事件曝光:AI玩具聊天记录公之于众
近日,一款备受儿童喜爱的AI聊天玩具引发了隐私安全风暴。据WIRED报道,AI玩具公司Bondu的网络控制台防护形同虚设,仅凭一个普通的Gmail账号,研究人员就轻易访问了近5万条儿童与玩具的聊天日志。这些日志包含了孩子的姓名、地理位置以及各种私人对话,暴露风险极高。
AI chat toy company Bondu left its web console almost entirely unprotected. Researchers who accessed it found nearly all the conversations children had with the company’s stuffed animals.
这起事件于2026年1月30日由WIRED记者Andy Greenberg曝光,迅速在科技圈和家长群体中引起轩然大波。Bondu的玩具是一款内置AI的毛绒玩偶,能与孩子进行实时语音互动,类似于小型版ChatGPT,但专为儿童设计,承诺提供安全娱乐。
研究人员如何发现漏洞
事件起因于独立安全研究团队的例行扫描。他们发现Bondu的web控制台使用默认凭证,仅需Gmail登录即可进入管理界面。研究人员进入后震惊地看到,一个公开的数据库存储了50,000多条聊天记录,每条记录包括孩子的ID、对话时间、内容摘要,甚至精确到城市的地理标签。
例如,一条记录显示一名8岁男孩与玩具讨论家庭琐事,透露了父母姓名和工作单位;另一条则涉及女孩分享学校经历,包括同学姓名。这些数据未加密,未经匿名化,相当于将儿童隐私大门洞开。研究团队立即通知Bondu,后者于数小时内关闭了访问,但数据已可能被他人复制。
AI玩具行业的快速发展与隐患
AI玩具市场近年来迅猛增长。根据Statista数据,2025年全球智能玩具市场规模已超200亿美元,预计2030年将翻番。Bondu作为新兴玩家,其产品主打'情感陪伴',通过云端AI处理语音输入,实现个性化回应。这类玩具依赖大数据训练模型,但儿童数据敏感性极高。
行业背景中,类似漏洞并非孤例。2023年,My Friend Cayla智能娃娃被曝将对话上传至云端,未经家长同意;2024年,另一款AI熊宝宝玩具因服务器配置错误泄露用户数据。这些事件暴露了AI玩具在设计阶段忽略隐私的通病:为了低成本开发,许多公司使用开源框架,却疏于安全审计。
欧盟GDPR和美国COPPA法规已对儿童数据收集设限,但执行难度大。Bondu总部位于美国,其玩具主要销往欧美市场,此次事件或面临FTC调查。
编者按:儿童隐私的AI时代警钟
作为AI科技新闻编辑,我认为这起事件敲响了警钟。在AI普及时代,玩具不再是单纯娱乐品,而是数据收集器。Bondu的失误源于'快速迭代'文化,忽略了'隐私即默认'原则。家长应警惕:检查玩具隐私政策,避免连接不明云服务;企业须强化零信任架构,从源头加密数据。
长远看,需行业自查与监管并行。中国市场AI玩具火热,如类似产品层出不穷,借鉴此案可避免重蹈覆辙。想象一下,若5万条记录落入黑客之手,后果不堪设想。这不仅是技术问题,更是伦理考验。
Bondu的回应与后续影响
Bondu官方声明称,已升级安全措施,包括多因素认证和数据加密,并承诺补偿受影响用户。但研究人员质疑:泄露前数据停留多久?是否已被滥用?WIRED后续调查显示,至少数十IP曾访问该控制台。
事件对行业冲击显著。亚马逊和Mattel等巨头股价微跌,家长论坛充斥退货呼声。专家预测,2026年将涌现更多隐私合规AI玩具,推动标准统一。
总之,此案提醒我们:科技进步不能以牺牲儿童安全为代价。未来,AI玩具需嵌入'儿童友好'设计,确保每句对话如堡垒般坚固。
本文编译自WIRED,作者:Andy Greenberg,日期:2026-01-30。