Malwarebytesは2月3日(米国時間)、「An AI plush toy exposed thousands of private chats with children｜Malwarebytes」において、AI玩具「bondu」から子供のプライベートチャット約5万件が流出したと報じた。

氏名、生年月日、家族の詳細などにアクセス可能だったか

「bondu」はAI機能を搭載する玩具の製造販売企業「The Ai Toy Company」のブランド名。米国に拠点を置き、子供との会話をサポートするぬいぐるみなどを販売している。

Malwarebytesによると、同時案は2人のセキュリティ研究者により発見されたという。Gmailアカウントさえあれば誰でもbonduの管理ポータルサイトにログイン可能で、子供と製品の間で交わされた会話のほぼすべての記録にアクセスできたとされる。会話には氏名、生年月日、家族の詳細、個人的な会話が記録されており、親またはスタッフが手動で削除したデータのみ閲覧できなかったと報告されている。

指摘を受けたThe Ai Toy Companyは数分以内にポータルサイトをオフラインにし、数時間で修正を行いサイトを再開した。研究者以外のアクセスの証拠は確認されず、対策としてセキュリティ企業による監視を強化したとされる。

AI玩具のリスクと対策

今回の件は情報流出のリスクが子供の玩具にまで拡大した事実を浮き彫りにしている。買い与えて終わりではなく、今後は継続した監視および管理が求められる。Malwarebytesが推奨する具体的な対策は次のとおり。

AI機能が搭載された玩具は、直接の監視下にある場合に限定して電源を入れる

プライバシーポリシーを精査する。記録、保存、共有されるデータを把握する。とくにマイク、カメラ、位置センサー(GPS)の存在に注意する

可能な場合はWi-Fiやインターネット接続を制限する。これら接続を必須とする製品は避ける

会話の内容に注意する。定期的に子供に確認をとる

相手がぬいぐるみの場合でも、個人情報を提供しないように教育する

自分の直感を信じ、リスクにためらわずに介入する

AI搭載玩具については、情報流出以外にも生成AI特有の問題が伝えられている。主に不適切な情報提供を行う可能性の指摘だが、他にも問題のある言葉遣いや保護者と子供の関係性に介入する危険が指摘されている。

これらリスクが常に存在することから、Malwarebytesは現時点でAIを玩具に搭載すべきではないと提案している。安全、プライバシー、セキュリティが確実に保護され、なおかつ健康的な利用に限定できる場合は別と述べ、これら制限が必要と訴えている。