Joriy oy boshida Jozef Tekerning qo'shnisi unga farzandlari uchun bir juft yumshoq dinozavr o‘yinchoqlarini oldindan buyurtma qilgani haqida aytib berdi. U "Bondu" deb nomlangan bu o‘yinchoqlarni tanlagan edi, chunki ular bolalarga sun'iy intellekt (AI) chat funksiyasini taklif qilib, ularning mashinani o'rganishga asoslangan xayoliy do‘st bilan suhbatlashishiga imkon berardi. Biroq, qo'shni Tekerning xavfsizlik tadqiqotchisi ekanligini, bolalar uchun AI xavflari ustida ish olib borganini bilardi va uning fikrlari qiziqtirdi.

Shundan so‘ng Teker bu masalani o‘rganib chiqdi. Bir necha daqiqa ichida u va veb-xavfsizlik bo‘yicha tadqiqotchi do‘sti Joel Margolis hayratlanarli kashfiyot qilishdi: Bondu o‘yinchoqlarining veb-portali, dastlab ota-onalar farzandlarining suhbatlarini kuzatishi va Bondu xodimlari mahsulotlardan foydalanish va ishlashini nazorat qilishi uchun mo‘ljallangan edi, ammo har qanday Gmail hisobiga ega shaxs Bondu bolalar foydalanuvchilarining o‘yinchoq bilan deyarli har bir suhbatining to‘liq transkriptlariga kirishi mumkin edi.

Hech qanday haqiqiy xakerlik amaliyotini o‘tkazmasdan, shunchaki o‘zboshimchalik bilan Google akkaunti orqali tizimga kirish orqali, ikki tadqiqotchi darhol bolalarning shaxsiy suhbatlarini, bolalar o‘z Bondu o‘yinchoqlariga bergan laqablarini, kichik egalarining yoqtirgan va yoqtirmagan narsalarini, sevimli gazaklari va raqs harakatlarini ko‘ra oldilar. Bu holat bolalar shaxsiy hayotiga jiddiy tajovuz edi.

Umuman olganda, Margolis va Teker aniqlashicha, Bondu himoyasiz qoldirgan ma'lumotlar – kompaniyaning ommaviy veb-konsoliga Google foydalanuvchi nomi bilan kirgan har qanday shaxs uchun ochiq edi – bolalarning ismlari, tug‘ilgan sanalari, oila a'zolarining ismlari, ota-ona tomonidan bolaga tanlangan "maqsadlar" va eng xavotirlisi, bolaning Bondu bilan bo‘lgan har bir avvalgi suhbatining batafsil xulosalari va transkriptlarini o‘z ichiga olgan. Bu o‘yinchoq bolalar bilan samimiy, yakkama-yakka suhbat qurish uchun mo‘ljallangan edi. Bondu tadqiqotchilar bilan suhbatlarda 50 000 dan ortiq chat transkriptlari ochiq veb-portal orqali mavjudligini tasdiqladi, bu ota-onalar yoki xodimlar tomonidan qo‘lda o‘chirilganlardan tashqari, o‘yinchoqlar ishtirok etgan deyarli barcha suhbatlarni o‘z ichiga olardi.

Maxfiylikning buzilishi va kompaniyaning javobi

"Bu narsalarni bilish juda invaziv va g‘alati tuyuldi," deydi Teker ko‘rgan bolalarning shaxsiy chatlari va hujjatlashtirilgan afzalliklari haqida. "Barcha bu suhbatlarni ko‘ra olish bolalar maxfiyligining ulkan buzilishi edi."

Teker va Margolis Bonduga ma'lumotlarning ochiqligi haqida ogohlantirganda, kompaniya bir necha daqiqa ichida konsolni olib tashlashga kirishganini va ertasi kuni to‘g‘ri autentifikatsiya choralari bilan portalni qayta ishga tushirganini aytishdi. WIRED kompaniya bilan bog‘langanida, Bondu bosh direktori Fateen Anam Rafid bayonotida shunday yozdi: "Muammo uchun xavfsizlik tuzatishlari bir necha soat ichida yakunlandi, so‘ngra kengroq xavfsizlik tekshiruvi va barcha foydalanuvchilar uchun qo‘shimcha profilaktik choralar joriy etildi." U shuningdek, Bondu "ishtirok etgan tadqiqotchilardan tashqari boshqa kirish dalillarini topmadi" deb qo‘shimcha qildi. (Tadqiqotchilar Bondu konsoli orqali kirgan sezgir ma'lumotlarning hech qanday nusxasini yuklab olmaganliklarini yoki saqlamag‘anliklarini ta'kidlashadi, faqat bir nechta skrinshotlar va WIRED bilan o‘z topilmalarini tasdiqlash uchun baham ko‘rilgan video bundan mustasno.)

"Biz foydalanuvchilar maxfiyligiga jiddiy qaraymiz va foydalanuvchi ma'lumotlarini himoya qilishga sodiqmiz," deya qo‘shimcha qildi Anam Rafid o‘z bayonotida. "Biz barcha faol foydalanuvchilar bilan xavfsizlik protokollarimiz haqida aloqada bo‘ldik va kelajakda o‘z tizimlarimizni yangi himoyalar bilan mustahkamlashda davom etmoqdamiz," shuningdek, o‘z tekshiruvini tasdiqlash va tizimlarini monitoring qilish uchun xavfsizlik firmasini yollagan.

Bondu kompaniyasining bolalar ma'lumotlarini saqlashdagi deyarli to‘liq xavfsizliksizligi tuzatilgan bo‘lishiga qaramay, tadqiqotchilar ko‘rgan narsalari bolalar uchun AI-ga asoslangan chat o‘yinchoqlarining xavflari haqida yanada kattaroq ogohlantirishni ifodalaydi deb ta'kidlaydilar. Ular Bondu backendini ko‘zdan kechirishlari, u bolalar haqida qanday batafsil ma'lumotlarni saqlaganligini ko‘rsatdi, har bir chatning tarixini saqlab, o‘yinchoqning egasi bilan keyingi suhbatini yaxshiroq ma'lumot bilan ta'minlashga yordam bergan. (Yaxshiyamki, Bondu bu suhbatlarning audio yozuvlarini saqlamagan, ularni qisqa vaqtdan so‘ng avtomatik ravishda o‘chirgan va faqat yozma transkriptlarni saqlagan.)

AI o‘yinchoqlari va ma'lumotlarga kirish xavfi

Ma'lumotlar hozir himoyalangan bo‘lsa-da, Margolis va Teker bu holat AI o‘yinchoqlari ishlab chiqaruvchi kompaniyalar ichidagi nechta odam yig‘iladigan ma'lumotlarga ega ekanligi, ularning kirishi qanday nazorat qilinishi va ularning hisob ma'lumotlari qanchalik yaxshi himoyalanganligi haqida savollar tug‘diradi deb ta'kidlashadi. "Bu holatning kaskadli maxfiylik oqibatlari bor," deydi Margolis. "Faqat bitta xodimning yomon paroli bo‘lishi kifoya, shunda biz boshlagan joyimizga qaytamiz, barcha ma'lumotlar ommaviy internetga oshkor bo‘ladi."

Margolisning qo‘shimcha qilishicha, bolaning fikrlari va his-tuyg‘ulari haqidagi bunday sezgir ma'lumotlar bolalarga nisbatan dahshatli zo‘ravonlik yoki manipulyatsiya shakllari uchun ishlatilishi mumkin. "Ochiqchasiga aytadigan bo‘lsak, bu o‘g‘irlovchining orzusi," deydi u. "Biz bolani haqiqatan ham xavfli vaziyatga jalb qilishga imkon beradigan ma'lumotlar haqida gapiryapmiz va bu ma'lumotlar deyarli har kimga ochiq edi."

Margolis va Teker Bondu kompaniyasi, o‘zining tasodifiy ma'lumotlarni oshkor qilishdan tashqari, o‘zining admin konsoli ichida ko‘rganlariga asoslanib, Google Gemini va OpenAI GPT5dan foydalanganini va natijada bolalar suhbatlari haqidagi ma'lumotlarni bu kompaniyalar bilan baham ko‘rgan bo‘lishi mumkinligini ta'kidlaydilar. Bondu bosh direktori Anam Rafid bu fikrga elektron pochta orqali javob berib, kompaniya "uchinchi tomon korporativ AI xizmatlaridan javoblar yaratish va ma'lum xavfsizlik tekshiruvlarini o‘tkazish uchun foydalanishini, bu esa tegishli suhbat mazmunini qayta ishlash uchun xavfsiz tarzda uzatishni o‘z ichiga oladi" deb bildirdi. Biroq, u kompaniya "nimalar yuborilishini minimallashtirish, shartnomaviy va texnik nazoratlardan foydalanish, shuningdek, provayderlar so‘rovlar/natijalar o‘z modellarini o‘qitish uchun ishlatilmasligini ta'kidlaydigan korporativ konfiguratsiyalarda ishlash" uchun ehtiyot choralarini ko‘rishini qo‘shimcha qildi.

Ikki tadqiqotchi, shuningdek, AI o‘yinchoq kompaniyalarining xavfi shundaki, ular o‘z mahsulotlari, vositalari va veb-infratuzilmasini kodlashda AI-dan ko‘proq foydalanishi mumkinligini ogohlantiradi. Ular kashf etgan himoyalanmagan Bondu konsoli "vibe-coded" – ko‘pincha xavfsizlik kamchiliklariga olib keladigan generativ AI dasturlash vositalari bilan yaratilgan bo‘lishi mumkinligini taxmin qilishadi. Bondu WIREDning konsol AI vositalari bilan dasturlashtirilganmi yoki yo‘qmi degan savoliga javob bermadi.

AI o‘yinchoqlari xavfsizligi va maxfiyligi bo‘yicha ogohlantirishlar

Bolalar uchun AI o‘yinchoqlari xavfi haqidagi ogohlantirishlar so‘nggi oylarda kuchaygan, ammo ular asosan o‘yinchoqning suhbatlari noto‘g‘ri mavzularni ko‘tarishi yoki hatto ularni xavfli xatti-harakatlarga yoki o‘z-o‘ziga zarar etkazishga olib kelishi xavfiga qaratilgan edi. Masalan, NBC News dekabr oyida xabar berishicha, uning muxbirlari suhbatlashgan AI o‘yinchoqlari jinsiy atamalarning batafsil tushuntirishlarini, pichoqni charxlash bo‘yicha maslahatlarni taklif qilgan va hatto Xitoy hukumati tashviqotini takrorlaganga o‘xshagan, masalan, Tayvan Xitoyning bir qismi ekanligini aytgan.

Bondu esa, aksincha, bolalarga taqdim etgan AI chatbotiga himoya choralarini o‘rnatishga harakat qilgan ko‘rinadi. Kompaniya hatto o‘yinchoqdan "nomaqbul javob" haqida xabarlar uchun 500 dollar mukofot taklif qiladi. "Bizda bu dastur bir yildan ortiq vaqtdan beri mavjud va hech kim undan noma'qul narsa aytishga majbur qila olmadi," deyiladi kompaniya veb-saytidagi bir satrda.

Shunga qaramay, Teker va Margolis Bondu o‘zining barcha foydalanuvchilarining sezgir ma'lumotlarini to‘liq ochiq qoldirganini aniqladilar. "Bu xavfsizlik va maxfiylikning mukammal birlashmasidir," deydi Teker. "Agar barcha ma'lumotlar ochiq bo‘lsa, 'AI xavfsizligi' umuman ahamiyatga egami?"

Tekerning aytishicha, Bondu xavfsizligini tekshirishdan oldin, u o‘z farzandlariga AI-ga asoslangan o‘yinchoqlar berishni o‘ylagan, xuddi qo‘shnisi kabi. Bondu ma'lumotlarining oshkor bo‘lganini shaxsan ko‘rishi uning fikrini o‘zgartirdi.

"Men buni uyimda istaymanmi? Yo‘q, istamayman," deydi u. "Bu shunchaki maxfiylik dahshatidir."

Ushbu hikoya dastlab wired.com saytida chop etilgan.