O grupo Rabbitude, composto por programadores e investigadores, revelou ter descoberto uma falha no código base da Rabbit que coloca informação sensível desprotegida e acessível a cibercriminosos. Este grupo descobriu que uma série de chaves de API estão inseridas no código (hardcoded) no código base da empresa. Estas chaves dão acesso às contas da Rabbit com serviços de terceiros, como o fornecedor de soluções text-to-speech EleveLabs e à conta da SendGrid. Com o acesso a estas chaves de API, qualquer pessoa pode ter acesso a qualquer resposta dada pelos dispositivos R1 aos utilizadores.
Os investigadores revelam ter tido acesso há mais de um mês a estas chaves e que, apesar de a Rabbit saber da falha, nada fez para proteger a informação sensível. Desde aí, no entanto, os acessos já foram revogados, o que deixa entender que a empresa as está a rodar.
Num comunicado enviado ao The Verge , Ryan Fenwick, porta-voz da Rabbit, afirmou que “irão ser dadas atualizações à medida que se tornarem disponíveis”. Na página do Discord, a Rabbit confirmou que estava a investigar um incidente, mas salienta que não encontrou qualquer evidência de que “os sistemas críticos ou a segurança dos dados dos clientes” tenham sido comprometidos.
O Rabbit R1 é um aparelho lançado no início do ano e que prometia ser o futuro da interação entre humanos e máquinas, sendo o passo seguinte nos assistentes de Inteligência Artificial. No entanto, pouco tempo depois do lançamento, começaram a chover críticas sobre a pouca autonomia da bateria e dos erros dados nas respostas geradas por IA. Agora, com uma falha de segurança destas, deve ser difícil para a empresa conseguir mudar a perceção do público.