AI Assistant Rabbit R1’in Kod Açığı Kullanıcı Verilerini Açığa Çıkarıyor

   Haziran 27, 2024  Posted in CyberSecurityNews


AI Yardımcısı Tavşan R1'in Kod Güvenlik Açığı Kullanıcı Verilerini Açığa Çıkarıyor

Bir grup geliştirici ve araştırmacı olan Rabbitude, Rabbit’in R1 AI asistanındaki bir güvenlik açığını açığa çıkardı.

Grup, API anahtarlarının şirketin kod tabanına sabit olarak eklendiğini keşfetti; bu uygulama, yaygın olarak büyük bir güvenlik açığı olarak kabul ediliyor.

Bu anahtarlar, Rabbit’in, metin-konuşma sağlayıcısı ElevenLabs ve Rabbit.tech alanından e-posta göndermek için kullanılan SendGrid hesabı da dahil olmak üzere üçüncü taraf hizmetleriyle hesaplarına erişim sağladı.

Rabbitude’a göre bu API anahtarlarına, özellikle de ElevenLabs API’sine erişim, R1 cihazları tarafından şimdiye kadar verilen her yanıta erişebilecekleri anlamına geliyordu.

Bu gizlilik ihlali endişe vericidir çünkü hassas kullanıcı verilerini olası kötüye kullanıma maruz bırakır.

Rabbitude dün bulgularını detaylandıran bir makale yayınladı ve anahtarlara bir aydan fazla bir süre önce erişim sağladıklarını belirtti.

Tavşan’ı ihlal konusunda bilgilendirmesine rağmen şirket, bilgiyi güvence altına almak için hemen harekete geçmedi.

Araştırmacılar, Rabbit'in güvenli verileri kötü aktörlere karşı savunmasız bıraktığını söylüyor.
Araştırmacılar, Rabbit’in güvenli verileri kötü aktörlere karşı savunmasız bıraktığını söylüyor.

Tavşanın Tepkisi ve Devam Eden Soruşturma

Tavşan, güvenlik ihlaline web sitesinde yayınlanan bir sayfayı işaret ederek yanıt verdi.

Scan Your Business Email Inbox to Find Advanced Email Threats - Try AI-Powered Free Threat Scan

Şirket sözcüsü Ryan Fenwick, şirketin olayı araştırdığını ve güncellemeler geldikçe paylaşacağını belirtti.

Sitedeki açıklama, Rabbit’in Discord kanalına yaptığı ve henüz kritik sistemlerinden veya müşteri verilerinin güvenliğinden herhangi bir ödün verilmediğini iddia eden bir gönderiyi yansıtıyor.

Ancak Rabbitude’un raporu aksini öne sürüyor. Grup, anahtarların çoğuna erişimin iptal edildiğini ve Tavşan’ın bunları değiştirdiğini ancak SendGrid anahtarına hala erişimlerinin olduğunu belirtti.

Bu kalıcı güvenlik açığı, Rabbit’in ihlale verdiği yanıtın etkinliği ve zamanındalığı hakkında soruları gündeme getiriyor.

Sorunlu Bir Lansman ve Aşınan Güven

Bu baharda büyük ilgiyle karşılanan lansmanından bu yana, yapay zeka asistanı Rabbit R1’in yolculuğu inişli çıkışlı oldu.

Başlangıçta cihaz, zayıf pil ömrü, sınırlı özellik seti ve yapay zeka tarafından oluşturulan yanıtlarda sık sık yapılan hatalar nedeniyle eleştirildi.

Şirket bu sorunların bir kısmını gidermek için bir yazılım güncellemesi yayınlasa da, aşırı vaat verme ve beklentileri karşılayamama temel sorunu devam ediyor.

Bu son güvenlik ihlali, kamuoyunun Rabbit ve R1 cihazına olan güvenini daha da zedeledi.

Sabit kodlanmış API anahtarları nedeniyle hassas kullanıcı verilerinin açığa çıkması, geniş kapsamlı sonuçlara yol açabilecek ciddi bir gözetimdir.

Rabbit araştırmasını sürdürürken ve kullanıcı tabanına güven vermeye çalışırken, şirket güvenilirliğini ve güvenini yeniden kazanmak için çetin bir mücadeleyle karşı karşıya kalır.

Rabbit’in R1 AI asistanının kod tabanında sabit kodlu API anahtarlarının bulunması, kullanıcı verilerini olası kötüye kullanıma maruz bırakan önemli bir güvenlik hatasıdır.

Tavşan’ın ihlale tepkisi, acil ve etkili olmaması nedeniyle eleştirildi.

Şirket bu sorunları çözmeye çalışırken, aynı zamanda ürün ve hizmetlerine yönelik halkın güvenini yeniden tesis etme gibi daha geniş bir zorlukla da mücadele etmelidir.

Free Webinar! 3 Security Trends to Maximize MSP Growth -> Register For Free



Source link