Un jucărie AI a expus 50.000 de loguri de conversații cu copii

O investigație recentă a relevat că o jucărie AI, Bondu, a expus 50.000 de transcrieri ale conversațiilor cu copii, fiind accesibile oricui avea un cont Gmail. Această vulnerabilitate a fost descoperită de cercetătorul în securitate web Thacker și prietenul său, Joel Margolis, care au identificat rapid problemele de securitate ale portalului web destinat părinților, conform wired.com.

👉 Acces neautorizat la transcrierile conversațiilor copiilor

Thacker și Margolis au descoperit că portalul web bazat pe internet, destinat părinților pentru a verifica conversațiile copiilor lor și pentru monitorizarea utilizării produsului, permitea de fapt oricărei persoane cu un cont Gmail să acceseze transcrierile aproape tuturor conversațiilor pe care utilizatorii copii le-au avut vreodată cu jucăria. Fără a efectua un hacking propriu-zis, cei doi cercetători s-au găsit pe site-ul Bondu, unde au observat conversații private ale copiilor, poreclele pe care le dădeau jucăriei și preferințele acestora. În total, au descoperit că datele lăsate neprotejate de Bondu includeau numele copiilor, datele de naștere, numele membrilor familiei, precum și rezumate detaliate ale fiecărei conversații anterioare dintre copii și jucării. Bondu a confirmat că mai mult de 50.000 de transcrieri de chat erau accesibile prin portalul expus, excluzând conversațiile șterse manual de părinți sau angajați.

„O simțit destul de invaziv și ciudat să cunoști aceste lucruri," a spus Thacker. „A vedea toate aceste conversații a fost o violare masivă a intimității copiilor." După ce au informat Bondu despre expunerea flagrantă a datelor, compania a acționat rapid, înlăturând consola în câteva minute și relansând portalul a doua zi cu măsuri de autentificare corespunzătoare. CEO-ul Bondu, Fateen Anam Rafid, a declarat că „reparațiile de securitate pentru problemă au fost finalizate în câteva ore, urmate de o revizuire mai amplă a securității și implementarea de măsuri preventive suplimentare pentru toți utilizatorii.”

👉 Măsuri adoptate și reacția companiei Bondu

Rafid a mai adăugat că Bondu a „întâmpinat nicio dovadă de acces dincolo de cercetătorii implicați.” Cercetătorii au subliniat că nu au salvat sau păstrat copii ale datelor sensibile accesate, ci doar câteva capturi de ecran și un videoclip de înregistrare a ecranului pentru a-și confirma descoperirile. „Ne luăm foarte în serios intimitatea utilizatorilor și suntem angajați să protejăm datele acestora,” a afirmat Rafid. De asemenea, a precizat că au comunicat cu toți utilizatorii activi despre protocoalele de securitate și continuă să îmbunătățească sistemele cu noi protecții.

Deși vulnerabilitățile de securitate ale Bondu sunt acum remediate, cercetătorii argumentează că ceea ce au văzut reprezintă un avertisment mai larg cu privire la pericolele jucăriilor de conversație AI pentru copii. Aceștia subliniază că multe dintre informațiile colectate sunt extrem de detaliate și că jucăria păstrează istoricul fiecărei conversații pentru a adapta următoarea discuție cu proprietarul său.

Margolis a avertizat că o parte din riscurile asociate jucăriilor AI poate fi îngrijorătoare, deoarece companiile care produc astfel de produse sunt mai predispuse să folosească AI în codarea acestora. Susține că consola Bondu pe care au descoperit-o a fost probabil „vibe-coded”, creată cu unelte de programare AI generativă care conduc adesea la vulnerabilități de securitate. Bondu nu a răspuns întrebării adresate de WIRED despre utilizarea uneltelor AI în programarea consolei.

În ultimele luni, au existat tot mai multe avertismente cu privire la riscurile jucăriilor AI, dar majoritatea s-au concentrat asupra amenințării că discuțiile cu jucăriile pot ridica subiecte inadecvate. De exemplu, NBC News a raportat că jucăriile AI cu care reporterii au discutat au oferit explicații detaliate asupra termenilor sexuali și chiar au părut să reproducă propagandă a guvernului chinez. Bondu, pe de altă parte, a încercat să construiască măsuri de protecție în chatbotul său AI, oferind chiar un premiu de 500 de dolari pentru rapoartele de răspunsuri inadecvate.

Margolis și Thacker și-au exprimat îngrijorarea că, în ciuda măsurilor de siguranță, Bondu a lăsat toate datele sensibile ale utilizatorilor complet expuse. „Aceasta este o confuzie perfectă între siguranța și securitatea jucăriilor,” a spus Thacker. „Are vreo importanță ‘siguranța AI’ când toate datele sunt expuse?” Înainte de a analiza securitatea Bondu, Thacker considera să ofere jucării AI copiilor săi, dar a reconsiderat după ce a văzut expunerea datelor. „Vreau să am asta în casa mea? Nu, nu vreau. Este un coșmar al intimității,” a concluzionat el.