Mainan anak-anak yang didukung AI, bernama Bondu, meninggalkan lebih dari 50.000 log obrolan pribadi yang dapat diakses oleh siapa saja yang memiliki akun Gmail. Peneliti keamanan Joseph Thacker dan Joel Margolis menemukan kerentanan tersebut pada awal Februari, dan menemukan bahwa portal web perusahaan untuk memantau percakapan sama sekali tidak aman.
Data Tidak Dilindungi
Data yang diekspos mencakup nama anak-anak, tanggal lahir, detail keluarga, dan transkrip detail dari setiap percakapan mereka dengan mainan tersebut. Tingkat akses ini terjadi tanpa peretasan apa pun; cukup masuk dengan akun Google standar yang diberikan akses penuh ke informasi sensitif.
Para peneliti dapat melihat detail mendalam seperti nama hewan peliharaan anak-anak untuk mainan tersebut, makanan ringan favorit, dan preferensi pribadi. Data disimpan di depan mata, menunjukkan pelanggaran privasi yang parah.
Respon Cepat, Kekhawatiran yang Masih Ada
Bondu mengatasi masalah ini dalam beberapa jam setelah diperingatkan, menutup portal dan meluncurkannya kembali dengan langkah-langkah keamanan. CEO Fateen Anam Rafid menyatakan tidak ada akses tidak sah yang terjadi di luar penemuan peneliti. Namun, insiden tersebut menimbulkan pertanyaan yang lebih luas mengenai keamanan data dalam produk anak-anak berbasis AI.
Implikasi yang Lebih Luas
Kerentanan tersebut menyoroti risiko mainan AI yang mengumpulkan data pengguna secara rinci. Konsol Bondu yang terekspos menggunakan layanan AI pihak ketiga seperti Google Gemini dan OpenAI GPT-5, yang berpotensi berbagi percakapan anak-anak dengan perusahaan-perusahaan ini.
Para peneliti juga menduga konsol tersebut mungkin “berkode getaran” – dibuat menggunakan alat AI generatif yang diketahui menimbulkan kelemahan keamanan. Insiden ini menggarisbawahi potensi penyalahgunaan data sensitif anak-anak, termasuk risiko manipulasi, perawatan, atau bahkan penculikan.
Ilusi Keamanan
Bondu memasarkan dirinya sebagai pendamping AI yang aman untuk anak-anak dan bahkan menawarkan hadiah $500 untuk tanggapan yang tidak pantas. Namun, perusahaan ini pada saat yang sama membiarkan seluruh data penggunanya tidak aman, hal ini menunjukkan adanya keterputusan yang berbahaya antara klaim keselamatan dan praktik keamanan sebenarnya.
Kasus ini menjadi peringatan keras: langkah-langkah keamanan AI tidak ada artinya jika tidak ada perlindungan data yang mendasarinya. Insiden ini telah mendorong para peneliti untuk mempertimbangkan kembali kelayakan mainan AI di rumah tangga, mengingat adanya risiko privasi yang melekat.
