Essas chaves forneciam essencialmente acesso às contas do Rabbit com serviços de terceiros, como seu provedor de conversão de texto em fala ElevenLabs e – conforme confirmado por 404 Mídia – a conta SendGrid da empresa, que é como ela envia e-mails de seu domínio Rabbit.tech. De acordo com Rabbitude, seu acesso a essas chaves de API – particularmente a API ElevenLabs – significava que ele poderia acessar todas as respostas já dadas por dispositivos R1. Isso é ruim com b maiúsculo.
Rabbitude publicou ontem um artigo dizendo que obteve acesso às chaves há mais de um mês, mas que apesar de saber da violação, Rabbit nada fez para proteger as informações. Desde então, o grupo afirma que seu acesso à maioria das chaves foi revogado, sugerindo que a empresa as alternou, mas até hoje ainda tinha acesso à chave SendGrid.
Rabbit respondeu ao nosso pedido de comentário apontando-nos para uma página em seu site, publicada ao meio-dia de quarta-feira. O porta-voz da empresa, Ryan Fenwick, disse que a empresa atualizará a página para “fornecer atualizações assim que estiverem disponíveis”. A declaração em seu site ecoa uma postagem que Rabbit fez ontem em seu canal Discord, dizendo que está investigando o incidente, mas ainda não encontrou “qualquer comprometimento de nossos sistemas críticos ou da segurança dos dados do cliente”.
Após o seu tão aguardado lançamento nesta primavera, o Rabbit R1 provou ser uma decepção. A duração da bateria era ruim, seu conjunto de recursos era básico e suas respostas geradas por IA geralmente continham erros. A empresa lançou uma atualização de software para corrigir bugs como o consumo de bateria e continuou a lançar atualizações desde então, mas o principal problema do R1 de promessas excessivas e entrega insuficiente permanece inalterado. E uma violação grave de segurança como esta torna muito mais difícil reconquistar a confiança do público.
Atualização, 26 de junho: Adicionado um link para uma página de suporte no site do Rabbit com sua resposta à violação de segurança.
theverge