Rabbit r1: attenzione ai pericoli per la privacy degli utenti

I dispositivi di intelligenza artificiale (AI) progettati per sostituire gli smartphone rappresentano un’innovazione ambiziosa, ma stanno affrontando più difficoltà del previsto. Un esempio emblematico è l’AI Pin, che ha fallito su tutta la linea, e anche il Rabbit r1, nonostante un buon inizio, sta cominciando a mostrare preoccupanti crepe. Inizialmente si sono sollevati dubbi sulla sua reale utilità, ma ora emergono gravi questioni riguardanti la sicurezza e la privacy degli utenti.

Il team di Rabbitu.de ha analizzato il codice del dispositivo Rabbit r1, scoprendo diverse “chiavi API critiche codificate” che consentono a chiunque di accedere a tutte le risposte fornite da ciascun dispositivo r1, comprese quelle contenenti informazioni personali degli utenti. Queste chiavi permettono anche di bloccare il funzionamento del dispositivo, alterare le risposte e modificare la voce del sistema.

Grandi problemi di sicurezza per i Rabbit r1

Le chiavi API identificate da Rabbitu.de autenticano l’accesso a vari servizi, tra cui il text-to-speech di ElevenLabs, il sistema di sintesi vocale di Azure, le ricerche di recensioni di Yelp e le ricerche sulla posizione di Google Maps. In particolare, le chiavi API di ElevenLabs offrono “pieni privilegi“, permettendo di ottenere l’intera cronologia dei messaggi vocali, aggiungere testi modificati, cambiare ed eliminare le voci. Questo può causare il crash del backend di RabbitOS, rendendo il dispositivo inutilizzabile.

Rabbitu.de accusa Rabbit di essere a conoscenza di questi problemi da tempo, senza aver preso misure per risolverli. Solo ieri l’azienda produttrice di r1 ha revocato la chiave API di ElevenLabs, causando il blocco di tutti i dispositivi r1 perché non è riuscita ad aggiornare la propria chiave sul server, come spiegato dall’hacktivista @xyz3va su X. Rabbit si è difesa dichiarando di aver scoperto il problema solo di recente e che il loro team di sicurezza ha immediatamente avviato un’indagine. La società ha dichiarato a Engadget che il team di sicurezza ha immediatamente iniziato ad indagare. Hanno aggiunto che al momento non sono a conoscenza di alcuna fuga di dati dei clienti o di alcuna compromissione dei loro sistemi e che forniranno aggiornamenti non appena saranno disponibili maggiori dettagli.

Nel frattempo, il consiglio di Rabbitu.de per i possessori di r1 è di effettuare un backup del dispositivo. Questa situazione mette in luce le criticità che i dispositivi AI devono ancora superare per poter realmente sostituire gli smartphone, dimostrando che la strada verso un’adozione sicura e diffusa è ancora lunga.