兔兔和它的R1 AI小工具再次受到攻击,这次比它的启动器实际上可以作为Android应用程序安装的时候要严重得多。一个名为Rabbitude的开发人员和研究人员小组表示,他们发现了公司代码库中硬编码的API密钥,使敏感信息有落入坏人之手的风险。
这些密钥本质上提供了访问兔兔帐户的第三方服务,如其文本到语音提供商ElevenLabs,以及404 Media确认的该公司的SendGrid帐户,这是它从兔兔发送电子邮件的方式。根据Rabbitude的说法,它对这些API密钥的访问——尤其是ElevenLabs API——意味着它可以访问R1设备给出的每一个响应。
Rabbitude昨天发表了一篇文章,称它在一个多月前获得了访问密钥的权限,但尽管知道这个漏洞,兔兔没有采取任何措施来保护信息。从那以后,该组织表示,它对大多数密钥的访问权已被撤销,这表明该公司轮换了这些密钥,但截至今天早些时候,它仍然可以访问SendGrid密钥。
兔兔在回应这件事的置评请求,于周三中午在其官网页面上发布了解决方案。公司发言人Ryan Fenwick表示,公司将更新页面,“提供可用的更新”。该公司在其网站上发表的声明呼应了兔兔昨天在其Discord频道上发表的一篇文章,称正在调查该事件,但尚未发现“我们的关键系统或客户数据安全受到任何损害”。
继今年春天大肆宣传后,兔兔R1证明了自己令人失望。电池寿命很差,它的功能集很简陋,它的人工智能生成的响应经常包含错误。该公司在短期内发布了软件更新,修复了电池消耗等漏洞,并从那时起继续发布更新,但R1的核心问题是过度承诺和大量交付不足仍然没有改变。像这样严重的安全漏洞会让我们更难赢回公众的信任。
2616
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
