事實證明絕對不要相信任何網站、應用程式、硬體開發商所說的透過多種方式加密並保護用戶隱私，沒被發現問題前都說是隱私為先、高強度加密，一旦被發現問題就會讓人知道這些開發商在安全方面的工作是多麼脆弱。

Rabbit R1 是一款AI 問答玩具，即內建麥克風和網路連接，使用者可以直接透過Rabbit R1 與AI 模型進行語音對話，而這個小硬體先前有著非常高的熱度。

和大多數硬體開發商一樣Rabbit R1 的製造商在官網宣傳使用多種安全措施保護用戶隱私，但在最近安全研究人員發現Rabbit R1 使用硬編碼的API，拿到這個API 後可以查詢用戶的所有問答和私密資訊。

Rabbit R1 使用的API 包括文字轉語音服務ElevenLabs、Azure 文字轉語音系統、透過Yelp 呼叫的商品評價和用於谷歌地圖呼叫位置資訊的介面。

這些API 金鑰可以用來：

• 查看用戶與R1 的所有對話內容
• 遠端破壞R1 的後端服務從而讓所有R1 變磚
• 改變R1 的對話回應
• 替換R1 的聲音輸出

這家製造商的基礎安全系統也存在安全漏洞，研究人員直接入侵了該系統並使用其電子郵件系統發送郵件來證明自己成功入侵，4 月份已經執行過類似操作但並未被發現，最近研究人員又測試了一次漏洞還是沒有被修復。

值得注意的是製造商Rabbitude 其實知道Rabbit R1 中存在此類安全問題，但沒有採取任何措施修復問題也沒有發布任何安全公告。

研究人員至今不願意透露漏洞的細節是因為他們不希望用戶暴露在風險中，而不是出於對這家製造商的尊重，因為公佈漏洞細節的話可能會給很多用戶帶來嚴重的安全問題。