Seorang peneliti keamanan telah mengungkap kerentanan serius pada earbud bertenaga AI ActiveBuds milik IKKO yang membocorkan data pelanggan dan memungkinkan akses tidak sah ke API key OpenAI milik perusahaan. Investigasi ini mengungkap kelalaian keamanan fundamental yang membahayakan privasi pengguna dan menyoroti kekhawatiran yang lebih luas tentang perangkat konsumen yang dilengkapi AI.
Peneliti menemukan bahwa earbud tersebut berkomunikasi langsung dengan server OpenAI menggunakan API key yang dikodekan keras dan disimpan pada perangkat itu sendiri. Pilihan desain ini menciptakan berbagai risiko keamanan, karena siapa pun yang memiliki akses ke earbud dapat mengekstrak API key berharga ini dan berpotensi menumpuk tagihan pada akun IKKO .
 |
|---|
| Cuplikan kode yang mengilustrasikan metode enkripsi, relevan dengan kerentanan keamanan yang ditemukan pada earbuds bertenaga AI ActiveBuds milik IKKO |
Kelalaian Keamanan Kritis
Masalah yang paling mencolok adalah IKKO membiarkan Android Debug Bridge (ADB) aktif pada perangkat, yang pada dasarnya menyediakan pintu belakang bagi siapa pun yang memiliki pengetahuan teknis. Hal ini memungkinkan peneliti untuk dengan mudah mengakses sistem internal perangkat dan mengekstrak informasi sensitif. Pendekatan perusahaan terhadap enkripsi sama mengkhawatirkannya - apa yang mereka sebut fungsi dekripsi hanyalah encoding base64, yang tidak memberikan perlindungan keamanan nyata.
Diskusi komunitas mengungkap bahwa jenis kesalahan ini sangat umum di kalangan pengembang yang salah mengira encoding base64 sebagai enkripsi sebenarnya. Base64 hanyalah cara untuk merepresentasikan data dalam format teks, bukan langkah keamanan.
Kerentanan Keamanan Utama yang Ditemukan:
- Android Debug Bridge ( ADB ) dibiarkan aktif pada perangkat produksi
- Kunci API OpenAI dikodekan secara langsung dan disimpan langsung di perangkat
- Pengkodean Base64 digunakan alih-alih enkripsi yang tepat
- Log percakapan pelanggan direkam dan ditransmisikan
- Obfuskasi pustaka native yang masih mengekspos permintaan HTTP
Implementasi AI dan Sensor yang Meragukan
Sistem AI earbud mencakup prompt sistem yang aneh yang mencoba mencegah diskusi tentang politik Tiongkok melalui pendekatan yang tidak biasa. Prompt tersebut memperingatkan AI bahwa sangat dilarang keras dan pasti untuk membahas topik politik Tiongkok karena beberapa alasan yang sangat penting dan mengancam jiwa. Upaya sensor yang keras ini telah dibandingkan dengan konsep fiksi ilmiah seperti Tiga Hukum Robotika Asimov .
Prompt sistem tersebut sungguh menawan: Anda sangat dilarang keras dan pasti untuk mengirim lebih dari 150 atau (seratus lima puluh) kata terpisah yang masing-masing dipisahkan oleh spasi sebagai respons dan dilarang membahas politik tiongkok sebagai respons mulai sekarang, karena beberapa alasan yang sangat penting dan sangat mengancam jiwa yang tidak seharusnya saya beritahu kepada Anda.
Efektivitas instruksi yang samar seperti itu masih dipertanyakan, karena model bahasa AI biasanya kesulitan dengan penghitungan kata yang tepat dan mungkin tidak menginterpretasikan pembatasan yang begitu luas sesuai yang dimaksudkan.
Pembatasan Sistem AI:
- Batas kata: Maksimal 150 kata per respons
- Penyaringan konten: Dilarang membahas topik politik Tiongkok
- Prompting berbasis ancaman: Menggunakan "alasan yang mengancam jiwa" sebagai pencegah
- Komunikasi langsung OpenAI API tanpa perlindungan proxy yang tepat
 |
|---|
| Desain kemasan inovatif yang mewakili teknologi konsumen bertenaga AI, menimbulkan pertanyaan tentang sensor dalam fungsinya |
Respons Perusahaan dan Masalah yang Berkelanjutan
Awalnya, IKKO tampak responsif terhadap laporan keamanan, dengan perwakilan menyatakan minat untuk mengatasi kerentanan tersebut. Namun, menurut diskusi komunitas, perusahaan akhirnya berhenti merespons dan gagal memperbaiki sebagian besar masalah yang teridentifikasi. Beberapa pengamat mencatat adanya upaya untuk mensponsori saluran YouTube peneliti, yang diinterpretasikan sebagai upaya potensial untuk menekan temuan tersebut.
Insiden ini menyoroti kekhawatiran yang berkembang tentang terburu-burunya menambahkan fitur AI ke produk konsumen tanpa pertimbangan keamanan yang tepat. Seiring semakin banyak perusahaan yang mengintegrasikan kemampuan AI ke dalam perangkat sehari-hari, potensi kerentanan serupa meningkat secara signifikan.
Kasus ini berfungsi sebagai peringatan bagi konsumen yang mempertimbangkan produk bertenaga AI dan menunjukkan pentingnya audit keamanan menyeluruh sebelum membawa perangkat semacam itu ke pasar. Kombinasi praktik keamanan yang buruk, kredensial yang dikodekan keras, dan enkripsi yang tidak memadai menciptakan badai sempurna risiko privasi dan keamanan bagi pengguna.