Bu ayın başlarında, güvenlik araştırmacısı Joseph Thacker, komşusunun çocukları için ön sipariş verdiği yapay zeka özellikli Bondu adlı doldurulmuş dinozor oyuncaklarını inceledi. Oyuncaklar, çocukların bir tür makine öğrenimi destekli hayali arkadaş gibi oyuncakla konuşmasına olanak tanıyan bir yapay zeka sohbet özelliğine sahipti. Thacker ve web güvenlik araştırmacısı Joel Margolis, kısa bir süre içinde şaşırtıcı bir keşif yaptı: Bondu'nun, ebeveynlerin çocuklarının konuşmalarını kontrol etmeleri ve Bondu personelinin ürün kullanımını izlemesi için tasarlanan web tabanlı portalı, herhangi bir Gmail hesabına sahip herkesin, çocukların oyuncakla yaptığı neredeyse her sohbetin dökümlerine erişmesine izin veriyordu. Herhangi bir gerçek siber saldırı gerçekleştirmeden, sadece rastgele bir Google hesabı ile giriş yaparak, araştırmacılar anında çocukların özel konuşmalarını, oyuncaklarına verdikleri isimleri, favori atıştırmalıklarını ve dans hareketlerini görebildi.
Margolis ve Thacker, Bondu'nun korumasız bıraktığı verilerin, çocukların isimleri, doğum tarihleri, aile üyelerinin adları, ebeveynler tarafından belirlenen çocuk hedefleri ve en rahatsız edici olanı, çocuk ile Bondu arasındaki her önceki sohbetin ayrıntılı özetlerini ve dökümlerini içerdiğini ortaya çıkardı. Bondu, araştırmacılarla yaptığı görüşmelerde, 50.000'den fazla sohbet dökümünün açık web portalı üzerinden erişilebilir olduğunu doğruladı. Bu durum, ebeveynler veya personel tarafından manuel olarak silinenler dışındaki tüm konuşmaları kapsıyordu. Thacker, gördüğü çocukların özel sohbetleri ve belgelenmiş tercihleri hakkında "Bu bilgileri bilmek oldukça müdahaleci ve gerçekten tuhaf hissettirdi. Tüm bu konuşmaları görebilmek, çocukların mahremiyetinin büyük bir ihlaliydi" dedi.
Thacker ve Margolis, Bondu'yu veri sızıntısı konusunda uyardıklarında, şirket dakikalar içinde konsolu kapatarak ertesi gün uygun kimlik doğrulama önlemleriyle yeniden başlattı. Bondu CEO'su Fateen Anam Rafid, güvenlik düzeltmelerinin saatler içinde tamamlandığını ve ek önleyici tedbirlerin uygulandığını belirtti. Şirket, araştırmacılar dışında herhangi bir erişim kanıtı bulamadığını iddia etti. Araştırmacılar ise, erişim sağladıkları hassas verilerin hiçbir kopyasını indirmediğini veya saklamadığını, sadece bulgularını doğrulamak için WIRED ile paylaşılan birkaç ekran görüntüsü ve ekran kaydı videosu dışında herhangi bir veri tutmadıklarını ifade etti.
Yapay zeka destekli çocuk oyuncaklarının veri güvenliği açıkları, hassas kişisel bilgilerin ve özel çocuk sohbetlerinin kolayca ifşa olmasına yol açarak ciddi mahremiyet endişeleri yaratmaktadır.