新创业者Rabbit与消费者装置製造商Teenage Engineering合作开发的AI装置Rabbit r1，本周遭爆外洩许多API金钥，将允许任何人读取Rabbit r1所生成的内容，或是让所有的Rabbit r1变砖，还能窜改Rabbit r1的回应或是置换Rabbit r1的声音，更令人讶异的是，研究人员指出Rabbit r1早就知道其装置的API金钥外洩，却一直未採取行动。

甫于去年才成立的Rabbit主要开发支援自然语言介面的作业系统与硬件，所打造的rabbit OS是基于大型语言模型（LLM）及大型动作模型（Large Action Model ，LAM），意味着其指令不仅可生成解答，还可用来执行动作。Rabbit在今年1月发表了委由Teenage Engineering製造的AI装置Rabbit r1，售价199美元，已于今年3月出货。

Rabbit r1是个小型装置，具备SIM卡插槽，能与LLM对话，可透过Perplexity进行搜寻，支援AI视觉，能够进行双向翻译，也可利用AI来摘要文字，其LAM功能则包括播放Spotify等音乐程序、叫车或叫外卖。不过，SIM卡只是用来使用网路，Rabbit r1并非手机，既不支援拨打电话，亦无简讯功能。

发现相关漏洞的是专门针对Rabbit r1专案进行反向工程的Rabbitude社群，研究人员表示，他们在今年5月存取了Rabbit r1的程序码库，并发现其中含有许多写死的API金钥，包括将文字转译成语音的ElevenLabs、语音转文字的Azure系统、评论服务Yelp，以及Google Maps。

其中的ElevenLabs金钥甚至具备了完整权限，允许任何人取得该服务的完整历史纪录，变更及删除所使用的声音，添加客製化的文字置换能力，更有令Rabbit r1装置变砖的能力。

研究人员还指出，其实Rabbit团队也知道其API金钥已经外洩，却未採取任何行动，任由它们存在于程序码中，之所以未公布所有细节是为了尊重Rabbit r1用户，而非Rabbit。

在Rabbit r1上市后，也有许多媒体测试了该装置，对它的评价还低于Humane的Ai Pin，例如Engadget称这个AI玩具在各方面都是失败的，PCMag还说它的优点只有便宜跟造型可爱，其它不管是性能、功能、操作介面或电池寿命都不怎样；Tom's Guide更直接劝告消费者不要买Rabbit r1。Rabbit未曾公布Rabbit r1的销售量。

同样身为AI装置，曾经备受期待，却在产品现身后评价不佳的Ai Pin，其製造商Humane已传出有意求售的消息。