Una grave vulnerabilità di sicurezza ha colpito Bondu, azienda che produce peluche interattivi basati su intelligenza artificiale, esponendo oltre 50.000 conversazioni tra bambini e giocattoli smart. La falla è stata scoperta dai ricercatori di sicurezza Joseph Thacker e Joel Margolis.
Il problema riguardava la piattaforma web interna dell’azienda: per accedere alla console era sufficiente un account Gmail, senza ulteriori controlli o restrizioni. Una volta effettuato l’accesso, era possibile consultare gran parte delle trascrizioni delle interazioni tra i minori e i peluche Bondus, progettati per simulare un compagno digitale attraverso una chat AI.
my own blog about it https://t.co/vbM9kFVJez
— Joseph Thacker (@rez0__) January 29, 2026
L’indagine è partita in modo fortuito, dopo che una conoscente di Thacker aveva preordinato uno dei peluche interattivi per i figli, incuriosita dalle funzionalità basate sull’intelligenza artificiale. Approfondendo l’analisi, i ricercatori hanno scoperto che la console esponeva dati particolarmente sensibili.
Dati personali e trascrizioni complete
La piattaforma, pensata per consentire ai genitori di monitorare le interazioni e allo staff di Bondu di analizzare le prestazioni del prodotto, conteneva informazioni come nomi dei bambini, date di nascita, nomi dei familiari e obiettivi educativi impostati dai genitori. Oltre a questi dati, erano disponibili riassunti automatici e trascrizioni complete delle chat, ad eccezione di quelle eliminate manualmente.
Bondu ha confermato che i log accessibili superavano le 50.000 unità e riguardavano di fatto quasi tutte le interazioni avvenute con i giocattoli. Le trascrizioni includevano anche dettagli apparentemente banali come preferenze alimentari, giochi preferiti, soprannomi, che però, nel loro insieme, consentivano di costruire profili molto dettagliati dei minori coinvolti.
Secondo quanto dichiarato dall’azienda, i dispositivi non conservano le registrazioni audio: l’audio viene eliminato dopo breve tempo, mentre il testo delle conversazioni viene mantenuto per migliorare le risposte tramite tecniche di machine learning. Bondu utilizza servizi di terze parti per l’elaborazione delle risposte e per i controlli di sicurezza, tra cui Gemini di Google e modelli OpenAI come GPT-5, operando, secondo quanto indicato dall’azienda tramite configurazioni enterprise che impediscono l’uso dei dati per l’addestramento dei modelli.
Dopo la segnalazione dei ricercatori, Bondu ha corretto rapidamente la vulnerabilità e rafforzato i meccanismi di autenticazione, dichiarando di non aver riscontrato accessi non autorizzati al di fuori dell’attività di ricerca.
Al di là della singola falla, il caso Bondu evidenzia un caso più ampio: l’integrazione di sistemi AI conversazionali nei giocattoli apre nuove possibilità di interazione, ma comporta anche la gestione di grandi quantità di dati sensibili. Un aspetto che richiede standard di sicurezza particolarmente elevati, soprattutto quando gli utenti finali sono bambini.