Im Codesystem des Gerätes Rabbit R1 wurde eine gravierende Sicherheitslücke entdeckt. Die Firma bestreitet diese jedoch.
Nach Angaben von Rabbitude, einer Gemeinschaft von Rabbit R1-Entwicklern, ermöglicht die Schwachstelle Dritten den Zugriff auf Texteingaben, die über den R1 gesendet werden. Dadurch kann eine beliebige Anzahl sensibler Details offengelegt werden.
Das Rabbitude-Update beschreibt “mehrere kritische, fest codierte API-Schlüssel”, nachdem die Entwickler Zugriff auf die Rabbit-Codebasis erhalten haben.
Das Gerät des Start-ups, das hinter dem viel kritisierten AI Pin steckt, ist eine weitere KI-basierte Lösung für die Suche im Internet, das Hören von Musik, das Erstellen von Listen, das Durchführen von Übersetzungen und das Generieren von Bildern. All dies geschieht, indem man mit dem Gerät spricht oder die Kamera aktiviert, um die Umgebung des Benutzers zu erfassen.
NEW: Researchers say Rabbit left critical API keys used by R1 hard coded and exposed. They sent me emails using Rabbit admin accounts to prove this: https://t.co/tblK4hC24w
— Jason Koebler (@jason_koebler) June 26, 2024
Rabbit leugnet Schwachstelle
Wenn Nutzer Anfragen an den R1 richten, sollten die Anweisungen sicher an das “Kaninchenloch” gesendet werden, ein cloudbasiertes System, das KI-Anfragen empfängt und verarbeitet, um über angeschlossene Apps ein Ergebnis zu liefern. Wenn der Bericht stimmt, kann jeder, der Zugang zu den fest codierten Schlüsseln hat, eine Reihe sensibler Informationen abfangen, die in den Anfragen und Antworten enthalten sind.
Rabbitude behauptet, dass Rabbit sich dieses kritischen Vorfalls bewusst war, aber keine geeigneten Maßnahmen ergriffen hat, um ihn zu beheben. Als Reaktion darauf erklärte das Unternehmen gegenüber Engadget, dass “eine angebliche Datenpanne” gemeldet worden sei, aber nichts gefunden worden sei, was auf einen ernsthaften Fehler im System hindeute.
Rabbit erklärte:
“Zum jetzigen Zeitpunkt haben wir keine Kenntnis darüber, dass Kundendaten an die Öffentlichkeit gelangt sind oder unsere Systeme kompromittiert wurden. Sollten wir weitere relevante Informationen erhalten, werden wir ein Update zur Verfügung stellen, sobald wir mehr Details haben.
Es wurde nicht bestätigt, dass das Unternehmen die Schlüssel, mit denen Rabbitude angeblich Zugang zur Codebasis hatte, zurückgezogen hat.