Zabawka sztuczna inteligencja dla dzieci o nazwie Bondu udostępniła ponad 50 000 osobistych dzienników czatów każdemu posiadaczowi konta Gmail. Badacze bezpieczeństwa Joseph Thacker i Joel Margolis odkryli tę lukę na początku lutego po odkryciu, że portal internetowy firmy służący do monitorowania rozmów był całkowicie niezabezpieczony.
Niechronione dane
Ujawnione dane obejmowały imiona dzieci, daty urodzenia, informacje o rodzinie i szczegółowe transkrypcje każdej rozmowy, jaką odbyły z zabawką. Dostęp ten uzyskano bez włamań: wystarczyło zalogować się przy użyciu standardowego konta Google, aby uzyskać pełny dostęp do poufnych informacji.
Badacze byli w stanie zobaczyć intymne szczegóły, takie jak nazwa zabawki dziecka, ulubione przekąski i osobiste preferencje. Dane były przechowywane na widoku, co stanowiło poważne naruszenie poufności.
Szybka reakcja, utrzymujące się obawy
Bondu rozwiązał problem w ciągu kilku godzin od otrzymania powiadomienia, zamykając portal i uruchamiając go ponownie z zachowaniem środków bezpieczeństwa. Dyrektor generalny Fatin Anam Rafid powiedział, że nie doszło do nieautoryzowanego dostępu poza tym, co odkryli naukowcy. Jednak incydent ten rodzi szersze pytania dotyczące bezpieczeństwa danych w produktach AI dla dzieci.
Szersze implikacje
Luka podkreśla ryzyko związane z zabawkami AI, które zbierają szczegółowe dane użytkownika. Odsłonięta konsola Bondu korzystała z usług sztucznej inteligencji innych firm, takich jak Google Gemini i GPT-5 OpenAI, potencjalnie przesyłając rozmowy dzieci do tych firm.
Badacze podejrzewają również, że konsola mogła zostać stworzona przy użyciu narzędzi generatywnej sztucznej inteligencji, o których wiadomo, że są podatne na luki. Incydent uwydatnia potencjalne ryzyko niewłaściwego wykorzystania prywatności dzieci, w tym ryzyko manipulacji, uwodzenia, a nawet porwania.
Iluzja bezpieczeństwa
Bondu reklamuje się jako bezpieczny towarzysz AI dla dzieci, a nawet oferuje nagrody w wysokości 500 dolarów za niewłaściwe reakcje. Jednak firma jednocześnie całkowicie pozostawiła wszystkie dane użytkowników bez ochrony, demonstrując niebezpieczną lukę pomiędzy zapewnieniami bezpieczeństwa a rzeczywistymi środkami ochrony.
Ten przypadek stanowi wyraźne ostrzeżenie: środki bezpieczeństwa AI są bez znaczenia, gdy brakuje podstawowej ochrony danych. Incydent zmusił badaczy do ponownego rozważenia przydatności zabawek AI w domu, biorąc pod uwagę związane z nimi ryzyko dla prywatności.
