兔子 R1 越狱团队发现重大安全漏洞

这些密钥本质上提供了对 Rabbit 与第三方服务(如文本转语音提供商 ElevenLabs)的账户访问权限,以及——正如 _404 Media_ 所证实——该公司 SendGrid 账户的访问权限,这也是其从 rabbit.tech 域名发送邮件的方式。根据 Rabbitude 的说法,其对这些 API 密钥的访问——特别是 ElevenLabs API——意味着它可以访问 R1 设备所提供的每个回复。这非常糟糕。

Rabbitude 昨天发布了一篇文章,称其在一个多月前获得了这些密钥的访问权限,但尽管知道发生了泄露,Rabbit 却没有采取任何措施来保护这些信息。该组织表示,自那时起,其对大多数密钥的访问权限已被撤销,这表明该公司对密钥进行了轮换,但截至今天早些时候,它仍然可以访问 SendGrid 密钥

Rabbit 通过将我们指向其网站上的一个页面来回应我们的评论请求,该页面于周三中午发布。公司发言人 Ryan Fenwick 表示,该公司将在页面上提供更新,以“随着更新的发布提供更新”。其网站上的声明与 Rabbit 昨天发布在其 Discord 频道的帖子相呼应,该帖子表示正在调查此事,但尚未发现“任何关键系统或客户数据安全受到损害的迹象”。

在今年春天备受关注的发布之后,Rabbit R1 证明自己让人失望。电池寿命很差,功能集非常基础,其 AI 生成的回复经常包含错误。该公司很快发布了一个软件更新,修复了诸如电池耗电等错误,并且此后一直在发布更新,但 R1 的核心问题——承诺过多而交付不足——依然存在。而像这样严重的安全性漏洞使其更难赢得公众信任。

更新,6 月 26 日:添加了指向 Rabbit 网站上一个支持页面的链接,其中包含其对安全漏洞的回应。

免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,可联系本站进行二次审核删除:fireflyrqh@163.com。
Like (0)
Previous 2024年6月27日 上午6:32
Next 2024年6月27日 上午8:52

相关推荐