Sigurnosni istraživači Joseph Thacker i Joel Margolis trebali su tek nekoliko minuta da pronađu golem propust u web-portalu dječje igračke Bondu – plišanog dinosaura koji koristi umjetnu inteligenciju za čavrljanje s mališanima.
Otključana arhiva dječjih tajni
Portal je roditeljima trebao služiti za pregled razgovora i praćenje rada igračke, no pokazalo se da je dovoljan bilo koji račun na Gmailu kako bi se ušlo u sustav. Istraživači su ondje zatekli:
- imena i datume rođenja djece;
- nadimke koje su mališani dali svojoj igrački;
- ciljeve koje su roditelji postavili za dijete;
- popise omiljenih grickalica, plesnih pokreta i drugih osobnih sklonosti;
- potpune transkripte svakog razgovora koje je dijete vodilo s dinosaurom.
Ukupno je bilo dostupno više od 50 000 zapisa – praktički sve interakcije osim onih koje su roditelji ili zaposlenici ručno izbrisali. „Bilo je jezivo čitati tako intimne stvari. Radi se o masovnom kršenju privatnosti djece”, opisuje Thacker.
Brza zakrpa, sporiji odgovori
Nakon upozorenja istraživača, tvrtka je portal uklonila u roku od nekoliko minuta, a sljedećeg dana ga vratila s urednom autentifikacijom. Direktor Fateen Anam Rafid tvrdi da je „problem saniran u roku od nekoliko sati” te da internom analizom „nisu pronašli tragove pristupa osim onih koje su prijavili istraživači”. Dodaje i da su angažirali vanjsku sigurnosnu tvrtku kako bi nadzirala sustav.
Šira slika opasnosti
Margolis i Thacker upozoravaju da je slučaj simptomatičan za čitavu nišu AI igračaka. Bondu pohranjuje sve transkripte kako bi poboljšao razgovore, pa se nameće pitanje tko unutar tvrtke ima pristup takvim podacima i koliko su njihovi računali zaštićeni. „Dovoljna je jedna slaba lozinka zaposlenika da se opet nađemo na početku – s podacima otvorenima cijelom internetu”, kaže Margolis. U pozadini igračke rade Gemini i GPT-5, a dijelovi razgovora šalju se tim servisima uz, kako tvrdi tvrtka, ograničenja i ugovorne zaštite.
Dvojac sumnja i da je sporni portal nastao uz pomoć generativnih alata za programiranje – brzi, ali skloniji sigurnosnim rupama. Tvrtka na to pitanje nije odgovorila.
Sigurnost prije „sigurnih“ odgovora
Bondu se hvalio da nudi nagradu od 500 dolara onome tko uspije natjerati dinosaura na neprimjeren odgovor, no istodobno je ostavio gomilu osjetljivih podataka nezaštićenima. „Čemu sva briga oko filtriranja sadržaja ako svatko može pročitati svaku dječju tajnu?” pita se Thacker, koji je nakon ovog iskustva odustao od ideje da sličnoj igrački dopusti ulazak u vlastiti dom.