热门AI硬件Rabbit R1被发现会泄露用户私密对话 竟使用硬编码API

热门AI硬件Rabbit R1被发现会泄露用户私密对话 竟使用硬编码API Rabbit R1 是一款 AI 问答玩具，即内置麦克风和网络连接，用户可以直接通过 Rabbit R1 与 AI 模型进行语音对话，这个小硬件此前有着非常高的热度。和大多数硬件开发商一样 Rabbit R1 的制造商在官网宣传使用多种安全措施保护用户隐私，但在最近安全研究人员发现 Rabbit R1 使用硬编码的 API，拿到这个 API 后可以查询用户的所有问答和私密信息。Rabbit R1 使用的 API 包括文本转语音服务 ElevenLabs、Azure 文本转语音系统、通过 Yelp 调用的商品评价和用于谷歌地图调用位置信息的接口。这些 API 密钥可以被用来：查看用户与 R1 的所有对话内容远程破坏 R1 的后端服务从而让所有 R1 变砖改变 R1 的对话响应替换 R1 的声音输出这家制造商的基础安全系统也存在安全漏洞，研究人员直接入侵了该系统并使用其电子邮件系统发送邮件来证明自己成功入侵，4 月份已经执行过类似操作但并未被发现，最近研究人员又测试了一次漏洞还是没有被修复。值得注意的是制造商 Rabbitude 其实知道 Rabbit R1 中存在此类安全问题，但没有采取任何措施修复问题也没有发布任何安全公告。研究人员至今不愿意透露漏洞的细节是因为他们不希望用户暴露在风险中，而不是出于对这家制造商的尊重，因为公布漏洞细节的话可能会给很多用户带来严重的安全问题。 ... PC版： 手机版：

Rabbit R1不像是iPhone杀手 因为它的AI应用也可以在苹果硬件上运行

Rabbit R1不像是iPhone杀手 因为它的AI应用也可以在苹果硬件上运行 Flutterflow 的威尔-霍比克（Will Hobick）在周一的 X 条推文中表示，他将在本周晚些时候发布 Rabbit R1 应用程序的"可克隆模板"。在周二的跟帖中，他演示了在 iPhone 上运行该应用程序的版本。基于应用程序的版本提供的核心功能与设备本身基本相同。一段视频显示，该应用回答了一个口头询问，并配有与实体版相同的动画。作者说，该应用程序可调用设备时间、电池寿命、触觉触摸、摄像头等功能。他只用了几个小时就完成了构建，并以 PWA、IOS 和 Android 的形式运行（参见主题）。该演示是使用@FlutterFlow制作的。这款应用还能调用线上的AI来回答视觉问题。在拍摄桌子上AirPods的照片并询问照片中的内容后，该应用程序就会给出准确的答复。虽然看起来很准确，但目前还不清楚该应用程序是否真的在运行 Rabbit R1 的操作系统。但该应用程序被设计为使用各种现有库进行语音识别，并向 ChatGPT 等服务发送查询请求以获取答案，这倒是有可能的。据传，苹果公司正在努力创建一个人工智能应用商店，这是一个用于销售和分发人工智能应用的店面版本。如果成为现实，像基于 PWA 的演示这样的应用程序当然可以在店面中提供。相关文章:Rabbit R1买家秀翻车：比Siri还磨叽、响应速度远不及发布Rabbit R1 AI数码设备被发现实际上只运行了一个Android应用爆火Rabbit R1大翻车：被曝套壳安卓 质疑者IP已遭屏蔽 ... PC版： 手机版：

梅赛德斯奔驰开发者不慎泄露私钥 导致整个公司源代码和其他密钥全部泄露

梅赛德斯奔驰开发者不慎泄露私钥 导致整个公司源代码和其他密钥全部泄露 根据分析梅赛德斯奔驰的 GitHub Enterprise Server 上包含大量机密内容：整个源代码知识产权内容用来连接其他服务的字符串AWS/Azure 连接密钥设计蓝图设计文档SSO 密码API 密钥其他关键信息其中 AWS 和 Microsoft Azure 连接密钥则可以用来登录梅赛德斯奔驰在 AWS 和微软托管的服务器，这又可能导致更多私密数据暴露。开发者不慎在 GitHub 上暴露了令牌：GitHub 允许开发者生成身份验证令牌作为替代密码的验证方案，梅赛德斯奔驰的员工不慎在一个公共 GitHub 中暴露了自己的令牌，这意味着任何人拿到这个令牌后都可以直接访问梅赛德斯奔驰的 GitHub Enterprise Server 并下载所有数据。RedHunt Labs 基于安全验证目的浏览了部分数据，发现里面还包含 AWS 和 Azure 密钥、Postgres 数据库和梅赛德斯的其他源代码等。随后该安全公司通过 TechCrunch 联系梅赛德斯奔驰进行反馈，接到反馈后梅赛德斯奔驰立即确认了问题并撤销了令牌，同时把暴露令牌的整个存储库都删了。是否泄露数据目前还不清楚：扫描显示梅赛德斯奔驰员工是在 2023 年 9 月下旬不慎暴露自己的身份验证令牌，也就是说到撤销的时候已经有几个月，这几个月难免会有其他黑客扫描到令牌进而窃取了所有数据。遗憾的是梅赛德斯奔驰拒绝透露是否知道任何第三方访问了暴露的数据，或者说没人知道该公司有没有能力检查数据遭到异常访问，这可能需要完整的排查过去几个月的日志。 ... PC版： 手机版：

Rabbit R1 AI数码设备被发现实际上只运行了一个Android应用

Rabbit R1 AI数码设备被发现实际上只运行了一个Android应用 以Rabbit R1 为例，在上手体验中，我们注意到这款小工具可以让你做一些事情，比如与大型语言模型（LLM）对话以获得问题的答案，给物体拍照以获得相关信息，从 Spotify 上播放音乐，从 Uber 上叫车，或从 Doordash 上订餐，但基本上仅此而已。如果像 Rabbit R1 这样的人工智能小工具所能做的一切都可以通过Android应用来复制，那么这些公司为什么不干脆发布一个应用，而不是发布一个售价数百美元、需要单独的移动数据计划才能使用、电池续航能力很差的硬件呢？事实证明，Rabbit 正是这样做的......原来，Rabbit R1 背后运行的似乎是Android系统，而用户与之交互的整个界面都仅仅一个Android应用程序提供支持。一位爆料者与我们分享了 Rabbit R1 的启动器 APK，经过一番调试，我们成功地将其安装到了Android手机上，特别是 Pixel 6a。安装完成后，我们就可以将Android手机设置为 Rabbit R1。手机上的音量加键与 Rabbit R1 的硬件键相对应，这样我们就可以通过设置向导，创建一个"兔子洞"账户，并开始与人工智能助手对话。由于 Rabbit R1 的显示屏比 Pixel 6a 小得多，分辨率也低得多，因此主屏幕界面只会占据手机显示屏的一小部分。尽管如此，我们还是能够向人工智能助手提问，就像我们在使用真正的 Rabbit R1 硬件一样，正如你在下面嵌入的视频中看到的那样。我们没有对 Spotify 整合、Vision 等其他功能进行测试，但如果其中某些功能无法正常工作我们也不会感到惊讶，Rabbit R1 的启动器应用程序是预装在固件中的，并被授予了多项系统级权限，而我们只能授予其中的一些权限，因此如果我们尝试的话，有些功能很可能会失效。尽管如此，这个应用程序能在我的手机上正常运行的事实还是很搞笑，这也证明了一个事实，那就是很多小众硬件产品的核心都是运行在修改版的AOSP 上。 ... PC版： 手机版：