返回上一页  首页 | cnbeta报时: 16:19:24
热门AI硬件Rabbit R1被发现会泄露用户私密对话 竟使用硬编码API
发布日期:2024-06-27 15:05:03  稿源:蓝点网

事实证明绝对不要相信任何网站、应用、硬件开发商所说的通过多种方式加密并保护用户隐私,没被发现问题前都说是隐私为先、高强度加密,一旦被发现问题就会让人知道这些开发商在安全方面的工作是多么脆弱。

Rabbit R1 是一款 AI 问答玩具,即内置麦克风和网络连接,用户可以直接通过 Rabbit R1 与 AI 模型进行语音对话,这个小硬件此前有着非常高的热度。

和大多数硬件开发商一样 Rabbit R1 的制造商在官网宣传使用多种安全措施保护用户隐私,但在最近安全研究人员发现 Rabbit R1 使用硬编码的 API,拿到这个 API 后可以查询用户的所有问答和私密信息。

Rabbit R1 使用的 API 包括文本转语音服务 ElevenLabs、Azure 文本转语音系统、通过 Yelp 调用的商品评价和用于谷歌地图调用位置信息的接口。

这些 API 密钥可以被用来:

  • 查看用户与 R1 的所有对话内容

  • 远程破坏 R1 的后端服务从而让所有 R1 变砖

  • 改变 R1 的对话响应

  • 替换 R1 的声音输出

这家制造商的基础安全系统也存在安全漏洞,研究人员直接入侵了该系统并使用其电子邮件系统发送邮件来证明自己成功入侵,4 月份已经执行过类似操作但并未被发现,最近研究人员又测试了一次漏洞还是没有被修复。

值得注意的是制造商 Rabbitude 其实知道 Rabbit R1 中存在此类安全问题,但没有采取任何措施修复问题也没有发布任何安全公告。

研究人员至今不愿意透露漏洞的细节是因为他们不希望用户暴露在风险中,而不是出于对这家制造商的尊重,因为公布漏洞细节的话可能会给很多用户带来严重的安全问题。

我们在FebBox(https://www.febbox.com/cnbeta) 开通了新的频道,更好阅读体验,更及时更新提醒,欢迎前来阅览和打赏。
查看网友评论   返回完整版观看

返回上一页  首页 | cnbeta报时: 16:19:24

文字版  标准版  电脑端

© 2003-2024