Depuis son lancement, l'assistant IA rabbit r1 a enregistré secrètement les chats des utilisateurs sans possibilité de les effacer.

L'entreprise assure avoir résolu le problème avec une mise à jour logicielle

Depuis le lancement du rabbit r1, l'assistant d'intelligence artificielle stocke les conversations des utilisateurs sur l'appareil sans qu'il soit possible de les effacer, selon un bulletin de sécurité de l'entreprise. Rabbit résout maintenant le problème avec une mise à jour logicielle qui inclut une nouvelle option de réinitialisation d'usine dans les paramètres pour effacer l'appareil. Auparavant, il était seulement possible de dissocier son compte d'une R1, ce qui n'effaçait pas toutes les données de l'utilisateur.

En plus de la nouvelle capacité à supprimer complètement les données de l'utilisateur local, la mise à jour du logiciel aborde également un autre comportement du r1 qui a de quoi faire dresser les cheveux sur la tête. Avant la mise à jour, les données d'appariement stockées qui permettent au R1 d'ajouter des éléments au journal Rabbithole avaient également la permission de lire le journal. Cela signifie qu'un R1 volé et piraté aurait pu potentiellement transmettre les requêtes sauvegardées des utilisateurs, les photos, et plus encore.

Avec la mise à jour, les données d'appairage du r1 ne peuvent plus lire le journal et ne sont plus enregistrées sur l'appareil, et Rabbit a réduit la quantité de données d'enregistrement stockées sur l'appareil. La société affirme qu'il n'y a « aucune indication que les données d'appairage ont été utilisées de manière abusive pour récupérer les données du journal Rabbithole appartenant à un ancien propriétaire de l'appareil ».

Ci-dessous son communiqué à ce sujet :

Le 10 juillet 2024, nous avons pris connaissance d'un risque potentiel impliquant des appareils r1 perdus, volés ou d'occasion avant que les fonctions de réinitialisation des paramètres d'usine ne soient fournies, et nous l'avons immédiatement résolu.

Lors du lancement, les appareils r1 enregistraient les réponses de la synthèse vocale et les données d'appariement des appareils directement dans la mémoire de l'appareil r1. Si un client vendait son appareil après l'avoir utilisé, ou si un appareil était perdu ou volé, le nouveau propriétaire pouvait potentiellement jailbreaker l'appareil et accéder à ces fichiers journaux.

Exemple :

• J'ai reçu mon r1 et j'ai commencé à l'utiliser le 1er juin.
  
  • Les données d'appairage ont été enregistrées sur mon appareil.
  • Ces données d'appairage sont utilisées pour écrire des données dans mon journal Rabbithole et déclencher des actions telles que "jouer de la musique" ou "commander de la nourriture".
  • Ces données d'appairage pourraient être utilisées pour lire les données de mon journal Rabbithole.
    
• J'ai demandé à mon r1 : "Quel temps fait-il à San Francisco ?"
  
  • La réponse, "Il fait 74 degrés et le soleil brille à San Francisco", a été enregistrée dans mon appareil.
    
• J'ai vendu mon r1 à une autre personne le 3 juin.
• Cette personne pouvait potentiellement effectuer un "jailbreak" du r1 et récupérer les fichiers journaux contenant "Il fait 74 degrés et le soleil brille à San Francisco" et les données d'appairage et les données d'appairage.
  

Depuis le 11 juillet, nous avons apporté les modifications suivantes :

• Les données d'appariement ne peuvent plus être utilisées pour lire dans rabbithole. Elles ne peuvent que déclencher des actions.
• Les données d'appairage ne sont plus enregistrées sur l'appareil.
• Nous avons réduit la quantité de données enregistrées sur l'appareil.
• L'option de réinitialisation d'usine est désormais disponible dans le menu des paramètres. Les clients doivent utiliser cette option pour effacer TOUTES les données de leur r1 avant d'en transférer la propriété.
  

Un employé a fait fuiter les données de l'entreprise

Le bulletin de sécurité de Rabbit décrit le problème comme un risque relativement peu important, en montrant qu'une R1 volée et jailbreakée pourrait révéler à un acteur malveillant le dernier journal météo demandé par le propriétaire d'origine. Le mois dernier, des chercheurs en sécurité ont déclaré avoir découvert[URL="https://intelligence...