تقنية

يحتوي Rabbit R1 على ثغرة أمنية كبيرة في الكود الخاص به


“يمكن تنزيل جميع إجابات (Rabbit) R1 المقدمة على الإطلاق”، بحسب لمجموعة بحث R1 تسمى Rabbitude.

لقد كان الأرنب وجهازه R1 AI موجودين بالفعل غارقة في أن تكون لا شيء آخر واحد الروبوت التطبيق ملفوفة في وسيلة للتحايل على الأجهزة، ولكن شيئًا أكثر إثارة للقلق يختمر.

التقرير (عبر الحافة) قال إن Rabbitude تمكن من الوصول إلى قاعدة التعليمات البرمجية واكتشف أن مفاتيح API مضمنة في الكود الخاص به. هذا يعني أن أي شخص لديه هذه المفاتيح يمكنه “قراءة كل إجابة قدمها كل r1، بما في ذلك تلك التي تحتوي على معلومات شخصية، وحجب كل r1، وتغيير إجابات كل r1 (و) استبدال صوت كل r1”. ووجد التحقيق أن مفاتيح واجهة برمجة التطبيقات هذه توفر إمكانية الوصول إلى ElevenLabs وAzure لإنشاء تحويل النص إلى كلام، وYelp للمراجعات، وخرائط Google لبيانات الموقع.

سرعة الضوء قابلة للسحق

والأسوأ من ذلك، أن شركة Rabbitude قالت إنها حددت الخرق الأمني ​​في 16 مايو وأن شركة Rabbitude كانت على علم بالمشكلة. لكن “مفاتيح واجهة برمجة التطبيقات تظل صالحة حتى وقت كتابة هذا التقرير” في 25 يونيو. يعني الوصول المستمر إلى مفاتيح واجهة برمجة التطبيقات (API) أن الجهات الفاعلة السيئة قد تتمكن من الوصول إلى البيانات الحساسة، وتعطل نظام RabbitOS بأكمله، وإضافة نص مخصص.

في اليوم التالي (26 يونيو)، نشر Rabbit بيانًا على خادم Discord الخاص به يفيد بأنه تم إبطال جميع مفاتيح واجهة برمجة التطبيقات الأربعة التي حددها Rabbitude. وقالت الشركة: “في الوقت الحالي، لسنا على علم بأي تسرب لبيانات العملاء أو اختراق أنظمتنا”.

لكن المؤامرة تكثف. رابيتودي ايضا وجد مفتاح واجهة برمجة التطبيقات الخامس الذي تم تضمينه في الكود، ولكن لم يتم الكشف عنه علنًا كجزء من التحقيق. وهذا ما يسمى sendgrid، والذي يوفر الوصول إلى جميع رسائل البريد الإلكتروني من النطاق الفرعي r1.rabbit.tech. في الوقت الذي نشرت فيه شركة Rabbitude تقرير المراقبة الخاص بها، كان مفتاح sendgrid API لا يزال نشطًا. الوصول إلى مفتاح API هذا يعني أن Rabbitude يمكنه الوصول إلى معلومات المستخدم الإضافية في وظائف جدول بيانات R1 وحتى إرسال رسائل البريد الإلكتروني من عناوين البريد الإلكتروني Rabbit.tech.

إذا كنت متشككًا بالفعل في قدرات R1 غير الناضجة والتي ألقت المحررة الفنية لـ Mashable، كيمبرلي جيديون، باللوم فيها على “الابتكار المتسرع، وخيبة الأمل، والجرأة” في مراجعتها، فقد تكون هذه علامة على أن Rabbit لا يستحق سعره، وفي أسوأ الأحوال، فهو غير قادر على الحفاظ على خصوصية بياناتك.




Source link

مقالات ذات صلة

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

زر الذهاب إلى الأعلى