يقول رابيت إن الموظف السابق سلم مجموعة القرصنة مفاتيح الواجهة الخلفية لـ R1

الأرنب، الشركة التي تقف وراءها روتينية وربما تنطوي على مشاكل أرنب R1، يدعي الآن أن الموظف الذي تم فصله منذ ذلك الحين أعطى أحد المتسللين والمطورين وصولاً جماعيًا إلى جميع مفاتيح واجهة برمجة التطبيقات المختلفة، مما يسمح لهم بقراءة مطالبات الذكاء الاصطناعي للمستخدمين وإرسال الرسائل من خادم البريد الإلكتروني الخاص بالشركة. ولا يزال صانعو الذكاء الاصطناعي doohickey يهاجمون “النقاد الخارجيين” بينما يشيدون بفعالية أمن R1. ومع ذلك، لا يبدو أن جهودهم ستضع حدًا لـ SNAFU المستمر للأمن السيبراني.

في شهر يونيو الماضي، أطلق فريق من قراصنة ومطوري القبعة البيضاء على أنفسهم اسم Rabbitude أصدرت تقريرا قاسيا يزعمون أنهم تمكنوا من الوصول إلى العديد من قاعدة التعليمات البرمجية الداخلية لـ Rabbit ويمكنهم التلاعب بعدد من مفاتيح API المشفرة. وتضمن ذلك مفتاحًا لاتصال الشركة بخدمة تحويل النص إلى صوت ElevenLabs، والتي يمكن أن تمنحهم نظرة على رسائل تحويل النص إلى كلام السابقة لجميع المستخدمين. نفى Rabbit أولًا وجود مشكلة ولكنه قام منذ ذلك الحين بتغيير مفاتيح واجهة برمجة التطبيقات (API) الخاصة به.

في رسالة بالبريد الإلكتروني إلى Gizmodo، كتب متحدث باسم شركة Rabbit: “في شهر يونيو، قام أحد الموظفين (الذي تم فصله منذ ذلك الحين) بتسريب مفاتيح واجهة برمجة التطبيقات إلى مجموعة نصبت نفسها “نشطاء القرصنة”، والتي كتبت مقالًا يدعي أن لديهم إمكانية الوصول إلى كود المصدر الداخلي لشركة Rabbit. وبعض مفاتيح API. قام Rabbit على الفور بإلغاء مفاتيح واجهة برمجة التطبيقات (API) وتدويرها ونقل أسرار إضافية إلى AWS Secrets Manager.

وواصلت الشركة الادعاء بأن جهود القرصنة حدثت في يونيو. لا يزال Rabbitude يؤكد أن لديه إمكانية الوصول إلى قاعدة البيانات ومفاتيح واجهة برمجة التطبيقات (API) منذ شهر مايو. تدعي مجموعة المتسللين أن Rabbit كان على علم بمشكلة واجهة برمجة التطبيقات (API) لكنه اختار تجاهلها حتى نشر Rabbitude النتائج التي توصل إليها في الشهر التالي.

خلال دردشة Signal، دحض أحد قراصنة Rabbitude، والذي يُدعى Eva، التوقيت المزعوم لأحداث Rabbit، قائلاً: “لقد تمكنا من الوصول لأكثر من شهرين”. لقد رفضوا التعليق على ادعاءات Rabbit بشأن موظف سابق، مشيرين إلى “أسباب قانونية”، لكنهم ما زالوا يسخرون من Rabbit لاختيارها ترميز مفاتيح واجهة برمجة التطبيقات (API).

وقالت إيفا: “حتى لو كان من الداخل، فلا ينبغي لهم تشفير المفاتيح في الكود الخاص بهم، لأن هذا يعني أن أي موظف يمكن أن يكون لديه حق الوصول إلى رسائل الإنتاج الخاصة بالمستخدمين، حتى لو لم يتم اختراقها”.

نفى Rabbit في البداية وجود مشكلة في قاعدة التعليمات البرمجية ومفاتيح واجهة برمجة التطبيقات. لإثبات أن لديهم إمكانية الوصول، عضو في Rabbitude أرسلت بريدا إلكترونيا من خادم البريد الإلكتروني الداخلي لشركة أجهزة الذكاء الاصطناعي إلى Gizmodo إلى جانب العديد من المنافذ. قام Rabbit لاحقًا بتغيير جميع مفاتيح واجهة برمجة التطبيقات (API) لمنع الوصول. قالت الشركة في النهاية في أ بيان صحفي أن “إساءة الاستخدام الوحيدة لهذه المفاتيح كانت إرسال رسائل بريد إلكتروني تشهيرية إلى موظفي الأرانب” و”عدد صغير من الصحفيين الذين يشجعون عمل نشطاء القرصنة”.

تدعي شركة رابيت أن أنظمتها كانت موثوقة دائمًا

لم تكن المشكلة أبدًا أن المتسللين كانوا يحتفظون ببيانات مستخدم Rabbit R1 الحساسة ولكن كان لدى أي شخص في فريق Rabbit حق الوصول إلى هذه المعلومات في المقام الأول. وأشار رابيتود إلى أنه لم يكن ينبغي للشركة أبدًا تشفير مفاتيح واجهة برمجة التطبيقات (API) الخاصة بها، مما يسمح لعدد كبير جدًا من الأشخاص بالوصول الداخلي. يبدو أن شركة Rabbit لا تزال تتستر على هذه المشكلة، مع التقليل من شأن مجموعة المطورين بإشارتها المستمرة إلى “نشطاء القرصنة الذين نصبوا أنفسهم” أو المراسلين الذين أشاروا إلى المشكلة في المقام الأول.

استمرت المشكلات في التراكم حتى بعد أن نشر موقع Rabbitude النتائج التي توصل إليها. الشهر الماضي صانع الجهاز مشترك المزيد من المشكلات الأمنية المثيرة للقلق مع Rabbit R1. وقالت الشركة إنه تم حفظ ردود المستخدمين على أجهزتهم نفسها، ولم تتم إزالتها حتى بعد تسجيل الخروج من حسابهم الخاص. وهذا يعني أنه يمكن الوصول إلى ردود المستخدمين عبر “كسر الحماية” بعد بيع أجهزتهم. يحد Rabbit من كمية البيانات التي يتم تخزينها على الجهاز. ولأول مرة منذ أن أصدرت شركة Rabbit الجهاز في أواخر أبريل، يمكن للمستخدمين أخيرًا اختيار إعادة ضبط أجهزتهم على إعدادات المصنع من خلال الإعدادات.

استأجرت شركة Rabbit شركة Obscurity Labs للأمن السيبراني لإجراء اختبار اختراق للواجهة الخلفية لـ Rabbit وجهاز R1 نفسه. وأجرت الشركة الاختبارات في الفترة من 29 أبريل حتى 10 مايو، قبل ظهور الخلافات الأمنية لأول مرة. أصدرت مختبرات الغموض تقرير هذا الأسبوع، يصف كيف يمكنهم استخدام بعض الهجمات الأساسية جدًا للوصول إلى نصوص Playwright الموجودة في قلب أنظمة R1 ولكن لم يتمكنوا من الوصول إلى الكود المصدري أو بيانات الاعتماد التي تتيح للمستخدمين الوصول إلى حسابات Uber أو DoorDash الخاصة بهم.

وفي رسالة بالبريد الإلكتروني إلى Gizmodo، ادعى رابيت مرة أخرى أن الكود المصدري للشركة لم يتم كشفه. وقال متحدث باسم الشركة إن التقرير يظهر أن أمنهم “يعمل على النحو المنشود لتقليل التأثير المحتمل للهجوم بشكل كافٍ”. وزعمت الشركة أيضًا أنه عندما يصل المتسللون إلى أنظمة رابيت، “فإنهم غير قادرين على الوصول إلى أي شيء ذي أهمية، بما في ذلك المعلومات الحساسة أو غيرها من المعلومات القيمة”.

لا يشعر النقاد بالهدوء الشديد. من الواضح أن التقرير لا يستكشف كيفية قيام Rabbit بتخزين الرموز المميزة لجلسة المستخدمين. بعد أن اشتكى بعض النقاد، قامت شركة Obscurity Labs بتحديث التقرير لتقول إن هذا النظام كان “خارج النطاق” نظرًا لأن شركة Rabbit تستخدم شركة خارجية للحفاظ على خصوصية تلك البيانات. وبقدر ما يتعلق الأمر بـ Rabbitude، يقول الأعضاء إن التقرير لا يعالج مخاوفهم حقًا.

قالت إيفا: “لا يمكنني حتى أن أسميها خماسي”.