Obiecywali, że porzucisz swój smartfon. Wyszedł kompletny skandal
Rabbit R1 miał być malutkim urządzeniem, które w unikalny sposób połączy użytkowników z AI i ułatwi im życie. Jak się okazuje, twórcy w nosie mieli prywatność.
Powiedz, czego potrzebujesz, a my to zapamiętamy na zawsze
Asystent AI zaszyty w Rabbit R1 przechowywał lokalnie na urządzeniu dzienniki rozmów użytkowników bez możliwości ich usunięcia. Można było się co najwyżej wylogować z konta R1, ale cała nasza prywatna historia czatów pozostawała w urządzeniu, bez jakiejkolwiek opcji skasowania.
Co więcej, w sprzęcie przechowywane były dane parowania, które umożliwiały dodawanie danych do dziennika Rabbithole i nadawały uprawnienia do odczytu jego zawartości. To w praktyce oznaczało, że ze skradzionego urządzenia bez trudu można było wyciągnąć wszystkie zapytania użytkowników, zdjęcia i inne dane.
Rabbit bagatelizuje problem
Informacja o potencjalnej luce trafiła do użytkowników wraz z aktualizacją oprogramowania. Nagle pojawia się dzięki niej funkcja przywracania ustawień fabrycznych, wraz ze skasowaniem całego dziennika. Dane parowania nie są już też logowane na urządzeniu i nie mają uprawnień do odczytu dziennika R1.
W biuletynie bezpieczeństwa Rabbit przedstawia problem jako marginalny, badacze jednak kręcą nosem. Raptem w czerwcu odkryli, że jailbreak urządzenia daje dostęp do zakodowanych na stałe kluczy API. Co do zasady zaś, warto traktować wszelkie te wynalazki AI dokładnie tak jak nasze smartfony — lepiej by nie wpadały w niepowołane ręce.
