Lanciato come un dispositivo rivoluzionario ma subito criticato per via dei suoi limiti in termini di funzionalità e usabilità, Rabbit R1 ha ora un problema di sicurezza molto rilevante. Si tratta di una vulnerabilità legate alle API Key utilizzate per l’accesso a servizi di terze parti che potrebbe rappresentare un rischio per i dati degli utilizzatori.
Per chi non lo conoscesse Rabbit 1 è uno smart assistant con feature di Intelligenza Artificiale che il suo creatore, Jesse Lyu, ha proposto come alternativa allo smartphone. Il device non prevede l’installazione di applicazioni, quando l’utente ha la necessità di effettuare un task non deve fare altro che formulare la propria richiesta al modello generativo sottostante.
Rabbit AI left critical API keys hardcoded and exposed in its code, which researchers claim would allow them to see "all Rabbit R1 responses ever given":https://t.co/PK6zbVveLj
— 404 Media (@404mediaco) June 26, 2024
Un’idea ambiziosa che però si è scontrata con alcune limitazioni a livello pratico, a cominciare dal fatto che l’AI del dispositivo si sarebbe dimostrata da subito poco performante. Questo a fronte di un prezzo non esattamente conveniente date le specifiche hardware, 199 dollari, a cui deve essere aggiunto quello per la connessione ad Internet.
Per quanto riguarda il problema di sicurezza citato in precedenza, esso riguarderebbe soprattutto (ma non solo) l’interazione tramite chiavi codificate con il servizio esterno AI ElevenLabs che funge da supporto per la generazione delle voci. In questo caso infatti le API Key sarebbero state revocate proprio per evitare possibili sottrazioni di dati sensibili.
Intervendo per risolvere la vulnerabilità, il rabbit security team ha pubblicato una pagina Web con la quale comuncare tutti gli aggiornamenti sugli interventi effettuati. Le indagini sulla vicenda sono ancora in corso e la società che fa capo al progetto ha optato per una rotazione continua delle API Key. Ciò potrebbe causare però dei momentanei downtime del dispositivo.
