本月初,安全研究员约瑟夫·萨克尔(Joseph Thacker)应邻居咨询,对一款名为邦度(Bondu)的AI对话玩具进行了安全检查。与网络安全研究员乔尔·马戈利斯(Joel Margolis)合作调查后,他们发现了一个严重的安全漏洞:任何拥有谷歌(Google)账户的人都能访问到该玩具用户的对话记录。
研究人员发现,未经保护的数据包括:
邦度(Bondu)确认,超过5万条聊天记录处于可被访问状态,这几乎包含了所有未被手动删除的用户对话内容。
在接到研究人员的通知后,邦度(Bondu)立即采取行动:
公司首席执行官法廷·阿南·拉菲德(Fateen Anam Rafid)表示,除研究人员外未发现其他未授权访问的证据。
马戈利斯指出这类数据泄露可能带来严重后果:"这可能引发连环的隐私安全问题。只要有一个员工的密码出现问题,所有信息就可能暴露在公共互联网上。"
研究人员还发现,邦度(Bondu)使用了谷歌(Google)的Gemini和OpenAI的GPT5服务,这意味着儿童的对话信息可能会被分享给这些第三方企业。对此,拉菲德回应称公司采取了相关安全措施,包括:
这一事件引发了人们对AI玩具安全性的担忧。萨克尔表示,这次经历改变了他对AI玩具的看法:"这存在严重的隐私安全隐患,让我重新思考是否该将这类产品带入家庭。"
