主要内容
安全研究员发现儿童AI聊天玩具Bondu存在严重数据泄露问题:任何人用Gmail账号登录该公司公开网页控制台,即可访问超5万条儿童与玩具的聊天记录,包含孩子姓名、生日、家庭信息及私密对话内容,严重侵犯儿童隐私。
安全研究员Joseph Thacker因邻居提及Bondu玩具的AI聊天功能,结合自身AI儿童安全研究背景,与朋友Joel Margolis合作调查。无需真正入侵,仅用任意Gmail账号登录公司网页控制台,他们便直接获取了大量儿童隐私数据,包括孩子昵称、家庭信息、喜好及5万+条与玩具的聊天记录摘要。
暴露的数据涵盖儿童姓名、生日、家庭成员、家长设定的“目标”,以及详细的聊天内容摘要——这些本应私密的对话(玩具设计用于与儿童进行亲密一对一交流)被完全公开。Bondu证实,超过5万条未被手动删除的对话均被暴露,主要是未被家长或员工删除的内容。
Bondu在被通知后迅速行动,几分钟内关闭网页控制台并修复漏洞。公司表示,此次漏洞导致5万+条对话记录可被访问,修复后已采取额外安全措施。Thacker称,看到儿童私密对话及偏好“感觉非常侵入且怪异”,认为这是对儿童隐私的严重侵犯。
研究者指出,此次事件暴露了AI儿童玩具在隐私保护上的重大隐患——即便Bondu未存储语音仅保留文字记录,其收集的儿童私密对话历史仍可能被滥用。尽管数据已修复,这一案例仍警示需警惕AI设备对儿童隐私的潜在威胁。