Tavşan R1 Nisan ayında çıktı ve resmi lansmanından bu yana, bağımsız cihazın işlevselliğine ilişkin aşırı abartılı iddialar nedeniyle yalnızca tartışmalara ve eleştirilere yol açtı. Tavşan R1’in henüz bir uygulama olarak çıkabileceği halde özel bir cihaz olarak çıkması da sorgulandı. Gadget’ın Android için AOSP yapısında çalıştığı ve olması gerekenden daha erken piyasaya sürülmesi nedeniyle komut-hareket yeteneği sağlama vaadini yerine getiremediği söyleniyor. R1 kod sistemi etrafında dönen ve potansiyel olarak ciddi güvenlik tehditleri oluşturan yeni bir sorun ortaya çıktı.
Rabbit R1 geliştiricilerinden oluşan bir topluluk, R1’in kod sistemindeki bazı ciddi güvenlik açıklarına dikkat çekti
Hahamlık Rabbit R1’in geliştirici topluluğudur ve tavşan kod tabanına erişebileceklerini iddia ederek sabit kodlu API anahtarlarına rastlamışlardır. Herkes potansiyel olarak her R1 yanıtını okuyabildiğinden, yanıtları değiştirebildiğinden ve hatta erişimle R1’in sesini değiştirebildiğinden, anahtarlar kullanıcılar için ciddi bir güvenlik tehdidi oluşturur.
Kullanıcının isteklerinin güvenli bir şekilde gönderilmesi gerekiyordu ve tavşan deliği adı verilen bulut tabanlı işleme sisteminin müşteri verilerinin gizliliğinden ödün vermemesi ve doğrudan kaynak koduna yerleştirilmesi gerekiyordu. API anahtarları herhangi bir üçüncü tarafça hassas ve özel bilgilere erişim sağlamak için kullanılabilir ve kötü niyetli kişiler bu güvenlik açıklarından yararlanabilir.
Aşağıdaki hizmet, r1 yanıtlarından bazılarının nasıl önemli veriler içerebileceğini gösteren API’yi kullanır: Azure, Yelp, Google Haritalar ve diğerleri. En fazla tehdidi Eleven Labs oluşturuyordu; çünkü Rabbitude ekibi, API anahtarıyla mesaj geçmişine tam erişim elde edebiliyor, sesleri değiştirebiliyor, düzeltmeler yapabiliyor ve hatta sadece sesleri silerek Rabbitude OS’yi tamamen çökertebiliyordu.
Araştırmacılar, Rabbit’in mayıs ayından bu yana sorunun tamamen farkında olduğunu ve potansiyel veri ihlali konusunda tam bilgi sahibi olmasına rağmen bu konuda harekete geçmediğini iddia etti. Açıkça yalanladılar Gadget’ı etkinleştirin Sistemle ilgili mevcut herhangi bir sorundan haberdar olduğunu ve devam eden sorunu yeni duyduğunu iddia etti. Şirket şunları söyledi:
Şu an itibariyle herhangi bir müşteri verisinin sızdırıldığını veya sistemlerimize zarar verildiğini bilmiyoruz.”
Tavşan herhangi bir zarar verilmediğini iddia ederken bile dört anahtarı iptal etti ve hatta sistemin geçici olarak çökmesine neden oldu. Geliştirici grubu, kullanıcıları R1’in olası güvenlik istismarı konusunda bilinçlendirmek için burada durmadı. Bilgi verdiler 404Medya Bir e-posta alt alanı olan SendGrid için API’ye erişime sahip olduklarını ve potansiyel etkiyi göstermek için yönetici gibi görünerek yayını Rabbit’in resmi alanı aracılığıyla bilgilendirdiklerini belirtti.
Tavşan R1 yalnızca tartışmalara, eleştirilere ve güvenlik açığına yol açmış gibi görünüyor ve bu da gadget’ın işlevselliğinin, getirdiği tüm bagajı taşımaya değip değmeyeceğini sorgulamamıza neden oluyor.