AI裝置Rabbit r1遭爆外洩眾多API金鑰

新創業者Rabbit與消費者裝置製造商Teenage Engineering合作開發的AI裝置Rabbit r1，本周遭爆外洩許多API金鑰，將允許任何人讀取Rabbit r1所生成的內容，或是讓所有的Rabbit r1變磚，還能竄改Rabbit r1的回應或是置換Rabbit r1的聲音，更令人訝異的是，研究人員指出Rabbit r1早就知道其裝置的API金鑰外洩，卻一直未採取行動。

甫於去年才成立的Rabbit主要開發支援自然語言介面的作業系統與硬體，所打造的rabbit OS是基於大型語言模型（LLM）及大型動作模型（Large Action Model ，LAM），意味著其指令不僅可生成解答，還可用來執行動作。Rabbit在今年1月發表了委由Teenage Engineering製造的AI裝置Rabbit r1，售價199美元，已於今年3月出貨。

Rabbit r1是個小型裝置，具備SIM卡插槽，能與LLM對話，可透過Perplexity進行搜尋，支援AI視覺，能夠進行雙向翻譯，也可利用AI來摘要文字，其LAM功能則包括播放Spotify等音樂程式、叫車或叫外賣。不過，SIM卡只是用來使用網路，Rabbit r1並非手機，既不支援撥打電話，亦無簡訊功能。

發現相關漏洞的是專門針對Rabbit r1專案進行反向工程的Rabbitude社群，研究人員表示，他們在今年5月存取了Rabbit r1的程式碼庫，並發現其中含有許多寫死的API金鑰，包括將文字轉譯成語音的ElevenLabs、語音轉文字的Azure系統、評論服務Yelp，以及Google Maps。

其中的ElevenLabs金鑰甚至具備了完整權限，允許任何人取得該服務的完整歷史紀錄，變更及刪除所使用的聲音，添加客製化的文字置換能力，更有令Rabbit r1裝置變磚的能力。

研究人員還指出，其實Rabbit團隊也知道其API金鑰已經外洩，卻未採取任何行動，任由它們存在於程式碼中，之所以未公布所有細節是為了尊重Rabbit r1用戶，而非Rabbit。

在Rabbit r1上市後，也有許多媒體測試了該裝置，對它的評價還低於Humane的Ai Pin，例如Engadget稱這個AI玩具在各方面都是失敗的，PCMag還說它的優點只有便宜跟造型可愛，其它不管是性能、功能、操作介面或電池壽命都不怎樣；Tom's Guide更直接勸告消費者不要買Rabbit r1。Rabbit未曾公布Rabbit r1的銷售量。

同樣身為AI裝置，曾經備受期待，卻在產品現身後評價不佳的Ai Pin，其製造商Humane已傳出有意求售的消息。