热门AI硬件Rabbit R1被发现会泄露用户私密对话 竟使用硬编码API

热门AI硬件Rabbit R1被发现会泄露用户私密对话 竟使用硬编码API Rabbit R1 是一款 AI 问答玩具，即内置麦克风和网络连接，用户可以直接通过 Rabbit R1 与 AI 模型进行语音对话，这个小硬件此前有着非常高的热度。和大多数硬件开发商一样 Rabbit R1 的制造商在官网宣传使用多种安全措施保护用户隐私，但在最近安全研究人员发现 Rabbit R1 使用硬编码的 API，拿到这个 API 后可以查询用户的所有问答和私密信息。Rabbit R1 使用的 API 包括文本转语音服务 ElevenLabs、Azure 文本转语音系统、通过 Yelp 调用的商品评价和用于谷歌地图调用位置信息的接口。这些 API 密钥可以被用来：查看用户与 R1 的所有对话内容远程破坏 R1 的后端服务从而让所有 R1 变砖改变 R1 的对话响应替换 R1 的声音输出这家制造商的基础安全系统也存在安全漏洞，研究人员直接入侵了该系统并使用其电子邮件系统发送邮件来证明自己成功入侵，4 月份已经执行过类似操作但并未被发现，最近研究人员又测试了一次漏洞还是没有被修复。值得注意的是制造商 Rabbitude 其实知道 Rabbit R1 中存在此类安全问题，但没有采取任何措施修复问题也没有发布任何安全公告。研究人员至今不愿意透露漏洞的细节是因为他们不希望用户暴露在风险中，而不是出于对这家制造商的尊重，因为公布漏洞细节的话可能会给很多用户带来严重的安全问题。 ... PC版： 手机版：

Rabbit R1 AI数码设备被发现实际上只运行了一个Android应用

Rabbit R1 AI数码设备被发现实际上只运行了一个Android应用 以Rabbit R1 为例，在上手体验中，我们注意到这款小工具可以让你做一些事情，比如与大型语言模型（LLM）对话以获得问题的答案，给物体拍照以获得相关信息，从 Spotify 上播放音乐，从 Uber 上叫车，或从 Doordash 上订餐，但基本上仅此而已。如果像 Rabbit R1 这样的人工智能小工具所能做的一切都可以通过Android应用来复制，那么这些公司为什么不干脆发布一个应用，而不是发布一个售价数百美元、需要单独的移动数据计划才能使用、电池续航能力很差的硬件呢？事实证明，Rabbit 正是这样做的......原来，Rabbit R1 背后运行的似乎是Android系统，而用户与之交互的整个界面都仅仅一个Android应用程序提供支持。一位爆料者与我们分享了 Rabbit R1 的启动器 APK，经过一番调试，我们成功地将其安装到了Android手机上，特别是 Pixel 6a。安装完成后，我们就可以将Android手机设置为 Rabbit R1。手机上的音量加键与 Rabbit R1 的硬件键相对应，这样我们就可以通过设置向导，创建一个"兔子洞"账户，并开始与人工智能助手对话。由于 Rabbit R1 的显示屏比 Pixel 6a 小得多，分辨率也低得多，因此主屏幕界面只会占据手机显示屏的一小部分。尽管如此，我们还是能够向人工智能助手提问，就像我们在使用真正的 Rabbit R1 硬件一样，正如你在下面嵌入的视频中看到的那样。我们没有对 Spotify 整合、Vision 等其他功能进行测试，但如果其中某些功能无法正常工作我们也不会感到惊讶，Rabbit R1 的启动器应用程序是预装在固件中的，并被授予了多项系统级权限，而我们只能授予其中的一些权限，因此如果我们尝试的话，有些功能很可能会失效。尽管如此，这个应用程序能在我的手机上正常运行的事实还是很搞笑，这也证明了一个事实，那就是很多小众硬件产品的核心都是运行在修改版的AOSP 上。 ... PC版： 手机版：

Rabbit R1买家秀翻车：比Siri还磨叽、响应速度远不及发布

Rabbit R1买家秀翻车：比Siri还磨叽、响应速度远不及发布 例如在CEO吕骋（Jesse Lyu）的实测操作中，只需对它说一句“Play Feel Good Inc”，这首歌就播放出来了：再如拿着它对着屏幕中Discord论坛，问一句“大家在讨论什么”，Rabbit R1就可以对“看”到的内容做出总结：但与此同时，现在拿到真机的网友却晒出了与吕骋所展示的截然不同的一面。这位网友让Rabbit R1“看”了一眼菜单，并提出问题：食用它们最好的方式是什么？Rabbit R1在收到问题后先是说了一句“让我看看”，然后……足足近20秒的时间，空留网友举着机器驻足等待……这位网友甚至表示：想象一下，你在一个嘈杂的环境中，它第一次不能完全理解你（或者你只是说错了），纠正错误的过程得花费1分钟了吧。真机实测视频一出，本在热度上的Rabbit R1，瞬间吸引了更多网友的讨论和争议。争议点之一，就是机器响应时间过慢的问题，有人将其归结为LLM自身处理速度的问题；也有人认为这是所有AI终端都有的通病。但由此引发了Rabbit R1爆火背后更大的一个问题这样的AI硬件为什么会如此爆火？它到底适不适合当下和未来？以至于有人还直接晒出了这样的一个视频，认为Rabbit R1做个APP就够了：而面对这些诸多问题，我们发现，吕骋在一次深度访谈中给出了自己的解释。为什么不是一个APP？吕骋认为Rabbit的确可以是一款软件产品，但从他的角度来看，他的背后还有一家企业。如果Rabbit只是个APP，这就意味着苹果公司能接触到它的代码，这无异于是分享了公司的知识产权。其次，他们还不得不同时为iOS和Android开发维护这款APP，这期间还需要大量的持续资金投入。最重要的是，同其它APP一样，Rabbit会被放在同一个平台上，这给吕骋带来了一种不安感：如果明天出现了一个更好的应用怎么办？用户忠诚度几乎为零！之所以有诸多顾虑，和Rabbit R1搭载的全新操作系统Rabbit OS，也有一些关系。Rabbit OS采用的底层AI技术，不是类ChatGPT的大语言模型技术，而是基于“大型动作模型（Large Action Model，LAM）”打造。大型动作模型更强调“行为”，虽然从实际展示来看，大型动作模型和大语言模型能实现的功能看起来相差不多，但搭载这种技术的Rabbit OS在听到人类自然语言发出的指令后，能理解人的复杂意图，自主操作APP完成任务。吕骋将这种技术的重要性与多点触控技术类比，以至于他们想要构建专门的硬件设备来运行它，以此作为对这种技术的保护，也是为了降低风险。此外，吕骋补充道，Rabbit R1的关键处理在云端，用户数据比在大多数小批量硬件上的更安全。且还有一个好处，可降低硬件成本，由此每台设备可以省下一些利润来支付AI处理费用，比如说Rabbit为用户购买支付ChatGPT服务。经过一番解释，吕骋引出了Rabbit R1背后真正可扩展的业务：人们教Rabbit来做他们自己的事情，本质上是在创造Rabbit，而不是使用APP，当用户销售他们自己的Rabbit时，Rabbit OS将会从中抽成。但这对于用户而言，似乎还是没有很好地说明Rabbit R1在当下和未来究竟有什么意义？换言之，也是网友们关心的另一个核心问题“是否会是昙花一现”。我们把时间线再拉长一点，不妨从吕骋以往打造过的产品入手来看。也曾“发布”过炫酷AI硬件吕骋，是AI领域的华人连续创业者，西交利物浦大学毕业，创立渡鸦科技（Raven Tech）。2017年，百度全资收购渡鸦，吕骋担任百度智能家居硬件总经理；同年，他便带领团队发布了百度首款智能音箱Raven H。后来在2018年CES上的露出，让《华尔街日报》直接将这款音箱封为当年的最佳产品。然而即便风光一时，但从结果上来看，消费市场对此并不买单。在百度一年后，吕骋选择离职百度，在美国创立了以AI为中心的公司Cyber Manufacture Co.，也就是今天Rabbit的前身。吕骋有一个爱好酷爱收集复古合成器，这让他和瑞典音频硬件公司Teenage Engineering的创始人Jesper Kouthoofd建立起了联系。Teenage Engineering专门做电子设备及相关产品的设计和制造，小型掌上游戏机Playdate，就是其与软件开发公司Panic联合推出的。不过从目前销量的结果上来看，也是较为一般。再后来就到了Rabbit R1，吕骋同样也是选择与Teenage Engineering合作设计。至于对这款产品最初的想法，吕骋自述：手机虽是生活中“必需品”，但自订阅了iPhone的每年升级换新服务，越发觉得与iPhone之间的情感连接不断被抹去。换句话说，他对手机已逐渐不感兴趣了。在与Teenage Engineering团队讨论了一番后，双方一拍即合，对Rabbit R1的构想和设计逐渐清晰了起来打造将AI和复古结合的小玩意。吕骋还将设备和《宝可梦》虚构电子设备Pokédex相比较，Rabbit就相当于是宝可梦宠物。（Pokédex是一个电子图鉴，用于记录玩家遇到和捕捉的各种宝可梦的信息）现在显然也是已有不少网友get到了这一点：不过从吕骋打造的爆款AI硬件中，我们也能看到些许相似之处。例如Rabbit R1和Raven H一样，都是在CES中亮相并走红。至于Rabbit R1这次的热度和销量能持续多久，就需要交给时间来作答了。 ... PC版： 手机版：

【CZ：3Commas存在广泛的API密钥泄漏，请立即禁用】

【CZ：3Commas存在广泛的API密钥泄漏，请立即禁用】 12月29日消息，币安创始人CZ社交媒体上发表了对10月份事件的新猜测，他表示，“我有理由相信交易机器人平台3Commas存在广泛的API密钥泄漏，如果你曾将API密钥放入3Commas（来自任何交易所），请立即禁用它”。 据3Commas发言人的电邮也证实了该消息，表示看到了黑客的消息，并确认发布文件中的数据是真实的，“我们已经要求币安、KuCoin和其他支持的交易所撤销所有连接到3Commas的密钥，我们正在启动涉及执法的全面调查”。 此外，3Commas还表示，目前还没有发现“内部人员作案”的证据。该发言人表示，“只有少数技术员工可以访问基础设施，我们自11月16日起已采取行动，取消了他们的访问权限。从那时起，我们实施了新的安全措施，不会就此止步。我们正在展开涉及执法部门的全面调查”。

ℹMKBHD 分析 AI pin、rabbit R1的未来， AI 应该是 “产品” 还是 “功能 “？#

ℹMKBHD 分析 AI pin、rabbit R1的未来， AI 应该是 “产品” 还是 “功能 “？# YouTuber @mkbhd 今日发布一段影片，影片中提到「AI 是产品还是功能呢？」，因为近期有许多公司都推出独立的 AI 硬体产品，...

CloudSEK的攻击面监控平台，发现了个应用程序，泄露了Twitter的API密钥，可以用来访问甚至直接接管Twitter账户

CloudSEK的攻击面监控平台，发现了个应用程序，泄露了Twitter的API密钥，可以用来访问甚至直接接管Twitter账户，以执行关键/敏感的行动，如： 阅读DM信息； 转发； 点赞； 删除； 删除关注者； 关注任何账户； 获取账户设置； 更改显示图片； #ThreatIntelligence