В Rabbit R1 нашли опасную уязвимость

Группа разработчиков под названием Rabbitude нашла в коде устройства Rabbit R1 уязвимость, из-за которой персональная информация становится доступной для третьих лиц. 

Так, 16 мая специалисты получили доступ к кодовой базе Rabbit R1 и смогли найти «несколько важных жестко запрограммированных ключей API». Используя эти ключи, любой может прочитать ответы устройства на базе искусственного интеллекта (ИИ), в том числе и содержащие личную информацию. 

В Rabbitude отметили, что запросы к ИИ и его ответы, которые проходят через облачную систему обработки Rabbit, содержали конфиденциальную информацию пользователей из ElevenLabs (службы преобразования текста в речь), системы преобразования текста в речь Azure, Yelp (платформы для отзывов) и Google Maps. 

Благодаря уязвимости любой желающий может получить доступ к персональным данным и использовать их для блокировки устройства R1, изменения ответов и многого другого. 

Кроме того, в Rabbitude заявили, что Rabbit знала об этой ошибке безопасности, но не предприняла никаких шагов для устранения проблемы. 

Ранее в движке Rancher Kubernetes Engine (RKE), широко используемом дистрибутиве Kubernetes, была обнаружена критическая уязвимость. Эта уязвимость, идентифицированная как CVE-2023-32191 и получившая максимальный балл CVSS, равный 10, представляет серьезную угрозу для безопасности и целостности кластеров Kubernetes, управляемых RKE.