Een door AI aangedreven speelgoed voor kinderen, genaamd Bondu, liet meer dan 50.000 privéchatlogboeken achter die toegankelijk waren voor iedereen met een Gmail-account. Beveiligingsonderzoekers Joseph Thacker en Joel Margolis ontdekten de kwetsbaarheid begin februari en ontdekten dat het webportaal van het bedrijf voor het monitoren van gesprekken volledig onbeveiligd was.
Onbeveiligde gegevens
De blootgestelde gegevens omvatten de namen van kinderen, geboortedata, familiegegevens en gedetailleerde transcripties van elk gesprek dat ze met het speelgoed hadden. Dit toegangsniveau vond plaats zonder enige hacking; eenvoudigweg inloggen met een standaard Google-account dat volledige toegang geeft tot gevoelige informatie.
De onderzoekers konden intieme details zien, zoals de koosnaampjes van kinderen voor het speelgoed, favoriete snacks en persoonlijke voorkeuren. De gegevens werden in het zicht opgeslagen, wat een ernstige inbreuk op de privacy betekende.
Snelle reactie, aanhoudende zorgen
Bondu loste het probleem binnen enkele uren na de waarschuwing op, sloot het portaal af en startte het opnieuw met beveiligingsmaatregelen. CEO Fateen Anam Rafid verklaarde dat er buiten de ontdekking van de onderzoekers geen ongeoorloofde toegang heeft plaatsgevonden. Het incident roept echter bredere vragen op over gegevensbeveiliging binnen AI-gestuurde kinderproducten.
Bredere implicaties
De kwetsbaarheid benadrukt de risico’s van AI-speelgoed dat gedetailleerde gebruikersgegevens verzamelt. De blootgestelde Bondu-console maakte gebruik van AI-services van derden, zoals Google’s Gemini en OpenAI’s GPT-5, en deelde mogelijk de gesprekken van kinderen met deze bedrijven.
Onderzoekers vermoeden ook dat de console mogelijk ‘vibe-gecodeerd’ is – gemaakt met behulp van generatieve AI-tools waarvan bekend is dat ze beveiligingsfouten introduceren. Het incident onderstreept het potentieel voor misbruik van gevoelige gegevens van kinderen, inclusief het risico van manipulatie, verzorging of zelfs ontvoering.
De illusie van veiligheid
Bondu brengt zichzelf op de markt als een veilige AI-metgezel voor kinderen en biedt zelfs een premie van $ 500 voor ongepaste reacties. Toch liet het bedrijf tegelijkertijd alle gebruikersgegevens volledig onbeveiligd, wat de gevaarlijke discrepantie tussen veiligheidsclaims en daadwerkelijke beveiligingspraktijken benadrukte.
De zaak dient als een duidelijke waarschuwing: AI-veiligheidsmaatregelen zijn zinloos als onderliggende gegevensbescherming niet bestaat. Het incident heeft onderzoekers ertoe aangezet de haalbaarheid van AI-speelgoed in huishoudens te heroverwegen, gezien de inherente privacyrisico’s.
