Zanim zdecydujesz się kupić dziecku „inteligentną” zabawkę z AI, przeczytaj tę historię.
To miał być idealny prezent: pluszowy dinozaur Bondu, napędzany przez GPT-5, który rozmawia z dzieckiem jak najlepszy przyjaciel. Okazało się jednak, iż ten „przyjaciel” był wyjątkowo gadatliwy.
Przez błąd w zabezpieczeniach, każdy właściciel konta Google mógł wejść do panelu administracyjnego i czytać zapisy intymnych rozmów dzieci z zabawką. Bez hasła. Bez weryfikacji.
Hacking? Nie, otwarte drzwi
Kiedy sąsiadka badacza bezpieczeństwa Josepha Thackera pochwaliła się, iż kupiła dzieciom „inteligentne dinozaury”, ten postanowił rzucić okiem na zabezpieczenia. To, co odkrył wraz z kolegą, zszokowało go.
Nie musieli nic łamać. Wystarczyło wejść na portal dla rodziców i zalogować się… dowolnym kontem Gmail. System nie sprawdzał, czy jesteś rodzicem, czy pracownikiem. Wpuszczał każdego.
Co wyciekło? Wszystko
Oczom badaczy ukazała się baza danych zawierająca ponad 50 tysięcy transkrypcji rozmów. Widzieli:
- Imiona i daty urodzenia dzieci.
- Imiona członków rodziny.
- Ulubione przekąski, lęki, marzenia i codzienne troski, które maluchy szeptały do ucha zabawce.
- Cele wychowawcze ustawione przez rodziców.
Badacz Joel Margolis określił to brutalnie: „To marzenie porywacza”. Mając taki zestaw danych, obcy człowiek mógłby podejść do dziecka i zdobyć jego zaufanie w kilka sekund, powołując się na sekrety, które znał tylko „pluszowy przyjaciel”.
Bezpieczeństwo vs. „Safety”
Największa ironia? Firma Bondu bardzo dbała o tzw. AI Safety. Płacili choćby nagrody (500$), jeżeli komuś udałoby się zmusić zabawkę do przeklinania lub mówienia o nieodpowiednich rzeczach.
Skupili się tak bardzo na tym, żeby AI było „grzeczne”, iż zapomnieli zamknąć drzwi do serwerowni. Badacze podejrzewają, iż kod portalu mógł zostać napisany przez AI (tzw. vibe-coding), co często skutkuje fatalnymi lukami w logice autoryzacji.
Reakcja i ostrzeżenie
Po zgłoszeniu błędu, firma Bondu zamknęła portal w ciągu kilku minut i naprawiła lukę. Twierdzą, iż nikt poza badaczami nie skorzystał z tych „otwartych drzwi”. Ale niesmak i strach pozostają. Ta historia to ostateczne ostrzeżenie: w 2026 roku „inteligentna zabawka” to w rzeczywistości urządzenie inwigilujące, które wstawiamy do sypialni dziecka. Czasem najbezpieczniejszy przyjaciel to taki, który jest wypchany tylko watą, a nie elektroniką.
Google wchodzi w tryb boga. „Project Genie” pozwala wygenerować grywalny świat z tekstu
Jeśli artykuł Pluszowy dinozaur z AI udostępnił sekrety 50 tysięcy dzieci każdemu, kto miał Gmaila nie wygląda prawidłowo w Twoim czytniku RSS, to zobacz go na iMagazine.
