يحتوي Rabbit R1 على ثغرة أمنية كبيرة في الكود الخاص به
“الجميع [Rabbit] يمكن تنزيل استجابات R1 المقدمة على الإطلاق”، وفقًا لمجموعة بحث R1 تسمى Rabbitude.
لقد تم بالفعل غمر Rabbit وجهازه R1 AI لكونه ليس أكثر من مجرد تطبيق Android مغلف في أداة ذكية، ولكن هناك شيء أكثر إثارة للقلق يجري على قدم وساق.
لقد اختبرت Rabbit R1 مقابل Meta AI: سوف يفاجئك مساعد الذكاء الاصطناعي الفائز
قال التقرير (عبر The Verge) إن Rabbitude تمكن من الوصول إلى قاعدة التعليمات البرمجية واكتشف أن مفاتيح واجهة برمجة التطبيقات (API) تم دمجها في الكود الخاص به. وهذا يعني أن أي شخص لديه هذه المفاتيح يمكنه “قراءة كل استجابة قدمها كل r1، بما في ذلك تلك التي تحتوي على معلومات شخصية، وحجب كل r1s، وتغيير استجابات جميع r1s [and] استبدل صوت كل r1.” اكتشف التحقيق أن مفاتيح واجهة برمجة التطبيقات هذه هي التي توفر الوصول إلى ElevenLabs وAzure لإنشاء تحويل النص إلى كلام، وYelp للمراجعات، وخرائط Google لبيانات الموقع.
سرعة الضوء ماشابل
والأمر الأسوأ من ذلك هو أن شركة Rabbitude قالت إنها حددت الخلل الأمني في 16 مايو وأن شركة Rabbitude كانت على علم بالمشكلة. ولكن “مفاتيح واجهة برمجة التطبيقات (API) لا تزال صالحة حتى وقت كتابة هذا التقرير” في 25 يونيو. ويعني استمرار الوصول إلى مفاتيح واجهة برمجة التطبيقات (API) أن الجهات الفاعلة السيئة قد تتمكن من الوصول إلى البيانات الحساسة، وتعطل نظام RabbitOS بأكمله، وإضافة نص مخصص.
في اليوم التالي (26 يونيو) أصدرت شركة Rabbit بيانًا على خادم Discord الخاص بها قائلةً إنه تم إبطال مفاتيح API الأربعة التي حددها Rabbitude. وقالت الشركة: “حتى الآن، ليس لدينا علم بتسريب أي بيانات للعملاء أو أي اختراق لأنظمتنا”.
لكن المؤامرة تكثف. عثرت شركة Rabbitude أيضًا على مفتاح واجهة برمجة التطبيقات الخامس الذي تم تثبيته في الكود، ولكن لم يتم الكشف عنه علنًا في التحقيق الذي أجرته. يسمى هذا الخيار sendgrid، والذي يوفر الوصول إلى جميع رسائل البريد الإلكتروني إلى النطاق الفرعي r1.rabbit.tech. في الوقت الذي نشرت فيه شركة Rabbitude تقرير المتابعة الخاص بها، كان مفتاح sendgrid API لا يزال نشطًا. الوصول إلى مفتاح API هذا يعني أن Rabbitude يمكنه الوصول إلى معلومات المستخدم الإضافية ضمن وظائف جدول بيانات R1 وحتى إرسال رسائل البريد الإلكتروني من عناوين البريد الإلكتروني Rabbit.tech.
إذا كنت متشككًا بالفعل في قدرات R1 غير الناضجة والتي ألقت محررة Mashable Tech، كيمبرلي جيديون، باللوم فيها على “الابتكار المتسرع، وخيبة الأمل، والتهور” في مراجعتها، فقد تكون هذه علامة على أن Rabbit في أفضل الأحوال، ولا يستحق المال، و وفي أسوأ الأحوال، غير قادر على الحفاظ على خصوصية بياناتك.
المواضيع
خصوصية الذكاء الاصطناعي
