Rabbit R1 был выпущен в апреле и с момента своего официального запуска вызвал множество споров и критики из-за преувеличенных заявлений об автономной функциональности. Устройство также подверглось сомнениям за свою специализацию, так как многие считают, что оно могло бы существовать в виде приложения. Сообщается, что гаджет работает на сборке AOSP для Android и не соответствует обещаниям по обеспечению командного действия, поскольку его выпуск был преждевременным. Появилась новая проблема, связанная с кодовой системой R1, которая потенциально представляет серьезные угрозы безопасности.
Сообщество разработчиков Rabbitude заявило, что им удалось получить доступ к кодовой базе Rabbit и обнаружить жестко закодированные ключи API. Эти ключи представляют серьезную угрозу безопасности пользователей, поскольку любой может прочитать каждый ответ R1, изменить ответы и даже заменить голос R1. Пользовательские запросы должны были отправляться безопасно, а облачная система обработки под названием «кроличья нора» не должна была ставить под угрозу конфиденциальность данных клиентов. Однако встроенные в исходный код ключи API могут быть использованы третьими сторонами для доступа к конфиденциальной информации и создания уязвимостей безопасности.
Некоторые ответы R1 могут содержать ключевые данные от сервисов, таких как Azure, Yelp и Google Maps. Наибольшую угрозу представляла Eleven Labs, поскольку с её API-ключом команда Rabbitude могла получить полный доступ к истории сообщений, изменить голоса, внести поправки или даже полностью вывести из строя RabbitOS, удалив голоса.
Исследователи заявили, что Rabbit был полностью осведомлен о проблеме с мая, но не предпринял никаких действий, несмотря на возможную утечку данных. Они публично отрицали наличие проблем и утверждали, что только что узнали о них. Компания заявила: «На данный момент нам не известно об утечке данных клиентов или о компрометации наших систем».
Несмотря на это, Rabbit отозвал четыре ключа и временно вызвал сбой системы. Группа разработчиков продолжила информировать пользователей о потенциальных уязвимостях безопасности в R1. Они сообщили 404Media о наличии доступа к API для SendGrid и проинформировали издание через официальный домен Rabbit, представившись администратором, чтобы продемонстрировать возможные последствия.
Rabbit R1 вызвал множество споров и критики, а также продемонстрировал уязвимости, заставляя задуматься, стоит ли функциональность устройства всех сопутствующих проблем.