Um brinquedo infantil alimentado por IA, chamado Bondu, deixou mais de 50.000 registros de bate-papo privados acessíveis a qualquer pessoa com uma conta do Gmail. Os pesquisadores de segurança Joseph Thacker e Joel Margolis descobriram a vulnerabilidade no início de fevereiro, descobrindo que o portal da empresa para monitorar conversas era completamente inseguro.
Dados desprotegidos
Os dados expostos incluíam nomes de crianças, datas de nascimento, detalhes familiares e transcrições detalhadas de cada conversa que tiveram com o brinquedo. Este nível de acesso ocorreu sem qualquer hacking; simplesmente fazer login com uma conta padrão do Google com acesso total a informações confidenciais.
Os pesquisadores conseguiram ver detalhes íntimos, como nomes de animais de estimação das crianças para o brinquedo, lanches favoritos e preferências pessoais. Os dados foram armazenados à vista de todos, representando uma grave violação de privacidade.
Resposta Rápida, Preocupações Persistentes
Bondu resolveu o problema horas depois de ser alertado, fechando o portal e reiniciando-o com medidas de segurança. O CEO Fateen Anam Rafid afirmou que nenhum acesso não autorizado ocorreu além da descoberta dos pesquisadores. No entanto, o incidente levanta questões mais amplas sobre a segurança dos dados em produtos infantis baseados em IA.
Implicações mais amplas
A vulnerabilidade destaca os riscos dos brinquedos de IA que coletam dados detalhados do usuário. O console Bondu exposto usava serviços de IA de terceiros, como Gemini do Google e GPT-5 da OpenAI, potencialmente compartilhando conversas de crianças com essas empresas.
Os pesquisadores também suspeitam que o console pode ter sido “codificado por vibração” – criado usando ferramentas generativas de IA conhecidas por introduzir falhas de segurança. O incidente sublinha o potencial de utilização indevida de dados sensíveis de crianças, incluindo riscos de manipulação, aliciamento ou mesmo sequestro.
A Ilusão de Segurança
Bondu se comercializa como um companheiro seguro de IA para crianças e ainda oferece uma recompensa de US$ 500 por respostas inadequadas. No entanto, a empresa deixou simultaneamente todos os dados dos utilizadores completamente inseguros, destacando uma perigosa desconexão entre as alegações de segurança e as práticas reais de segurança.
O caso serve como um aviso severo: as medidas de segurança da IA são inúteis quando a proteção de dados subjacente é inexistente. O incidente levou os investigadores a reconsiderar a viabilidade dos brinquedos de IA nas famílias, dados os riscos inerentes à privacidade.
