AI玩具泄露5万儿童聊天记录，参议员要求解释

参议员玛吉·哈桑正要求AI智能毛绒玩具Bondu的制造商作出解释。此前，安全研究人员披露该公司将约5万名儿童的聊天记录和个人信息暴露在一个不安全的网络门户中，任何拥有Gmail账户的人都可以访问。

这位新罕布什尔州民主党参议员周二致信Bondu首席执行官法廷·阿纳姆·拉菲德，称这次数据泄露“尤其令人震惊”，因为该玩具的目标用户是3至9岁的儿童。这封信由Axios独家获得，信中提出了10个详细问题，涉及该公司的数据处理做法、安全措施，以及AI工具是否可能导致了这些安全漏洞。

参议员哈桑致Bondu的信件全文

安全研究员约瑟夫·撒克和乔尔·马戈利斯在1月下旬发现了这个漏洞，当时一位邻居询问撒克对这款玩具安全性的看法。在短短几分钟内，两位研究员在没有进行任何黑客攻击的情况下就发现，Bondu公开的网络控制台允许任何拥有谷歌账户的人查看几乎所有儿童与玩具对话的记录。

据《连线》杂志报道，泄露的数据包括儿童姓名、出生日期、家庭成员姓名、家长对孩子的教育目标，以及私密对话的详细摘要。“能够知道这些事情让人感觉相当侵扰，而且真的很怪异，”撒克告诉《连线》。“能够看到所有这些对话是对儿童隐私的严重侵犯。”

马戈利斯警告称，有关儿童想法和感受的敏感信息可能会被滥用。“这简直是绑架者的梦想，”他说。哈桑在信中指出，私人聊天记录中的信息“可能助长针对儿童的犯罪”，并引用一位研究人员的警告，称这些数据可能有助于“引诱儿童进入真正危险的境地”。

据《连线》报道，Bondu在收到通知后迅速采取行动，在几分钟内下线了该控制台，并于次日重新上线，并配备了适当的身份验证措施。首席执行官拉菲德表示，安全修复“在几小时内完成”，公司发现“除参与研究的研究人员外，没有访问证据。”

然而，哈桑在信中质疑了Bondu公开声称其使用“行业标准保障措施”以及个人数据访问“严格限于授权核心团队成员”的说法。她询问该公司是否使用了AI工具来构建其门户网站，以及采取了哪些措施来检测由此方法产生的潜在安全漏洞。

这位参议员要求在2026年2月23日前做出回应，并将信件抄送给参议院联合经济委员会主席大卫·施韦克特和副主席埃里克·施密特。

这一事件发生之际，AI驱动的儿童玩具正面临越来越多的审查。儿童权益组织和隐私保护机构对数据收集做法表示担忧，非营利组织Fairplay在去年11月发布了一项消费者建议，警告消费者不要购买AI玩具。2025年11月美国公共利益研究组织的一份报告发现，一些具备AI功能的玩具收集了大量数据，包括语音录音、姓名、出生日期和偏好。

研究人员还发现，Bondu似乎使用了谷歌的Gemini和OpenAI的GPT-5，这可能会与这些公司共享儿童对话的信息。拉菲德证实该公司使用“第三方企业AI服务”，但表示已采取预防措施以尽量减少数据共享。