Mastodon
Zdjęcie okładkowe wpisu Pluszowy dinozaur z AI udostępnił sekrety 50 tysięcy dzieci każdemu, kto miał Gmaila

Pluszowy dinozaur z AI udostępnił sekrety 50 tysięcy dzieci każdemu, kto miał Gmaila

Agnieszka Serafinowicz
0
Dodane: 3 godziny temu

Zanim zdecydujesz się kupić dziecku „inteligentną” zabawkę z AI, przeczytaj tę historię.

To miał być idealny prezent: pluszowy dinozaur Bondu, napędzany przez GPT-5, który rozmawia z dzieckiem jak najlepszy przyjaciel. Okazało się jednak, że ten „przyjaciel” był wyjątkowo gadatliwy.

Przez błąd w zabezpieczeniach, każdy posiadacz konta Google mógł wejść do panelu administracyjnego i czytać zapisy intymnych rozmów dzieci z zabawką. Bez hasła. Bez weryfikacji.

Hacking? Nie, otwarte drzwi

Kiedy sąsiadka badacza bezpieczeństwa Josepha Thackera pochwaliła się, że kupiła dzieciom „inteligentne dinozaury”, ten postanowił rzucić okiem na zabezpieczenia. To, co odkrył wraz z kolegą, zszokowało go.

Nie musieli nic łamać. Wystarczyło wejść na portal dla rodziców i zalogować się… dowolnym kontem Gmail. System nie sprawdzał, czy jesteś rodzicem, czy pracownikiem. Wpuszczał każdego.

Co wyciekło? Wszystko

Oczom badaczy ukazała się baza danych zawierająca ponad 50 tysięcy transkrypcji rozmów. Widzieli:

  • Imiona i daty urodzenia dzieci.
  • Imiona członków rodziny.
  • Ulubione przekąski, lęki, marzenia i codzienne troski, które maluchy szeptały do ucha zabawce.
  • Cele wychowawcze ustawione przez rodziców.

Badacz Joel Margolis określił to brutalnie: „To marzenie porywacza”. Mając taki zestaw danych, obcy człowiek mógłby podejść do dziecka i zdobyć jego zaufanie w kilka sekund, powołując się na sekrety, które znał tylko „pluszowy przyjaciel”.

Bezpieczeństwo vs. „Safety”

Największa ironia? Firma Bondu bardzo dbała o tzw. AI Safety. Płacili nawet nagrody (500$), jeśli komuś udałoby się zmusić zabawkę do przeklinania lub mówienia o nieodpowiednich rzeczach.

Skupili się tak bardzo na tym, żeby AI było „grzeczne”, że zapomnieli zamknąć drzwi do serwerowni. Badacze podejrzewają, że kod portalu mógł zostać napisany przez AI (tzw. vibe-coding), co często skutkuje fatalnymi lukami w logice autoryzacji.

Reakcja i ostrzeżenie

Po zgłoszeniu błędu, firma Bondu zamknęła portal w ciągu kilku minut i naprawiła lukę. Twierdzą, że nikt poza badaczami nie skorzystał z tych „otwartych drzwi”. Ale niesmak i strach pozostają. Ta historia to ostateczne ostrzeżenie: w 2026 roku „inteligentna zabawka” to w rzeczywistości urządzenie inwigilujące, które wstawiamy do sypialni dziecka. Czasem najbezpieczniejszy przyjaciel to taki, który jest wypchany tylko watą, a nie elektroniką.

Google wchodzi w tryb boga. „Project Genie” pozwala wygenerować grywalny świat z tekstu

Zapraszamy do dalszej dyskusji na Mastodonie lub Twitterze .