AI玩具Bondu泄露5万童聊:Gmail账号即可窥视
核心看点 仅需Gmail账号即可浏览5万+儿童与AI恐龙Bondu的完整聊天记录,姓名、生日、家庭昵称一览无遗。 事件暴露AI玩具行业普遍“重功能、轻安全”:默认信任第三方登录、缺乏最小权限隔离。 专家警告,若内部员工凭证再失守,这些“儿童隐私金矿”或成绑架、精准诈骗的“梦想数据库”。 引言:当孩子的“机器恐龙”变成全网直播 “如果只需一个Gmail就能听到你家宝贝对AI说的悄悄话,你还会买这只恐龙吗?”——安全研究员Joseph Thacker的邻居原本只是想提前锁定两只可爱的Bondu智能毛绒玩具,却意外揭开2026年首起震惊全球的AI玩具数据裸奔案。短短几分钟,Thacker与同伴Joel Margolis在完全未“黑”系统的情况下,通过公开Web控制台浏览了超过50,000份儿童对话记录,内容涵盖真实姓名、生日、家庭宠物名,甚至“妈妈今晚不在家”这类极易被恶意利用的细节。本文将拆解事件技术细节、追踪厂商补救动作,并探讨儿童隐私在生成式AI时代的脆弱性。 ...