Rabbit R1 dirilis pada bulan April, dan sejak peluncuran resminya, ia hanya menuai kontroversi dan kritik karena klaim fungsionalitas mandiri yang berlebihan. Rabbit R1 juga dipertanyakan karena keluar sebagai perangkat khusus padahal hanya bisa keluar sebagai sebuah aplikasi. Dikatakan bahwa alat tersebut berjalan pada build AOSP untuk Android dan gagal memenuhi janjinya dalam menyediakan kemampuan perintah untuk bertindak karena dirilis lebih awal dari yang seharusnya. Muncul isu baru seputar sistem kode R1 yang berpotensi menimbulkan ancaman keamanan serius.
Komunitas pengembang Rabbit R1 telah menunjukkan beberapa kelemahan keamanan serius dalam sistem kode R1
kelinci adalah komunitas pengembang Rabbit R1 dan mereka mengklaim bahwa mereka dapat mengakses basis kode kelinci dan menemukan kunci API hardcode. Kuncinya menimbulkan ancaman keamanan yang serius bagi pengguna, karena siapa pun berpotensi membaca setiap respons R1, mengubah respons, dan bahkan mengganti suara R1 dengan akses mereka.
Permintaan pengguna harus dikirim dengan aman, dan sistem pemrosesan berbasis cloud yang disebut lubang kelinci tidak boleh membahayakan privasi data pelanggan dan tertanam langsung dalam kode sumber. Kunci API dapat digunakan oleh pihak ketiga mana pun untuk mendapatkan akses ke informasi sensitif dan pribadi, dan pelaku kejahatan dapat mengeksploitasi kerentanan keamanan ini.
Layanan berikut menggunakan API, yang menunjukkan bagaimana beberapa respons r1 dapat berisi data penting: Azure, Yelp, Google Maps, dan lainnya. Eleven Labs merupakan ancaman paling besar, karena dengan kunci API-nya, tim Rabbitude dapat memperoleh akses lengkap ke riwayat pesan, mengubah suara, melakukan perubahan, atau bahkan membuat crash RabbitOS sepenuhnya hanya dengan menghapus suara.
Para peneliti mengklaim bahwa Rabbit telah menyadari sepenuhnya masalah ini sejak bulan Mei dan tidak mengambil tindakan meskipun memiliki pengetahuan penuh tentang potensi pelanggaran data. Mereka langsung menyangkalnya Engadget masalah apa pun yang terjadi pada sistem dan mengaku baru saja mendengar tentang masalah yang sedang terjadi. Perusahaan berkata,
Hingga saat ini, kami tidak mengetahui adanya kebocoran data pelanggan atau gangguan apa pun pada sistem kami.”
Meskipun Rabbit mengklaim bahwa tidak ada kerusakan yang terjadi, hal ini membuat empat kunci menjadi tidak valid dan bahkan menyebabkan sistem crash untuk sementara. Tim pengembang tidak berhenti di situ untuk menyadarkan pengguna akan potensi eksploitasi keamanan dengan R1. Mereka memberi tahu 404Media memiliki akses ke API untuk SendGrid, sub-domain email, dan menginformasikan publikasi melalui domain Rabbit resmi dengan menyamar sebagai administrator untuk menunjukkan potensi dampaknya.
Rabbit R1 sepertinya hanya menuai kontroversi, kritik dan kekurangan, membuat kita mempertanyakan apakah fungsionalitas gadget tersebut layak untuk menanggung semua beban yang dibawanya.
