RabbitR1越狱工具发现了巨大的安全漏洞其中一些漏洞可让任何人查看内部数据

导读 据发现,RabbitR1存在多个安全漏洞,这些漏洞不仅可以让威胁行为者读取他人的敏感信息,还可以让他们从rabbit.tech子域发送电子邮件。Rabbi...

据发现,RabbitR1存在多个安全漏洞,这些漏洞不仅可以让威胁行为者读取他人的敏感信息,还可以让他们从rabbit.tech子域发送电子邮件。

Rabbitude是一个围绕独特的AI助手设备而形成的社区,其目标是对该设备进行逆向工程,最近该社区发表了两篇独立的文章,概述了研究人员如何在2024年5月中旬获得Rabbit代码库的访问权限,并在代码中发现了“几个关键的硬编码API密钥”。

这些密钥允许任何人读取每个R1给出的每个响应,包括包含个人信息的响应、破坏所有r1设备、更改所有设备的响应、替换每个R1的声音等等。

硬编码API适用于ElevenLabs(用于文本转语音)、Azure(用于旧的文本转语音系统)、Yelp(用于评论查找)和GoogleMaps(用于位置查找)。

在得知这一事故后不久,RabbitR1背后的团队就撤销了这四个密钥,并表示没有证据表明客户数据被泄露,公司系统也遭到入侵。其中一个密钥被不当撤销,导致文本转语音服务暂时中断。

然而,Rabbitude表示,它故意忽略了第五个硬编码API,据称该API“可以访问在r1.rabbit.tech子域名上发送的电子邮件的完整历史记录”。研究人员声称,该子域名主要用于R1的电子表格编辑功能,这意味着它也包含用户信息。

研究人员宣称:“它还允许我们从rabbit.tech电子邮件地址发送电子邮件。”

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时候联系我们修改或删除,多谢。