近日,備受關注的AI小工具Rabbit R1及其研發公司Rabbit陷入嚴重安全漏洞風波。安全研究團隊Rabbitude發現Rabbit程式碼庫中存在硬編碼的API金鑰,這些金鑰可存取Rabbit的多個關鍵帳戶,包括文字轉語音提供者ElevenLabs和SendGrid帳戶,這可能導致用戶敏感資訊外洩。 Rabbitude團隊已於一個月前發現此漏洞,但Rabbit公司反應遲緩,直到今日才部分解決問題。這次事件再次暴露出Rabbit R1產品在安全性和可靠性方面的嚴重不足,對其聲譽造成重大打擊。
Rabbit 和其R1 AI 小工具再次陷入麻煩,這次比我們發現其啟動器真的可以作為Android 應用程式安裝時要嚴重得多。
一群名為Rabbitude 的開發人員和研究人員發現了公司程式碼庫中硬編碼的API 金鑰,使敏感資訊面臨落入壞人之手的風險。這些金鑰基本上提供了對Rabbit 的帳戶的存取權限,其中包括文字轉語音提供者ElevenLabs,以及公司的SendGrid 帳戶。據Rabbitude 稱,它對這些API 金鑰的存取意味著它可以存取R1設備給出的每一個回應,這是非常嚴重的安全隱患。
Rabbitude 於昨日發布了一篇文章,稱其一個多月前就獲得了這些金鑰的存取權限,但儘管知道違規行為,Rabbit 卻沒有採取任何措施來保護資訊。儘管此後該組織表示其對大多數密鑰的存取已被撤銷,但直至今天早些時候,仍可存取SendGrid 密鑰。 Rabbit 透過指向其網站上的一個頁面作出回應,表示將「隨著資訊的逐步公佈進行更新」。
該公司網站上的聲明稱,Rabbit 正在調查這起事件,但尚未發現「我們的關鍵系統或客戶資料的安全受到任何損害」。
Rabbit R1在今年春季推出後備受關注,但實際表現令人失望。電池壽命差,功能簡陋,人工智慧產生的回應中常包含錯誤。儘管該公司發布了軟體更新修復了電池耗盡等問題,但R1過度承諾和交付嚴重不足的核心問題仍然沒有改變。而這次嚴重的安全漏洞使得贏回民眾信任變得更加困難。
劃重點:
- 一群名為Rabbitude 的開發人員和研究人員發現了公司程式碼庫中硬編碼的API 金鑰,使敏感資訊面臨落入壞人之手的風險。
- 儘管Rabbit 已採取措施來限制訪問,但安全隱患依然存在,令公眾信任重建變得更加困難。
- Rabbit R1在實際表現上存在多個問題,軟體更新並未解決其過度承諾和交付不足的核心問題。
Rabbit R1的安全漏洞事件再次提醒我們,人工智慧產品的安全性和可靠性至關重要。對Rabbit公司而言,及時修復漏洞、重建用戶信任刻不容緩,否則將面臨更大的市場風險和聲譽損失。 此事件也為其他AI公司敲響警鐘,需重視程式碼安全,避免類似事件發生。