L’équipe derrière Rabbitude, le projet d’ingénierie inverse formé par la communauté pour le Rabbit R1, a révélé avoir découvert un problème de sécurité avec le code de l’entreprise qui laisse les informations sensibles des utilisateurs accessibles à tous. Dans une mise à jour publiée sur le site Web de Rabbitude, l’équipe a déclaré avoir accédé à la base de code de Rabbit le 16 mai et trouvé « plusieurs clés API codées en dur critiques ». Ces clés permettent à quiconque de lire chaque réponse donnée par le dispositif R1 AI, y compris celles contenant les informations personnelles des utilisateurs. Ils pourraient également être utilisés pour briquer les appareils R1, modifier les réponses de R1 et remplacer la voix de l’appareil.
Les clés API qu’ils ont trouvées authentifient l’accès des utilisateurs au service de synthèse vocale d’ElevenLabs, au système de synthèse vocale d’Azure, à Yelp (pour les recherches d’avis) et à Google Maps (pour les recherches de localisation) sur l’appareil R1 AI. Dans un tweet, l’un des membres de Rabbitude a déclaré que la société était au courant du problème depuis un mois et « n’avait rien fait pour le résoudre ». Après avoir publié, ils ont déclaré que Rabbit avait révoqué la clé API d’Elevenlabs, bien que la mise à jour ait cassé un peu les appareils R1.
Dans une déclaration envoyée à Engadget, Rabbit a déclaré n’avoir été informé d’une « violation présumée de données » que le 25 juin. « Notre équipe de sécurité a immédiatement commencé à enquêter », a poursuivi la société. « Pour l’instant, nous n’avons connaissance d’aucune fuite de données client ni d’aucune compromission de nos systèmes. Si nous prenons connaissance d’autres informations pertinentes, nous fournirons une mise à jour une fois que nous aurons plus de détails. » Il n’a pas précisé s’il avait révoqué les clés que l’équipe Rabbitude avait déclaré avoir trouvées dans le code de l’entreprise.
Rabbit’s R1 est un appareil d’assistance IA autonome conçu par Teenage Engineering. Il est destiné à aider les utilisateurs à accomplir certaines tâches, comme passer des commandes de livraison de nourriture, ainsi qu’à rechercher rapidement des informations telles que la météo. Nous lui avons attribué une note assez faible dans notre examen, car nous avons constaté que sa fonctionnalité d’IA ne fonctionnait souvent pas. De plus, les utilisateurs peuvent simplement utiliser leur téléphone au lieu de devoir dépenser 199 $ supplémentaires pour acheter l’appareil.