Per Margolis e Thacker l’episodio solleva anche interrogativi sul numero di persone all’interno delle aziende di giocattoli AI che hanno accesso ai dati raccolti, sulle modalità di controllo di questi accessi e sul grado di protezione delle credenziali utilizzate. “Ci sono implicazioni sulla privacy che si estendono a catena”, afferma Margolis. “Basta che un solo dipendente utilizzi una password debole e ci ritroviamo al punto di partenza, con tutto di nuovo esposto su internet”.
Margolis aggiunge che informazioni sensibili sui pensieri e sui sentimenti di un bambino potrebbero essere sfruttate per forme gravissime di abuso o manipolazione. “Per dirla senza giri di parole, è il sogno di un rapitore”, spiega. “Parliamo di dati che permettono a una persona di attirare un bambino in una situazione estremamente pericolosa, ed erano sostanzialmente accessibili a chiunque”.
I due esperti fanno inoltre notare che, al di là dell’esposizione accidentale dei dati e in base a quanto hanno osservato, Bondu sembrerebbe utilizzare Google Gemini e GPT-5 di OpenAI, condividendo quindi potenzialmente informazioni sulle conversazioni dei bambini con le due aziende. In una risposta via email, Rafid di Bondu ha spiegato che la società utilizza “servizi di AI forniti da aziende esterne per generare le risposte ed eseguire alcuni controlli di sicurezza, il che comporta la trasmissione sicura dei contenuti delle conversazioni rilevanti per l’elaborazione”. L’ad ha aggiunto che l’azienda adotta precauzioni per “ridurre al minimo ciò che viene inviato, adottare controlli contrattuali e tecnici e operare in configurazioni aziendali, nelle quali i fornitori dichiarano che prompt e output non vengono usati per addestrare i loro modelli”.
I ricercatori avvertono inoltre che una parte del rischio potrebbe derivare dal fatto che queste aziendeok tendono a usare l’AI anche in fase di programmazione di prodotti, strumenti e infrastrutture web. Il sospetto è che la console vulnerabile di Bondu che hanno individuato fosse il prodotto di vibe coding, cioè “scritta” da strumenti di intelligenza artificiale, che spesso introducono vulnerabilità. Bondu non ha risposto alla domanda di Wired in merito.
Anche se negli ultimi mesi sono aumentati gli avvertimenti sui rischi dei giocattoli con AI per i bambini, l’attenzione si è concentrata soprattutto sul pericolo che le conversazioni avviate dai giocattoli affrontino temi inappropriati o inducano comportamenti pericolosi o autolesionismo. Nbc News, per esempio, ha riportato a dicembre che alcuni giocattoli alimentati dall’intelligenza artificiale con cui avevano interagito alcuni suoi giornalisti fornivano spiegazioni dettagliate di termini sessuali, consigli su come affilare coltelli e sembravano addirittura riprendere la propaganda del governo cinese (affermando per esempio che Taiwan fa parte della Cina).
