צעצוע AI חשף 50 אלף שיחות ילדים לכל בעל ג'ימייל
חדשות

צעצוע AI חשף 50 אלף שיחות ילדים לכל בעל ג'ימייל

חברת Bondu השאירה פורטל אינטרנט פתוח, שחשף שמות, תאריכי לידה ושיחות אינטימיות של ילדים – חוקרי אבטחה גילו את הפרצה

צוות אוטומציות AIצוות אוטומציות AI
4 דקות קריאה

תקציר מנהלים

נקודות עיקריות

  • חשיפת 50 אלף תמלילי שיחות ילדים בפורטל Bondu ללא אבטחה.

  • מידע רגיש: שמות, תאריכי לידה, העדפות אישיות ושיחות מלאות.

  • החברה תיקנה תוך שעות, ללא עדויות לגישה נוספת.

  • סיכונים: שימוש ב-Gemini ו-GPT-5, פוטנציאל ניצול לרעה.

  • אזהרה להורים: בדקו אבטחת פרטיות בצעצועי AI.

צעצוע AI חשף 50 אלף שיחות ילדים לכל בעל ג'ימייל

  • חשיפת 50 אלף תמלילי שיחות ילדים בפורטל Bondu ללא אבטחה.
  • מידע רגיש: שמות, תאריכי לידה, העדפות אישיות ושיחות מלאות.
  • החברה תיקנה תוך שעות, ללא עדויות לגישה נוספת.
  • סיכונים: שימוש ב-Gemini ו-GPT-5, פוטנציאל ניצול לרעה.
  • אזהרה להורים: בדקו אבטחת פרטיות בצעצועי AI.
בעולם שבו צעצועי AI הופכים לחברים קרובים של ילדים, פרצת אבטחה חמורה בחברת Bondu חשפה כ-50 אלף תמלילי שיחות של ילדים עם צעצועי הדינוזאורים שלה. כל מי שהיה לו חשבון ג'ימייל יכול היה להיכנס לפורטל האינטרנט של החברה ולקרוא שיחות פרטיות, שמות חיות מחמד, העדפות אוכל וריקודים. חוקרי האבטחה ג'וזף תאקר וג'ואל מרגוליס גילו את הפרצה תוך דקות ספורות, ללא כל פריצה. הפרצה התגלתה כששכנה של תאקר הזכירה לו על הזמנת צעצועי Bondus, צעצועי דינוזאורים עם יכולת שיחה מבוססת AI שמתפקדים כחבר דמיוני. תאקר, מומחה לסיכוני AI לילדים, בדק וביחד עם מרגוליס גילה שהפורטל המיועד להורים ולצוות החברה פתוח לכולם. ניתן היה לראות שמות ילדים, תאריכי לידה, שמות בני משפחה, יעדים שהורים קבעו ושיחות מלאות. החברה אישרה שמעל 50 אלף תמלילים היו חשופים, למעט אלה שנמחקו ידנית. תאקר תיאר את התחושה כ'פולשנית ומטרידה', והדגיש שמדובר בהפרה חמורה של פרטיות ילדים. כשהתריעו בפני Bondu, החברה סגרה את הפורטל תוך דקות והשיקה גרסה מאובטחת למחרת. מנכ"ל החברה, פטין אנאם ראפיד, מסר להארד וויירד שהתיקונים בוצעו תוך שעות, ללא עדויות לגישה נוספת מעבר לחוקרים. החברה שכרה חברת אבטחה לבדיקה ועדכנה משתמשים על פרוטוקולי האבטחה. המקרה מדגיש סיכונים רחבים יותר בצעצועי AI לילדים. Bondu שומרת היסטוריית שיחות מלאה כדי לשפר את התגובות הבאות, אם כי ללא אודיו (שנמחק אוטומטית). החוקרים מזהירים מפני גישה פנימית רחבה במועסקים, סיסמאות חלשות והדלפות פוטנציאליות. מרגוליס ציין שמידע כזה יכול לשמש למטרות ניצול לרעה, כמו חטיפות, שכן הוא כולל העדפות אישיות שיכולות לשמש לפיתוי ילדים. לפי הדיווח, Bondu משתמשת בשירותי AI של גוגל ג'מיני ו-OpenAI GPT-5, ומעבירה תוכן שיחות לבדיקות בטיחות. ראפיד הבהיר שהעברה מינימלית, עם בקרות חוזיות, ללא שימוש בנתונים לאימון מודלים. החוקרים חושדים שהפורטל נבנה בכלי AI שיצרו חולשות אבטחה, אך החברה לא הגיבה לכך. אזהרות נוספות על צעצועי AI התמקדו עד כה בתכנים לא הולמים, כמו הסברים מיניים או עידוד התנהגויות מסוכנות, כפי שדווח ב-NBC. Bondu מציעה פרס של 500 דולר לדיווח על תגובה לא הולמת, וטוענת שאף אחד לא הצליח. אך תאקר מדגיש: 'בטיחות AI לא רלוונטית אם הנתונים חשופים'. המקרה שינה את דעתו על צעצועים כאלה בביתו. עבור מנהלי עסקים והורים בישראל, המקרה מדגיש את הצורך באבטחת נתוני ילדים במוצרי AI. חברות טכנולוגיה חייבות להטמיע אימות חזק, פיקוח על גישה פנימית ולשקול שיתופי פעולה עם ספקי AI. השאלה היא: האם צעצועי AI שווים את הסיכון לפרטיות הילדים? בקיצור, הורים צריכים לבדוק פרוטוקולי אבטחה לפני רכישה, וחברות – להשקיע באבטחה מראש. מה דעתכם?

שאלות ותשובות

שאלות נפוצות

אהבתם את הכתבה?

הירשמו לניוזלטר שלנו וקבלו עדכונים חמים מעולם ה-AI ישירות למייל

המידע שתמסור ישמש ליצירת קשר ומתן שירותים. למידע נוסף ראה מדיניות פרטיות ותנאי שימוש

עוד כתבות שיעניינו אותך

לכל הכתבות
Physical Intelligence: מוחות הרובוטים החמים בסיליקון ואלי
חדשות
4 דקות

Physical Intelligence: מוחות הרובוטים החמים בסיליקון ואלי

בעידן שבו רובוטים חייבים ללמוד כמו צ'טGPT, Physical Intelligence הופכת למוקד חם בסיליקון ואלי עם מודלים יסודיים לרובוטיקה. גייסה מיליארד דולר בשווי 5.6 מיליארד. קראו עכשיו על ההימור של לצ'י גרום!

Physical IntelligenceLachy GroomSergey Levine
קרא עוד