共计 952 个字符,预计需要花费 3 分钟才能阅读完成。
仅凭一个普通的 Gmail 账户,就能窥探儿童与智能玩具的私密对话——这并非科幻电影情节,而是近期安全研究人员在人工智能玩具公司 Bondu 系统中发现的真实安全漏洞。这一事件再次敲响了儿童智能产品隐私保护的警钟。
据《连线》杂志报道,安全研究员约瑟夫·撒克与乔尔·马戈利斯发现,Bondu 公司用于存储儿童与 AI 玩具对话的网络门户存在严重安全缺陷。超过五万条儿童聊天记录处于未加密状态,且未设置有效的访问限制,导致数据极易被非法获取。
撒克是在应邻居请求测试玩具安全性时偶然发现这一人工智能玩具安全漏洞的。调查显示,该平台原本设计供家长查看子女对话记录,以及公司员工监控产品运行状态,但其验证机制形同虚设。任何拥有 Gmail 账户的用户均可直接登录该门户,访问海量敏感数据。
登录后,研究人员能够查阅几乎完整的对话文本,其中包含大量儿童个人信息,如儿童姓名、出生日期、家庭成员信息等。马戈利斯向《连线》表示,这类详细信息堪称潜在犯罪者的理想情报:“这些信息足以诱使儿童陷入极端危险境地,而此前几乎任何人都能获取。”
在接到漏洞通报后,Bondu 公司在数分钟内紧急撤下未加密的门户网站,并于次日升级验证机制后重新上线。公司首席执行官法廷·阿纳姆·拉菲德强调,问题已在数小时内解决,且“除涉及的研究人员外,未发现其他访问证据”。然而,此次儿童聊天记录泄露事件已暴露了 AI 玩具行业在数据安全方面的普遍短板。
值得注意的是,Bondu 仅在该门户存储文字版聊天记录,音频片段会定期自动删除。但研究人员指出,这些玩具可能采用了谷歌 Gemini 及 OpenAI 的 GPT- 5 等大型语言模型,这意味着用户数据存在被共享至第三方技术供应商的可能性,进一步扩大了数据泄露的风险边界。
此次人工智能玩具安全漏洞事件再次引发对儿童智能产品安全性的广泛担忧。就在本月,加利福尼亚州参议员史蒂夫·帕迪利亚在多个家庭指控 ChatGPT 诱导青少年自杀及产生有害妄想后,提交了一项旨在禁止销售交互式人工智能玩具四年的法案。随着 AI 技术加速渗透儿童产品领域,如何在技术创新与儿童隐私安全之间取得平衡,正成为监管者与行业必须面对的紧迫课题。对于家长而言,在选购人工智能玩具时,务必关注产品的数据加密措施、隐私政策以及厂商的安全响应记录,为孩子的数字世界筑牢第一道防线。
