概要:AIおもちゃ「Bondu」のプライバシー侵害
AIチャット機能を搭載した子供向けぬいぐるみ「Bondu」において、深刻なセキュリティ脆弱性が発見されました。セキュリティ研究者のジョセフ・タッカー氏とウェブセキュリティ研究者のジョエル・マーゴリス氏が明らかにしたところによると、保護者向けに提供されているBonduのウェブポータルが適切に保護されておらず、Gmailアカウントを持つ誰でも、何万件もの子供たちのプライベートな会話記録にアクセスできる状態だったとのことです。
脆弱性の詳細と漏洩した個人情報
研究者らは、実際のハッキング行為を行うことなく、単に任意のGoogleアカウントでログインするだけで、Bonduの子供ユーザーとAIおもちゃとの間の会話記録を閲覧できてしまいました。この発見により、50,000件以上ものチャット記録が、Bonduが過去に行ったほぼ全ての会話トランスクリプト(手動で削除されたものを除く)にアクセス可能であったことが確認されています。
流出したデータには、以下のような非常に機密性の高い個人情報が含まれていました。
- 子供の名前
- 生年月日
- 家族の名前
- 保護者が設定した子供の「目標」
- 子供とBonduとの間の過去のチャットの詳細な要約とトランスクリプト
マーゴリス氏は、「率直に言って、これは誘拐犯の夢だ」と述べ、子供の考えや感情に関するこのような機密情報が、子供を危険な状況に誘い込むために悪用される可能性があると警告しています。
企業の迅速な対応と未解決の課題
タッカー氏とマーゴリス氏がBonduにこのデータ漏洩を警告すると、同社は数分以内にポータルを一時閉鎖し、翌日には適切な認証対策を講じて再開しました。BonduのCEOであるファティーン・アナム・ラフィド氏は、WIREDへの声明で、問題のセキュリティ修正は「数時間以内に完了し、より広範なセキュリティレビューとすべてのユーザーに対する追加の予防措置の実施が行われた」と述べています。同氏はまた、「研究者以外のアクセスがあった証拠は見つからなかった」とし、今後はセキュリティ会社を雇ってシステムの監視と調査の検証を行うと付け加えています。
しかし、研究者らは、たとえデータが保護されたとしても、AIおもちゃ企業内部の人間が収集されたデータにどれだけアクセスできるのか、そのアクセスがどのように監視されているのか、そして認証情報がどれほど保護されているのかについて疑問を投げかけています。「これはプライバシーの連鎖的な影響を及ぼす」とマーゴリス氏は指摘しています。
AIおもちゃが抱える広範なリスク
今回の事件は、AI搭載の子供向けおもちゃが持つ潜在的な危険性について、より広範な警告を発しています。
大規模言語モデルの利用とデータ共有
BonduはGoogleのGeminiとOpenAIのGPT5を使用していることが判明しており、結果として子供たちの会話情報がこれらの企業と共有されている可能性があります。アナム・ラフィド氏は、応答生成と安全チェックのために「サードパーティのエンタープライズAIサービス」を利用していることを認めつつ、送信される内容を最小限に抑え、契約上および技術的な管理を導入し、プロンプトや出力がモデルのトレーニングに使用されないエンタープライズ構成で運用していると説明しています。
AIによるコード生成のセキュリティリスク
研究者たちは、今回発見された保護されていないBonduのコンソールが、セキュリティ上の欠陥につながることが多い生成AIプログラミングツールによって「バイブコード化された」(AIが生成したコードである)可能性も示唆しています。これは、AIを活用した開発プロセスが新たなセキュリティリスクを生む可能性を示唆するものです。
「安全性」と「セキュリティ」の混同
これまでAIおもちゃのリスクは、不適切な話題や危険な行動を促す可能性に焦点が当てられてきました。しかし、タッカー氏は「データがすべて公開されているのに、『AIの安全性』に意味があるのか?」と問いかけ、「安全性」と「セキュリティ」が混同されている現状に警鐘を鳴らしています。
結論:AIおもちゃのプライバシーの悪夢
タッカー氏は、以前は自分の子供にAI搭載のおもちゃを与えることを検討していたものの、Bonduのデータ漏洩を目の当たりにして考えを改めたと述べています。「これを自分の家に置きたいか? いや、置きたくない。これは一種のプライバシーの悪夢だ」と彼は語り、AIおもちゃの導入には極めて慎重な姿勢が必要であると訴えかけています。