
이번 달 초, Joseph Thacker의 이웃은 그녀가 아이들을 위해 공룡 인형 몇 개를 미리 주문했다고 그에게 말했습니다. 그녀는 Bondus라는 장난감을 선택했는데, 그 이유는 아이들이 마치 기계 학습이 가능한 상상의 친구처럼 장난감과 대화할 수 있는 AI 채팅 기능을 제공했기 때문입니다. 하지만 그녀는 보안 연구원인 Thacker가 어린이를 위한 AI 위험에 대한 연구를 했다는 것을 알고 있었고 그의 생각이 궁금했습니다.
그래서 Thacker는 그것을 조사했습니다. 단 몇 분의 작업만으로 그와 웹 보안 연구원 친구인 Joel Margolis는 놀라운 사실을 발견했습니다. Bondu의 웹 기반 포털은 부모가 자녀의 대화를 확인하고 Bondu의 직원이 제품의 사용 및 성능을 모니터링할 수 있도록 고안되었으며 Gmail 계정이 있는 사람은 누구나 Bondu의 자녀 사용자가 장난감과 나눈 거의 모든 대화의 기록에 액세스할 수 있습니다.
실제 해킹을 수행하지 않고 임의의 Google 계정으로 로그인하기만 하면 두 연구자는 즉시 아이들의 사적인 대화, 아이들이 본두에 붙인 애완동물 이름, 장난감 주인의 좋아하는 것과 싫어하는 것, 좋아하는 간식과 춤 동작을 살펴보는 자신을 발견했습니다.
전체적으로 Margolis와 Thacker는 Bondu가 보호되지 않은 채 남겨둔 데이터(Google 사용자 이름으로 회사의 공개 웹 콘솔에 로그인한 모든 사람이 액세스할 수 있음)에는 자녀의 이름, 생년월일, 가족 구성원 이름, 부모가 선택한 자녀의 ‘목표’, 그리고 가장 충격적인 것은 자녀와 Bondu 사이의 모든 이전 대화에 대한 상세한 요약 및 기록(실질적으로 친밀한 일대일 대화를 이끌어내기 위해 고안된 장난감)이 포함되어 있다는 사실을 발견했습니다. Bondu는 연구원과의 대화에서 노출된 웹 포털을 통해 50,000개 이상의 채팅 기록에 접근할 수 있음을 확인했습니다. 이는 기본적으로 부모나 직원이 수동으로 삭제한 대화를 제외하고 장난감이 참여한 모든 대화입니다.