Dětská AI hračka s názvem Bondu zanechala více než 50 000 osobních záznamů chatu dostupných komukoli s účtem Gmail. Bezpečnostní výzkumníci Joseph Thacker a Joel Margolis objevili zranitelnost na začátku února poté, co zjistili, že webový portál společnosti pro monitorování konverzací byl zcela nezabezpečený.
Nechráněná data
Odhalená data zahrnovala jména dětí, data narození, informace o rodině a podrobné přepisy každé konverzace, kterou s hračkou vedly. Tento přístup byl získán bez hackování: pro plný přístup k důvěrným informacím stačilo přihlásit se pomocí standardního účtu Google.
Výzkumníci byli schopni vidět intimní detaily, jako je název dětské hračky, oblíbené občerstvení a osobní preference. Údaje byly uloženy na očích, což představovalo vážné porušení důvěrnosti.
Rychlá reakce, přetrvávající obavy
Bondu problém vyřešil během několika hodin od obdržení upozornění uzavřením portálu a jeho opětovným spuštěním se zavedenými bezpečnostními opatřeními. Generální ředitel Fatin Anam Rafid uvedl, že nedošlo k žádnému neoprávněnému přístupu kromě toho, co objevili výzkumníci. Incident však vyvolává širší otázky ohledně zabezpečení dat v produktech umělé inteligence pro děti.
Širší důsledky
Tato zranitelnost upozorňuje na rizika AI hraček, které shromažďují podrobná uživatelská data. Exponovaná konzole Bondu používala služby umělé inteligence třetích stran, jako je Gemini od Googlu a GPT-5 od OpenAI, a potenciálně přenášela konverzace dětí do těchto společností.
Výzkumníci se také domnívají, že konzole mohla být vytvořena pomocí generativních nástrojů umělé inteligence, o kterých je známo, že jsou náchylné na zranitelnosti. Incident poukazuje na možnost zneužití soukromí dětí, včetně rizik manipulace, groomingu nebo dokonce únosu.
Iluze bezpečí
Bondu se prodává jako bezpečný společník AI pro děti a dokonce nabízí odměny 500 dolarů za nevhodné reakce. Společnost však současně ponechala všechna uživatelská data zcela nechráněná, což prokázalo nebezpečnou mezeru mezi bezpečnostními tvrzeními a skutečnými ochrannými opatřeními.
Tento případ slouží jako ostré varování: bezpečnostní opatření AI nemají smysl, když chybí základní ochrana dat. Incident donutil výzkumníky, aby přehodnotili životaschopnost AI hraček v domácnosti vzhledem k jejich inherentním rizikům pro soukromí.
