ИИ-гаджет Rabbit R1 сохранял переписку с пользователями без возможности её удалить

Электронный помощник с искусственным интеллектом Rabbit R1 сохранял переписку с пользователями на устройстве без возможности её удалить, признался производитель гаджета. Ошибка была исправлена с выпуском обновления ПО, которое получило новую функцию «Заводской сброс» (Factory Reset) в настройках для удаления всех данных с устройства. Раньше можно было отвязать от устройства свою учётную запись, но при этом пользовательские данные не удалялись.

Источник изображения: rabbit.tech

Наряду с новой возможностью полностью удалять все данные пользователя, обновление ПО устранило ещё одну сомнительную особенность Rabbit R1: ранее подключённые к гаджету внешние устройства с разрешением добавлять данные в журнал Rabbithole могли также его читать. То есть похищенный или взломанный Rabbit R1 открывал потенциальному злоумышленнику все запросы, фотографии и другие данные пользователя.

С обновлением устройства лишились доступа к чтению журнала, а объём хранящегося на устройстве журнала был сокращён. Как заявили в компании, «отсутствуют свидетельства, что данные при подключении использовались для чтения данных журнала Rabbithole, принадлежавших бывшему владельцу». Риск подобного злоупотребления в Rabbit оценили как незначительный.

В июне в коде устройства было обнаружены жёстко запрограммированные ключи API для доступа к сторонним сервисам. Они открывали потенциальному злоумышленнику доступ к любому ответу, который устройство давало пользователю. В Rabbit сообщили, что допустивший эту ошибку сотрудник был выявлен, уволен, и сейчас в его отношении проводится расследование. Компания пообещала усовершенствовать методы обеспечения безопасности и не допустить возникновения подобных ошибок в будущем: сейчас проводится подробная инспекция методов работы с журналом устройств на предмет соответствия стандартам, «заданным в других областях».