AIデバイス「Rabbit R1」のコードに、重要なAPIキーが直接書き込まれていたのを発見したと、R1のリバースエンジニアリングを行っている研究者グループが発表しました。このAPIキーを使用すれば、ユーザーの個人情報を含む内部的なデータに自由にアクセスできてしまうと、研究グループは述べています。

Updates on investigation on r1 SaaS API keys

https://www.rabbit.tech/security-investigation-062524

rabbit failed to properly reset all keys: emails can be sent from rabbit.tech domains

https://rabbitu.de/articles/security-disclosure-2

Researchers Prove Rabbit AI Breach By Sending Email to Us as Admin

https://www.404media.co/researchers-prove-rabbit-ai-breach-by-sending-email-to-us-as-admin/

Rabbit R1は、技術系スタートアップのRabbitが開発したAIデバイスです。ChatGPTを搭載したパーソナルアシスタントデバイスとして鳴り物入りでリリースされたR1ですが、その実態は既成APIを使用したAndroidアプリを動作させているに過ぎず、機能やパフォーマンスも期待外れだったとして、ユーザーやレビューアーから不評を買っています。

AIデバイス「rabbit r1」を買ったら「その機能は準備中」を連発する詐欺的製品だっという報告 - GIGAZINE



さらに、R1のジェイルブレイクとリバースエンジニアリングを行っているコミュニティ「rabbitude」は、R1のコードベースに重要なAPIキーがハードコーディング、つまり直接書き込まれていたのを見つけたと発表しました。

APIキーは、サービスのプロバイダーがAPIを活用している製品を識別し、その使用状況を追跡するのに使用されるため、非常に機密性の高いものです。従って、ソースコードにAPIキーがそのままハードコーディングされることは基本的にありません。

rabbitudeが見つけたAPIキーはElevenLabs(テキスト読み上げサービス用)、Azure(古い音声テキスト変換システム用)、Yelp(レビュー検索用)、Googleマップ(位置の検索用)のものです。

特に、ElevenLabsのAPIキーを使うと管理者権限を得られるため、rabbitudeはこれらのAPIキーを使うことで「個人情報を含む、R1がこれまでにユーザーに行ったすべての返答の閲覧」「すべてのR1を文鎮化させること」「すべてのR1の応答を変更すること」「すべてのR1の音声を変更すること」が可能だとしています。

rabbitudeのメンバーのひとりは、海外メディアの404 Mediaに「機密管理の一般的な手法は、コード自体に秘密のキーや値をハードコーディングしたりせず、実行時に何らかの形式でキーを挿入することです。しかし、興味深いことに、RabbitはすべてのコードをKubernetesというシステムで管理されたコンテナにデプロイしています。Kubernetesは前述の機密管理の方法をネイティブでサポートしているので、普通はそうするのが当たり前のはずです」と話しました。



実は、rabbitudeは2024年5月にこの問題を発見し、ブログで報告していました。しかし、RabbitはAPIキーが漏えいした事実を認識しつつ、これまで具体的な行動を取っていなかったとのこと。

そして、1カ月以上が経過した6月26日になってRabbitは「昨日、当社は第三者がAPIキーにアクセスした可能性があるという通知を受けて、APIキーをローテーションし、これによってR1で短時間のダウンタイムが発生しました。当社のチームは調査を続けていますが、現時点では当社の重要なシステムや顧客データの安全性が侵害されたことは確認されていません」との声明を発表しました。

rabbitudeによると、Rabbitが発表したとおり、実際に前述の4つのAPIキーがローテーションされていたとのこと。しかし、rabbitudeはハードコーディングされた5つ目のAPIキーとして、電子メールサービス「SendGrid」のAPIキーを発見しており、これを使ってRabbitの社内メールアドレスから送信されたメールを閲覧したり、社内メールアドレスからメールを送ったりすることができました。

404 Mediaは、実際にrabbitudeがRabbitのメールアドレスから送った「すみません、ハッキングされましたが、私たちは臆病者の集まりなので、それを否定し続けています。総勢1名のRabbitセキュリティーチームより」というメールを受け取ったことを確認しています。



rabbitudeはRabbitの声明について「率直に言うと、声明はうそだと思います。確かに、私たちはユーザーデータを盗んでいませんので、『顧客データは漏えいしていない』という声明は、厳密に定義すれば真実ですが、もし私たちがその気になれば本来アクセスされるべきでないものにアクセスできたでしょう」と述べました。