Дитяча іграшка зі штучним інтелектом під назвою Bondu залишила понад 50 000 журналів особистих чатів, доступних кожному, хто має обліковий запис Gmail. Дослідники безпеки Джозеф Такер і Джоел Марголіс виявили вразливість на початку лютого після того, як виявили, що веб-портал компанії для моніторингу розмов був повністю незахищеним.
Незахищені дані
Виявлені дані включали імена дітей, дати народження, інформацію про сім’ю та детальні стенограми кожної розмови, яку вони мали з іграшкою. Цей доступ був отриманий без злому: достатньо було увійти зі стандартним обліковим записом Google, щоб отримати повний доступ до конфіденційної інформації.
Дослідники змогли побачити інтимні деталі, такі як назва дитячої іграшки, улюблені закуски та особисті уподобання. Дані зберігалися на виду, що було серйозним порушенням конфіденційності.
Швидка відповідь, тривожні проблеми
Bondu вирішив проблему протягом кількох годин після отримання сповіщення, закривши портал і перезапустивши його із застосуванням заходів безпеки. Генеральний директор Фатін Анам Рафід сказав, що ніякого несанкціонованого доступу не було, крім того, що було виявлено дослідниками. Однак цей інцидент викликає ширші питання щодо безпеки даних у продуктах ШІ для дітей.
Ширші наслідки
Уразливість підкреслює ризики іграшок зі штучним інтелектом, які збирають детальні дані користувачів. Викрита консоль Bondu використовувала сторонні сервіси штучного інтелекту, такі як Gemini від Google і GPT-5 від OpenAI, потенційно передаючи розмови дітей цим компаніям.
Дослідники також підозрюють, що консоль могла бути створена за допомогою генеративних інструментів штучного інтелекту, які, як відомо, чутливі до вразливостей. Інцидент підкреслює можливість зловживання конфіденційністю дітей, включаючи ризики маніпуляцій, догляду за дітьми чи навіть викрадення.
Ілюзія безпеки
Bondu рекламує себе як безпечний супутник штучного інтелекту для дітей і навіть пропонує 500 доларів винагороди за неадекватні відповіді. Однак компанія одночасно залишила всі дані користувачів повністю незахищеними, демонструючи небезпечний розрив між заявами про безпеку та фактичними заходами захисту.
Цей випадок служить суворим попередженням: заходи безпеки ШІ не мають сенсу, якщо відсутній базовий захист даних. Інцидент змусив дослідників переглянути життєздатність іграшок зі штучним інтелектом у домі, враховуючи притаманні їм ризики для конфіденційності.
