于Rabbit公司而言,及时修复漏洞、重建用户信任刻不容缓,否则将面临更大的市场风险和声誉损失。 此次事件也为其他AI公司敲响警钟,需重视代码安全,避免类似事件发生。