Детская AI-игрушка под названием Bondu оставила более 50 000 личных чат-логов доступными для любого, у кого есть аккаунт Gmail. Специалисты по безопасности Джозеф Тэкер и Джоэл Марголис обнаружили эту уязвимость в начале февраля, выяснив, что веб-портал компании для мониторинга разговоров был полностью незащищённым.
Незащищённые данные
Среди раскрытых данных были имена детей, даты рождения, сведения о семье и подробные расшифровки каждого разговора, который они вели с игрушкой. Такой доступ был получен без взлома: достаточно было войти в систему со стандартным аккаунтом Google, чтобы получить полный доступ к конфиденциальной информации.
Исследователи смогли увидеть интимные детали, такие как кличка для игрушки, любимые закуски и личные предпочтения детей. Данные хранились на виду, что представляет собой серьёзное нарушение конфиденциальности.
Быстрая реакция, сохраняющиеся опасения
Bondu устранила проблему в течение нескольких часов после получения уведомления, закрыв портал и перезапустив его с мерами безопасности. Генеральный директор Фатин Анам Рафид заявил, что несанкционированного доступа, кроме обнаруженного исследователями, не было. Однако инцидент поднимает более широкие вопросы о безопасности данных в AI-продуктах для детей.
Более широкие последствия
Уязвимость подчёркивает риски AI-игрушек, которые собирают подробные данные пользователей. Раскрытая консоль Bondu использовала сторонние AI-сервисы, такие как Gemini от Google и GPT-5 от OpenAI, потенциально передавая разговоры детей этим компаниям.
Исследователи также подозревают, что консоль могла быть создана с использованием генеративных AI-инструментов, известных своей подверженностью уязвимостям. Инцидент подчёркивает потенциал злоупотребления конфиденциальными данными детей, включая риски манипулирования, груминга или даже похищения.
Иллюзия безопасности
Bondu позиционирует себя как безопасного AI-компаньона для детей и даже предлагает вознаграждение в размере 500 долларов за неуместные ответы. Однако компания одновременно оставила все пользовательские данные полностью незащищёнными, что демонстрирует опасный разрыв между заявлениями о безопасности и фактическими мерами защиты.
Этот случай служит суровым предупреждением: меры безопасности AI бессмысленны, когда основная защита данных отсутствует. Инцидент заставил исследователей пересмотреть жизнеспособность AI-игрушек в домашних условиях, учитывая присущие им риски для конфиденциальности.
