兔兔R1的设备代码中发现了一个巨大的安全漏洞-爱云资讯

（爱云资讯消息）兔兔和它的R1 AI小工具再次受到攻击，这次比它的启动器实际上可以作为Android应用程序安装的时候要严重得多。一个名为Rabbitude的开发人员和研究人员小组表示，他们发现了公司代码库中硬编码的API密钥，使敏感信息有落入坏人之手的风险。

这些密钥本质上提供了访问兔兔帐户的第三方服务，如其文本到语音提供商ElevenLabs，以及404 Media确认的该公司的SendGrid帐户，这是它从兔兔发送电子邮件的方式。根据Rabbitude的说法，它对这些API密钥的访问——尤其是ElevenLabs API——意味着它可以访问R1设备给出的每一个响应。

Rabbitude昨天发表了一篇文章，称它在一个多月前获得了访问密钥的权限，但尽管知道这个漏洞，兔兔没有采取任何措施来保护信息。从那以后，该组织表示，它对大多数密钥的访问权已被撤销，这表明该公司轮换了这些密钥，但截至今天早些时候，它仍然可以访问SendGrid密钥。

兔兔在回应这件事的置评请求，于周三中午在其官网页面上发布了解决方案。公司发言人Ryan Fenwick表示，公司将更新页面，“提供可用的更新”。该公司在其网站上发表的声明呼应了兔兔昨天在其Discord频道上发表的一篇文章，称正在调查该事件，但尚未发现“我们的关键系统或客户数据安全受到任何损害”。

继今年春天大肆宣传后，兔兔R1证明了自己令人失望。电池寿命很差，它的功能集很简陋，它的人工智能生成的响应经常包含错误。该公司在短期内发布了软件更新，修复了电池消耗等漏洞，并从那时起继续发布更新，但R1的核心问题是过度承诺和大量交付不足仍然没有改变。像这样严重的安全漏洞会让我们更难赢回公众的信任。

兔兔R1的设备代码中发现了一个巨大的安全漏洞

相关文章

人工智能技术

人工智能公司

人工智能硬件

人工智能产业