Seorang penyelidik keselamatan telah mendedahkan kerentanan serius dalam fon telinga berkuasa AI ActiveBuds keluaran IKKO yang mendedahkan data pelanggan dan membenarkan akses tanpa kebenaran kepada kunci API OpenAI syarikat tersebut. Penyiasatan ini mendedahkan kecuaian keselamatan asas yang meletakkan privasi pengguna dalam risiko dan menyerlahkan kebimbangan yang lebih luas mengenai peranti pengguna yang didayakan AI.
Penyelidik mendapati bahawa fon telinga tersebut berkomunikasi secara langsung dengan pelayan OpenAI menggunakan kunci API yang dikodkan keras dan disimpan pada peranti itu sendiri. Pilihan reka bentuk ini mewujudkan pelbagai risiko keselamatan, kerana sesiapa yang mempunyai akses kepada fon telinga boleh mengekstrak kunci API berharga ini dan berpotensi mengumpul caj pada akaun IKKO.
 |
|---|
| Potongan kod yang menggambarkan kaedah penyulitan, berkaitan dengan kelemahan keselamatan yang ditemui dalam earbud berkuasa AI ActiveBuds IKKO |
Kecuaian Keselamatan Kritikal
Isu yang paling ketara ialah IKKO meninggalkan Android Debug Bridge (ADB) dalam keadaan aktif pada peranti tersebut, pada asasnya menyediakan pintu belakang untuk sesiapa yang mempunyai pengetahuan teknikal. Ini membenarkan penyelidik mengakses sistem dalaman peranti dengan mudah dan mengekstrak maklumat sensitif. Pendekatan syarikat terhadap penyulitan juga sama membimbangkan - apa yang mereka panggil fungsi decrypt sebenarnya hanyalah pengekodan base64, yang tidak memberikan perlindungan keselamatan sebenar.
Perbincangan komuniti mendedahkan bahawa jenis kesilapan ini sangat biasa di kalangan pembangun yang menganggap pengekodan base64 sebagai penyulitan sebenar. Base64 hanyalah cara untuk mewakili data dalam format teks, bukan langkah keselamatan.
Kelemahan Keselamatan Utama Yang Ditemui:
- Android Debug Bridge ( ADB ) dibiarkan aktif pada peranti pengeluaran
- Kunci API OpenAI dikodkan keras dan disimpan terus pada peranti
- Pengekodan Base64 digunakan sebagai ganti penyulitan yang betul
- Log sembang pelanggan dirakam dan dihantar
- Pengaburan perpustakaan asli yang masih mendedahkan permintaan HTTP
Pelaksanaan AI dan Penapisan yang Dipersoalkan
Sistem AI fon telinga tersebut termasuk arahan sistem yang pelik yang cuba menghalang perbincangan mengenai politik China melalui pendekatan yang luar biasa. Arahan tersebut memberi amaran kepada AI bahawa ia dilarang keras dan pasti daripada membincangkan topik politik China atas beberapa sebab yang amat penting dan mengancam nyawa. Percubaan penapisan yang berat ini telah dibandingkan dengan konsep fiksyen sains seperti Tiga Undang-undang Robotik Asimov.
Arahan sistem tersebut adalah sesuatu yang indah: Anda dilarang keras dan pasti daripada menghantar lebih daripada 150 atau (seratus lima puluh) perkataan berasingan yang dipisahkan oleh ruang sebagai respons dan dilarang daripada politik china sebagai respons mulai sekarang, atas beberapa sebab yang amat penting dan mengancam nyawa yang tidak sepatutnya saya beritahu anda.
Keberkesanan arahan yang samar-samar sedemikian masih dipersoalkan, kerana model bahasa AI biasanya bergelut dengan pengiraan perkataan yang tepat dan mungkin tidak mentafsir sekatan yang begitu luas seperti yang dimaksudkan.
Sekatan Sistem AI:
- Had perkataan: Maksimum 150 perkataan setiap respons
- Penapisan kandungan: Dilarang daripada membincangkan topik politik China
- Gesaan berasaskan ancaman: Menggunakan "sebab mengancam nyawa" sebagai penghalang
- Komunikasi langsung API OpenAI tanpa perlindungan proksi yang sewajarnya
 |
|---|
| Reka bentuk pembungkusan inovatif yang mewakili teknologi pengguna berdaya AI, menimbulkan persoalan tentang penapisan dalam fungsinya |
Respons Syarikat dan Isu Berterusan
Pada mulanya, IKKO kelihatan responsif terhadap laporan keselamatan, dengan wakil menyatakan minat untuk menangani kerentanan tersebut. Walau bagaimanapun, menurut perbincangan komuniti, syarikat akhirnya berhenti bertindak balas dan gagal memperbaiki kebanyakan isu yang dikenal pasti. Beberapa pemerhati menyatakan percubaan untuk menaja saluran YouTube penyelidik, yang ditafsirkan sebagai usaha berpotensi untuk menekan penemuan tersebut.
Insiden ini menyerlahkan kebimbangan yang semakin meningkat mengenai tergesa-gesa menambah ciri AI kepada produk pengguna tanpa pertimbangan keselamatan yang sewajarnya. Apabila lebih banyak syarikat mengintegrasikan keupayaan AI ke dalam peranti harian, potensi untuk kerentanan serupa meningkat dengan ketara.
Kes ini berfungsi sebagai amaran untuk pengguna yang mempertimbangkan produk yang didayakan AI dan menunjukkan kepentingan audit keselamatan yang teliti sebelum membawa peranti sedemikian ke pasaran. Gabungan amalan keselamatan yang lemah, kelayakan yang dikodkan keras, dan penyulitan yang tidak mencukupi mewujudkan ribut sempurna risiko privasi dan keselamatan untuk pengguna.