Anche ora che i dati sono protetti, Margolis e Thacker sostengono che ciò solleva interrogativi su quante persone all’interno delle aziende che producono giocattoli IA hanno accesso ai dati che raccolgono, come viene monitorato il loro accesso e quanto bene sono protette le loro credenziali. “Ci sono implicazioni sulla privateness a cascata da questo,” cube Margolis. “Basta che un dipendente abbia una password errata e poi si ritorna allo stesso punto di partenza, dove tutto è esposto all’Web pubblica.”
Margolis aggiunge che questo tipo di informazioni sensibili sui pensieri e sui sentimenti di un bambino potrebbero essere utilizzate per forme orribili di abuso o manipolazione sui minori. “Per essere sincero, questo è il sogno di un rapitore”, cube. “Stiamo parlando di informazioni che permettevano a qualcuno di attirare un bambino in una situazione davvero pericolosa, ed erano sostanzialmente accessibili a chiunque.”
Margolis e Thacker sottolineano che, al di là dell’esposizione accidentale dei dati, sembra che Bondu, in base a ciò che hanno visto nella sua console di amministrazione, utilizzi Gemini di Google e GPT5 di OpenAI e di conseguenza potrebbe condividere informazioni sulle conversazioni dei bambini con tali aziende. Anam Rafid di Bondu ha risposto a questo punto in un’e-mail, affermando che la società utilizza “servizi di intelligenza artificiale aziendali di terze parti per generare risposte ed eseguire determinati controlli di sicurezza, il che implica la trasmissione sicura di contenuti di conversazione rilevanti per l’elaborazione”. Ma aggiunge che l’azienda prende precauzioni per “ridurre al minimo ciò che viene inviato, utilizzare controlli contrattuali e tecnici e operare in configurazioni aziendali in cui i immediate/output dichiarati dai fornitori non vengono utilizzati per addestrare i loro modelli”.
I due ricercatori avvertono anche che parte del rischio delle aziende produttrici di giocattoli basate sull’intelligenza artificiale potrebbe essere che sono più propense a utilizzare l’intelligenza artificiale nella codifica dei loro prodotti, strumenti e infrastrutture net. Dicono di sospettare che la console Bondu non protetta che hanno scoperto fosse essa stessa “codificata con vibrazioni”, creata con strumenti di programmazione AI generativi che spesso portano a falle di sicurezza. Bondu non ha risposto alla domanda di WIRED sul fatto che la console fosse programmata con strumenti di intelligenza artificiale.
Gli avvertimenti sui rischi dei giocattoli IA per i bambini sono aumentati negli ultimi mesi, ma si sono concentrati in gran parte sulla minaccia che le conversazioni di un giocattolo sollevino argomenti inappropriati o addirittura li portino a comportamenti pericolosi o autolesionismo. NBC Information, advert esempio, segnalato il mese scorso I giocattoli di intelligenza artificiale con cui i giornalisti hanno chiacchierato hanno offerto spiegazioni dettagliate sui termini sessuali, consigli su come affilare i coltelli e hanno affermato, e sembravano persino riecheggiare la propaganda del governo cinese, affermando advert esempio che Taiwan period una parte della Cina.
Bondu, al contrario, sembra aver almeno tentato di integrare delle protezioni nel chatbot AI a cui dà accesso ai bambini. L’azienda offre anche una taglia di 500 dollari per le segnalazioni di “una risposta inappropriata” da parte del giocattolo. “Abbiamo questo programma da più di un anno e nessuno è riuscito a fargli dire qualcosa di inappropriato”, si legge in una riga sul sito net dell’azienda.
Allo stesso tempo, Thacker e Margolis hanno scoperto che Bondu lasciava allo stesso tempo completamente esposti tutti i dati sensibili dei suoi utenti. “Si tratta di una fusione perfetta tra sicurezza e protezione”, afferma Thacker. “La ‘sicurezza dell’intelligenza artificiale’ ha importanza anche quando tutti i dati vengono esposti?”
Thacker cube che prima di esaminare la sicurezza di Bondu, aveva preso in considerazione l’concept di regalare giocattoli abilitati all’intelligenza artificiale ai suoi figli, proprio come aveva fatto il suo vicino. Vedendo in prima persona l’esposizione dei dati di Bondu gli fece cambiare concept.
“Lo voglio davvero a casa mia? No, non lo voglio”, cube. “È una specie di incubo per la privateness.”
