La start-up californiana Rabbit causó sensación el pasado mes de enero en Las Vegas, durante el Consumer Electronics Show (CES). Presentó su pequeña caja R1, equipada con un sistema operativo diseñado en torno a una interfaz de lenguaje natural. Con el tamaño de una pila de Post-its y un peso ultraligero (115 gramos), sus desarrolladores presentaron este pequeño dispositivo como un avance hacia “Experiencia intuitiva sin aplicaciones gracias al poder de la inteligencia artificial”. Ya no es necesario descargar y utilizar aplicaciones: Rabbit OS se encarga de eso.
Leer y modificar respuestas, sustituir voces, etc.
Con un precio de 200 dólares, la caja vendió más de 10.000 unidades en tan solo unos días. Rabbit envió su primer lote de pedidos anticipados de R1 a finales de marzo para entregas a finales de abril. Sin embargo, las vulnerabilidades de seguridad ya están apareciendo: el 16 de mayo, un equipo de investigadores y desarrolladores, llamado Rabbitude, tuvo acceso al código base de la caja y consiguió varias claves API críticas codificadas.
Este es un defecto importante, porque el acceso a estas claves API permite a cualquiera leer todas las respuestas dadas por R1, incluidas las que contienen datos personales, modificar las respuestas de todos los cuadros o incluso reemplazar sus voces. En su informe publicado el 25 de junio, Rabbitude especifica que estas claves API se refieren a las herramientas desarrolladas por ElevenLabs para su tecnología de conversión de texto a voz, Azure para su antiguo sistema de conversión de texto a voz, Yelp para la búsqueda de reseñas y Google Maps para la búsqueda. para reseñas.
La clave de ElevenLabs da acceso a privilegios de administrador
A finales de marzo, Rabbit anunció su asociación con la startup neoyorquina ElevenLabs. El objetivo era crear herramientas de audio de IA, con voz impulsada por ElevenLabs que respondiera a los comandos de voz realizados por los usuarios. Problema: La clave API de ElevenLabs otorga privilegios completos a las personas con acceso a ella. Entonces sería posible para todos obtener el historial de todos los mensajes de texto a voz, cambiar las voces, sustituir el texto por otro si las palabras u frases tienen la misma pronunciación… e incluso eliminar voces, lo que permitiría. dejar el sistema operativo fuera de servicio.
El grupo de investigadores y desarrolladores afirma que la mayoría, pero no todas, las claves han sido revocadas: en un artículo publicado el 26 de junio, Rabbitude reveló la existencia de una quinta clave API codificada aún activa, relacionada con SendGrid. Esta clave brinda acceso a un historial completo de correos electrónicos enviados para las funciones de edición de hojas de cálculo del R1, incluidos los datos del usuario. También le permite enviar correos electrónicos desde direcciones de correo electrónico “rabbit.tech”.
Aún no se han robado datos de clientes, según Rabbit
La startup, por su parte, afirmó en su sitio web que había realizado un inventario de todos los “secretos” actualmente en uso y que había comenzado a eliminarlos. “Revisamos los registros de auditoría de nuestras plataformas SaaS para comprobar si hay algún robo de datos de los clientes.explica la empresa con sede en Los Ángeles. Al momento de publicar esta actualización [le 28 juin à 3 h du matin]no hemos visto ningún compromiso en nuestros sistemas críticos o la seguridad de los datos de los clientes”.
Seleccionado para usted
