Un giocattolo per bambini basato sull’intelligenza artificiale, chiamato Bondu, ha lasciato oltre 50.000 registri di chat private accessibili a chiunque abbia un account Gmail. I ricercatori di sicurezza Joseph Thacker e Joel Margolis hanno scoperto la vulnerabilità all’inizio di febbraio, scoprendo che il portale web dell’azienda per il monitoraggio delle conversazioni era completamente non protetto.
Dati non protetti
I dati esposti includevano nomi dei bambini, date di nascita, dettagli familiari e trascrizioni dettagliate di ogni conversazione avuta con il giocattolo. Questo livello di accesso è avvenuto senza alcun intervento di hacking; il semplice accesso con un account Google standard garantisce l’accesso completo alle informazioni sensibili.
I ricercatori sono stati in grado di vedere dettagli intimi come i nomi degli animali domestici dei bambini per il giocattolo, gli snack preferiti e le preferenze personali. I dati sono stati archiviati in bella vista, rappresentando una grave violazione della privacy.
Risposta rapida, preoccupazioni persistenti
Bondu ha affrontato il problema poche ore dopo essere stato avvisato, chiudendo il portale e rilanciandolo con misure di sicurezza. Il CEO Fateen Anam Rafid ha dichiarato che non si è verificato alcun accesso non autorizzato oltre alla scoperta dei ricercatori. Tuttavia, l’incidente solleva domande più ampie sulla sicurezza dei dati all’interno dei prodotti per bambini basati sull’intelligenza artificiale.
Implicazioni più ampie
La vulnerabilità evidenzia i rischi dei giocattoli IA che raccolgono dati utente dettagliati. La console Bondu esposta utilizzava servizi di intelligenza artificiale di terze parti come Gemini di Google e GPT-5 di OpenAI, condividendo potenzialmente le conversazioni dei bambini con queste società.
I ricercatori sospettano anche che la console possa essere stata “vibe-coded”, creata utilizzando strumenti di intelligenza artificiale generativa noti per introdurre difetti di sicurezza. L’incidente sottolinea il potenziale di uso improprio dei dati sensibili dei bambini, compresi i rischi di manipolazione, adescamento o addirittura rapimento.
L’illusione della sicurezza
Bondu si propone come un compagno sicuro di intelligenza artificiale per i bambini e offre persino una taglia di $ 500 per risposte inappropriate. Tuttavia, l’azienda ha contemporaneamente lasciato tutti i dati degli utenti completamente non protetti, evidenziando una pericolosa disconnessione tra le dichiarazioni di sicurezza e le effettive pratiche di sicurezza.
Il caso funge da duro avvertimento: le misure di sicurezza dell’IA sono prive di significato quando la protezione dei dati sottostante è inesistente. L’incidente ha spinto i ricercatori a riconsiderare la fattibilità dei giocattoli basati sull’intelligenza artificiale nelle famiglie, dati i rischi intrinseci alla privacy.
