📰 本频道不定期推送科技数码类新资讯,欢迎关注!
©️ 发布的内容不代表本频道立场,和你意见不一样的话欢迎在评论区留言表达,但请注意言辞,面斥不雅。
🔗 博客: https://yummy.best
💬 群组: @GodlyGroup
📬 投稿: @GodlyNewsBot
🪧 广告合作: @yummybest_bot.
©️ 发布的内容不代表本频道立场,和你意见不一样的话欢迎在评论区留言表达,但请注意言辞,面斥不雅。
🔗 博客: https://yummy.best
💬 群组: @GodlyGroup
📬 投稿: @GodlyNewsBot
🪧 广告合作: @yummybest_bot.
R1 背后的那家公司再次陷入麻烦,这次是因为未能妥善保管敏感的 API 密钥。
Rabbit及其 R1 AI 小工具再次遭到批评,这次情况比我们发现其启动器实际上可以直接作为安卓应用程序安装时严重得多。一个名为 Rabbitude 的开发者和研究人员小组表示,他们发现该公司的代码库中硬编码了 API 密钥,这使得敏感信息有落入不法分子之手的风险。
这些密钥实际上提供了访问 Rabbit 与第三方服务账户的权限,比如其文本转语音提供商 ElevenLabs 的账户,还有 404 Media 确认的公司的 SendGrid 账户,这是它从 rabbit.tech 域发送电子邮件的方式。根据 Rabbitude 的说法,它访问这些 API 密钥,特别是 ElevenLabs 的 API,意味着它可以访问所有 R1 设备曾经给出的每一个回复。这真的是件糟糕的事。
Rabbit 昨天发表了一篇文章,说他们在一个多月前就已经获得了这些密钥的访问权,但尽管知道了这一漏洞,Rabbit公司却没有采取措施保护这些信息。自那以来,该团体称它对大多数密钥的访问权限已经被取消,这表明公司更换了这些密钥,但截至今天早些时候,他们仍然可以访问 SendGrid 的密钥。
Rabbit 昨天在其 Discord 频道发布的消息一致,表示他们正在调查该事件,但尚未发现“我们的关键系统或客户数据安全受到任何损害。”