Arkiv

AI-gosedjuret Bondu läckte privata samtal med barn

AI finns snart överallt i våra liv – även gosedjuren du ger till dina barn. Ett sådant gosedjur visade sig minst sagt skrämmande ur ett integritetsperspektiv. Samtal läckte och företaget bakom tvingades pudla.

Posted by Mikael Anderberg

TL;DR

  • Bondu lämnade sitt webbgränssnitt nästan helt oskyddat
  • Vem som helst med ett Google-konto kunde läsa barns chattar
  • Över 50 000 konversationer låg öppet tillgängliga
  • Uppgifterna gällde namn, födelsedatum, familj och intressen
  • Företaget stängde luckan snabbt efter larm från forskare
  • Händelsen väcker större frågor om AI-leksaker och barns integritet

Allvarliga säkerhetsproblem

Säkerhetsforskaren Joseph Thacker fick tidigt i månaden höra från en granne att hon förbeställt AI-gosedjur till sina barn.

Leksakerna, kallade Bondus, låter barn prata fritt med ett mjukisdjur som använder AI för att svara som en tänkande vän. Eftersom Thacker tidigare arbetat med risker kring AI och barn började han undersöka produkten.

Tillsammans med webbsäkerhetsexperten Joel Margolis upptäckte han snabbt något oväntat.

Genom att logga in i Bondus webbportal med ett helt vanligt Google-konto fick de direkt tillgång till nästan alla konversationer som barn haft med leksakerna.

Lästips: Gmail får nya AI-funktioner med Gemini AI

Glada rutiner gör AI-bolagen glada då de kan samla in mer data om dig.

Ett webbgränssnitt utan skydd

Portalen var tänkt att användas av föräldrar och av Bondus personal för uppföljning och kvalitetskontroll.

I praktiken fungerade den som ett öppet arkiv. Utan någon form av intrång kunde forskarna läsa barns privata samtal, smeknamn på gosedjuren, favoritlekar, maträtter och dansrörelser.

Datamängden var omfattande.

Förutom fullständiga chattloggar innehöll systemet barns namn, födelsedatum, familjemedlemmars namn och mål som föräldrar valt för barnens utveckling. Bondu bekräftade senare att över 50 000 chattar varit tillgängliga, i princip alla som inte aktivt raderats.

Lästips: Chrome-tillägg stjäl dina AI-chattar med ChatGPT

En djup kränkning av barns privatliv

För Thacker var upplevelsen obehaglig.

Att kunna läsa så personliga samtal kändes påträngande och fel. Leksaken är utformad för att uppmuntra nära, enskilda samtal, vilket gör innehållet extra känsligt. Både Thacker och Margolis beskriver exponeringen som ett allvarligt intrång i barns integritet.

När forskarna kontaktade Bondu tog företaget snabbt ner webbportalen och lanserade den igen nästa dag med korrekt inloggning och skydd.

Företagets svar

Bondu uppger att säkerhetsbristen åtgärdades inom några timmar och att en bredare säkerhetsgranskning gjordes.

Företaget säger sig inte ha sett några tecken på att andra än forskarna fått åtkomst. Samtidigt meddelade Bondu att man kontaktat användare, stärkt skydden och anlitat ett externt säkerhetsföretag.

Händelsen har fått politiska följder.

Den amerikanska senatorn Maggie Hassan skickade ett skarpt formulerat brev till Bondu där hon beskrev exponeringen som förödande och krävde svar på hur företaget samlar in, lagrar och skyddar barns data.

Större frågor kring AI-leksaker

Även om Bondu nu säkrat systemet menar forskarna att problemet går djupare.

AI-leksaker bygger ofta på att samla stora mängder information om barn för att skapa mer personliga svar. Det innebär att företag lagrar detaljerade profiler över barns tankar, känslor och vardag.

Forskarna pekar också på risker internt i företagen.

Om anställda får bred tillgång till känslig data räcker ett svagt lösenord för att informationen åter ska exponeras. Margolis varnar för hur sådan data kan missbrukas och beskriver den som extremt farlig i fel händer.

Tredjeparts-AI och kod skapad med AI

Granskningen visade även att Bondu använder externa AI-tjänster som Googles Gemini och OpenAI:s GPT‑5 för att generera svar

Företaget bekräftar att delar av konversationerna skickas till sådana tjänster, men säger sig minimera datamängden och använda företagsavtal där innehållet inte tränar modellerna.

Forskarna misstänker dessutom att Bondus oskyddade webbgränssnitt kan ha skapats med generativ AI-kodning, något som ofta leder till säkerhetsbrister. Bondu har inte kommenterat den frågan.

Osäker AI är inte framtiden – det är nu

Debatten om AI-leksaker har länge handlat om risken för olämpliga svar, farliga råd eller skadligt innehåll.

Bondu har försökt bygga skydd mot sådant och erbjuder till och med belöning för rapporter om olämpliga svar. Samtidigt lämnade företaget all användardata öppen.

För Thacker visar händelsen en grundläggande motsättning. Avancerade säkerhetsfilter i AI:n spelar liten roll om grundläggande dataskydd saknas.

Efter upptäckten ändrade han själv inställning till AI-leksaker i hemmet. För honom blev exponeringen ett tydligt exempel på hur snabbt en till synes oskyldig produkt kan förvandlas till ett integritetsproblem för barn.

Den stora frågan är hur vi kan skydda oss mot osäker AI när det inte längre är ett problem för framtiden – det är något som sker just nu. I våra gosedjur. I våra vitvaror. I våra bilar. Mobiltelefoner. Tv-apparater.

Du är data.

Via Wired

Tags:
Mikael Anderberg
View More Posts
Mikael Anderberg är en veteran inom teknikvärlden med stor kännedom kring tillverkare, nya tekniker och produkter. Har mångårig erfarenhet från blogg- och it-världen vilken bidrar till utvecklingen av Tekniksmart tillsammans med andra entusiaster. Mikael har i grunden expertis inom fotografering och kamerautrustning, copywriter och content editing, och SEO. Läs mer om mig här.
Skribent