Ein KI-gestütztes Kinderspielzeug namens Bondu hinterließ über 50.000 private Chatprotokolle, auf die jeder mit einem Gmail-Konto zugreifen konnte. Die Sicherheitsforscher Joseph Thacker und Joel Margolis entdeckten die Schwachstelle Anfang Februar und stellten fest, dass das Webportal des Unternehmens zur Überwachung von Gesprächen völlig ungesichert war.
Ungeschützte Daten
Zu den offengelegten Daten gehörten die Namen der Kinder, Geburtsdaten, Familienangaben und detaillierte Abschriften aller Gespräche, die sie mit dem Spielzeug führten. Diese Zugriffsebene erfolgte ohne Hackerangriffe; Durch einfaches Anmelden mit einem Standard-Google-Konto erhalten Sie vollen Zugriff auf vertrauliche Informationen.
Die Forscher konnten intime Details wie die Kosenamen der Kinder für das Spielzeug, Lieblingssnacks und persönliche Vorlieben erkennen. Die Daten wurden für alle sichtbar gespeichert, was einen schweren Verstoß gegen die Privatsphäre darstellt.
Schnelle Reaktion, anhaltende Bedenken
Bondu ging das Problem innerhalb weniger Stunden nach der Warnung an, schloss das Portal und startete es mit Sicherheitsmaßnahmen neu. CEO Fateen Anam Rafid gab an, dass über die Entdeckung der Forscher hinaus kein unbefugter Zugriff stattgefunden habe. Der Vorfall wirft jedoch umfassendere Fragen zur Datensicherheit in KI-gesteuerten Kinderprodukten auf.
Weitergehende Implikationen
Die Sicherheitslücke verdeutlicht die Risiken von KI-Spielzeugen, die detaillierte Benutzerdaten sammeln. Die exponierte Bondu-Konsole nutzte KI-Dienste von Drittanbietern wie Googles Gemini und OpenAIs GPT-5 und teilte möglicherweise die Gespräche von Kindern mit diesen Unternehmen.
Forscher vermuten außerdem, dass die Konsole möglicherweise „vibe-codiert“ wurde – also mit generativen KI-Tools erstellt wurde, die bekanntermaßen Sicherheitslücken mit sich bringen. Der Vorfall unterstreicht das Potenzial für den Missbrauch sensibler Kinderdaten, einschließlich der Gefahr von Manipulation, Manipulation oder sogar Entführung.
Die Illusion der Sicherheit
Bondu vermarktet sich als sicherer KI-Begleiter für Kinder und setzt sogar ein Kopfgeld von 500 US-Dollar für unangemessene Reaktionen aus. Gleichzeitig ließ das Unternehmen jedoch alle Benutzerdaten völlig ungesichert, was auf eine gefährliche Diskrepanz zwischen Sicherheitsansprüchen und tatsächlichen Sicherheitspraktiken hinweist.
Der Fall dient als deutliche Warnung: KI-Sicherheitsmaßnahmen sind bedeutungslos, wenn der zugrunde liegende Datenschutz nicht vorhanden ist. Der Vorfall hat Forscher dazu veranlasst, die Machbarkeit von KI-Spielzeugen in Haushalten angesichts der damit verbundenen Risiken für die Privatsphäre zu überdenken.
