Poważne zaniedbanie mogło narazić prywatność użytkowników Rabbit R1
Rabbit R1 był jedną z najgorętszych nowości na tegorocznych targach CES w Las Vegas. Członkowie grupy Rabbitude odkryli, że z powodu usterki w oprogramowaniu, postronne osoby mogły uzyskać dostęp do wrażliwych danych.
Nietuzinkowy Rabbit R1, o którym pisaliśmy dla was z nieukrywanym entuzjazmem, finalnie okazał się nie do końca dopracowanym projektem, przed którym jeszcze daleka droga. Póki co jednak pozostaje niszowym produktem dla geeków i entuzjastów nowatorskich rozwiązań AI. I dzięki takim właśnie osobom, dowiedzieliśmy się o poważnym problemie z jakością części kodu oprogramowania urządzenia.
Jako że R1 w swojej obecnej wersji nie sprostał oczekiwaniom części klientów, w sieci powstała grupa o nazwie Rabbitude. Projekt zrzesza ludzi, którzy za cel postawili sobie ulepszenie wydanego w ostatnich tygodniach produktu. Posługując się m.in. technikami inżynierii wstecznej, członkowie tego nieformalnego zespołu wnikliwie analizują kod urządzenia i sprawdzają jak R1 działa od środka.
Niedbalstwo programistów mogło doprowadzić do poważnego wycieku danych z Rabbit R1
Stojący za projektem Rabbitude działają transparentnie. Oprócz samej analizy kodu urządzenia i prześwietlenia sposobu jego działania publikują informacje o najciekawszych znaleziskach, chcąc dotrzeć do jak największej liczby zainteresowanych. Dzięki takiemu podejściu zwiększa się także szansa na to, że ktoś, kto nie należy do społeczności, wpadnie na pomysł jak ulepszyć software asystenta AI. W przypadku jednego z ostatnich wpisów na blogu grupy nie ma jednak mowy o ciekawostce, ale o poważnym błędzie, który naraża na szwank reputację marki Rabbit, ale przede wszystkim daje dostęp niemal każdemu do danych, jakie R1 przetwarza. A dane te pochodzą wprost od użytkowników, którzy mówią do urządzenia.
Okazało się, że 16 maja, badacze z Rabbitude znaleźli w kodzie R1 zahardkodowane (czyli wpisane na sztywno) klucze API zewnętrznych aplikacji, z którymi komunikuje się oprogramowanie urządzenia (API to interfejs pozwalający na łączenie się ze sobą różnego rodzaju programów i wymianę danych pomiędzy nimi). To tak, jakbyście zostawili pod wycieraczką klucz do swojego mieszkania i wyszli z domu, licząc na to, że złodziej nie wpadnie na to, by zajrzeć pod matę. Dzięki tym danym można było uzyskać dostęp informacji wymienianych z następującymi firmami i usługami:
- ElevenLabs (narzędzie text to speech — zamiany tekstu na mowę)
- Azure (starsze narzędzie text to speech)
- Yelp (wyszukiwanie recenzji)
- Google Maps (wyszukiwanie lokalizacji)
Odpytując powyższe źródła, można było bez większego problemu odczytać wszystkie odpowiedzi, jakich kiedykolwiek udzielił użytkownikowi R1 (w tym odpowiedzi zawierające dane osobowe), a także zmodyfikować treść tych odpowiedzi lub podmienić głos wypowiadanych słów. W skrajnym przypadku można było nawet uszkodzić oprogramowanie na tyle, że urządzenie przestawało działać.
O etyce korzystania z AI. To co się dzieje na bookmediach to kosmos
Alarmujący wpis został opublikowany we wtorek 25 czerwca i jak w nim stwierdzono, pracownicy Rabbit mają pełną świadomość zagrożenia i jak do tamtej pory nie zareagowali. Aktywiści grupy Rabbitude oświadczyli jednocześnie, że ze względu na to, że klucze API wciąż znajdują się w kodzie, mając na względzie dobro użytkowników urządzenia, nie zdradzą nic więcej na ten temat, by nie dawać wskazówek osobom, które chciałyby wykorzystać błąd do niecnych celów. Natomiast twórcy urządzenia w przesłanym redakcji Engadget oświadczeniu przekazali, że o„rzekomym naruszeniu danych” dowiedzieli się dopiero z notatki opublikowanej na blogu Rabbitude, oraz że zespół ds. bezpieczeństwa podjął natychmiastowe działania w tej sprawie.
W tej chwili nie jesteśmy świadomi wycieku danych klientów ani naruszenia naszych systemów. Jeśli dowiemy się o innych istotnych informacjach, przekażemy aktualizację, gdy uzyskamy więcej szczegółów.
Nie jesteśmy w stanie jednoznacznie stwierdzić, która ze stron mówi prawdę. Niemniej jednak to wydarzenie powinno (kolejny raz) przypomnieć nam, że każde dane, jakie przesyłamy przez sieć, mogą któregoś dnia wyciec. Warto mieć tego świadomość, zwłaszcza w obecnym czasie, gdy coraz częściej korzystamy z rozwiązań AI w formie czatów.
