Rabbit R1. Когда друг оказался не друг или история о сливе данных и сыром продукте.
На выставке CES 2024 было представлено устройство R1 от стартапа Rabbit. Устройство собой представляет интуитивно понятный девайс, который обещает стать компаньоном человека. Больше о нём можно прочитать здесь Rabbit R1: твой друг робот, чтобы понять суть этой статьи. Вскоре после выхода девайса на продажу появились обзоры и новости. Расскажу что там успело накопиться и как интереснейший стартап утонул в негативных обзорах.
Rabbit R1 представлялся, как устройство с множеством полезных функций, который заменил бы телефон. С его помощью можно распознавать объекты камерой, переводить текст с одного языка на другой, заказывать еду, такси, генерировать картинки и многое другое.
Однако на практике многие из этих функций либо работают нестабильно, либо вообще не функционируют. Например, интеграция с такими сервисами, как Spotify, DoorDash и Uber, вызывает множество проблем. Устройство часто выдает ошибки или вовсе не выполняет команды пользователя.
16 мая 2024 года команда rabbitude по обратному проектированию для r1 rabbitude получила доступ к кодовой базе Rabbit и обнаружила в ее коде несколько критически важных жестко закодированных ключей API . Эти ключи позволяют любому:
Хардкодированные API-ключи относятся к следующим сервисам:
После публикации этой информации, Rabbit опубликовали заявление в своем Discord-сервере:
"Сегодня нам сообщили о предполагаемой утечке данных. Наша команда безопасности немедленно начала расследование. На данный момент мы не обнаружили утечек данных клиентов или компрометации наших систем. Если у нас появится другая актуальная информация, мы предоставим обновление, как только у нас будут дополнительные детали."
Несмотря на заявление о том, что компрометации не произошло, Rabbit незамедлительно аннулировала четыре ключа, указанные в оригинальной публикации. Однако одна из операций была выполнена неправильно, что привело к временному сбою в работе сервиса преобразования текста в речь.
Новые пробелы в безопасности
Последняя статья от команды rabbitude была опубликована 27 июня и говорила о нахождении нового хардкодированного API-ключа, на этот раз связанного с провайдером электронной почты SendGrid. Данный ключ позволил отправлять письма от имени домена rabbit.tech, что было доказано с помощью отправки тестовых писем нескольким журналистам и пользователям.
Одним из получателей тестового письма был журналист Райан Фей, который поделился полным сырым текстом письма. Анализ этого письма показал, что оно было отправлено с серверов SendGrid и было подписано с использованием ключа DKIM, принадлежащего домену r1.rabbit.tech.
Это подтверждает, что:
После публикации этой информации компания Rabbit до сих пор не дала официального ответа по поводу компрометации с SendGrid. Однако, генеральный директор компании, Джесси Лю, в сообществе Discord предположил, что отправленные письма могли быть поддельными:
Discord пользователь: "Почему Rabbitude смогли успешно отправить мне DKIM верифицированное письмо от security@r1.rabbit.tech и пройти DMARC?"
Джесси Лю: "Я спросил об этом. Оказалось, что существует много способов. Используйте здравый смысл, чтобы понять, является ли письмо подлинным."
Discord пользователь: "Джесси, смогли ли они получить доступ к вашему домену, чтобы создать субдомен r1.? Или это был поддельный адрес?"
Джесси Лю: "Существует много способов, включая подделку. В любом случае это неправильно."
Настораживает то, что компания Rabbit зная о нарушениях безопасности, не исправляла должным образом эти промахи, так потом ещё и обвиняла в фейках.
Марк Спунауэр в своём обзоре в Tom's Guide тестировал R1 неделю и поставили гаджету оценку 1.5 из 5.
Rabbit R1 обещает облегчить вам жизнь с помощью возможностей ИИ, но его ненадежная работа, неточные ответы и короткое время автономной работы делают невозможным рекомендовать его. Я бы подождал, прежде чем даже рассматривать покупку, пока компания не исправит ошибки.
Дизайн. Устройство имеет привлекательный и оригинальный внешний вид.
Голосовой поиск. Голосовой поиск иногда может быть полезным, несмотря на свои недостатки.
Избавление от кучи приложений. Устройство может выполнять некоторые задачи без необходимости использования приложений, хотя и с ограничениями
Материалы. Хоть дизайн устройства и выделили в плюс, однако материал из которого он произведен охарактеризовали дешёвым пластиком.
Недружелюбный интерфейс. Устройством неудобно пользоваться из-за плохого интерфейса и неудобного колеса прокрутки.
"Регулировка громкости гораздо более хлопотная, чем должна быть. Вам нужно зайти в настройки, дважды встряхнув устройство, что просто смешно. Мне удалось уменьшить громкость с помощью нажатия для разговора, но не всегда."
Сенсорный экран работает только тогда, когда вы используете экранную клавиатуру, например, для ввода пароля Wi-Fi или входа в режим терминала. Но клавиатура настолько крошечная, что автору приходилось нажимать некоторые кнопки несколько раз, например клавишу Enter.
Голосовой поиск. Достаточно медленно отвечает на вопросы и может выдавать неполную информацию или даже неточную. У автора статьи возникли проблемы с достоверной информацией о погоде.
Зрение и камера. Устройство не всегда может верно определить что оно видит, так у автора статьи оно не могло распознать цветы и другие предметы, у Дэвида Пирса в его обзоре R1 устройство так же не смогло распознать предметы окружения.
«Ты держишь тако». Мой Rabbit R1 сказал мне это на днях. Это был Dorito. Я показал R1 пакет всего несколько секунд назад и спросил о калориях. (R1 понял это правильно.) Я переместил его и попробовал снова — по-прежнему тако. Снова и снова в ходе тестирования R1 я сталкивался с такими моментами, как с тако, когда все просто казалось сломанным. Он ошибочно идентифицировал красную игрушку для собак, как мячик для снятия стресса, затем как помидор, затем как красный болгарский перец, который, как он меня уверял, совершенно безопасен для употребления в пищу.
Проблемы с воспроизведением музыки. Rabbit R1 может воспроизводить музыку через ваш аккаунт Spotify, но есть существенные ограничения. Устройство не позволяет изменять громкость без захода в настройки, а использование колеса прокрутки приводит к переключению треков, а не регулировке громкости. Голосовые команды на пропуск треков также не работают должным образом.
Интеграция с Uber и DoorDash. При попытке забронировать поездку через Uber, устройство иногда выдаёт ошибки и не всегда удается завершить заказ. С DoorDash R1 не смог корректно отобразить меню и осуществить заказ. В некоторых случаях он отображал неправильные результаты или не позволял добавить выбранные блюда в корзину.
Генерация изображений ИИ. У авторов обеих статей возникли проблемы с этим пунктом, Если Марк, смог хоть что-то воспроизвести, после сообщений об ошибке и проблемами с сохранением, то у Дэвида даже не получилось зайти в Midjourney из-за проблем с капчей.
Отсутствие основных функций. R1 не поддерживает базовые функции, такие как регулировка громкости, будильники, таймеры, напоминания, возможность получать пошаговые инструкции через GPS.
Время работы от аккумулятора. Время работы батареи R1 оставляет желать лучшего. В тестировании Марк заметил, что заряд батареи быстро разряжался, особенно при использовании камеры.
LAM технология самообучения R1. Предполагается что она должна изучать то, как работает приложение, чтобы иметь возможность управлять им от вашего имени.
По сути, нет никаких доказательств работы LAM в R1. В настоящее время устройство подключается только к четырем приложениям: Uber, DoorDash, Midjourney и Spotify. Вы подключаетесь к ним, открывая веб-приложение Rabbit, называемое Rabbithole, и входя в каждую службу по отдельности. Когда вы делаете это, Rabbit открывает виртуальный браузер внутри приложения и напрямую входит в систему — вы не входите в службу, предоставляемую DoorDash, а буквально на веб-сайт DoorDash, в то время как Rabbit шпионит за процессом. Rabbit утверждает, что защищает ваши учетные данные, но сам процесс кажется отвратительным и небезопасным.
Куча недостатков на релизе, проблем с безопасностью это большое разочарование. Фиксить патчами устройство, которое забирает твои конфиденциальные данные и может выдавать абсолютный бред на уровне съедобности шарика для игры это что-то на уровне Марианской впадины.