A promessa de um amigo imaginário movido a inteligência artificial transformou-se num pesadelo de privacidade para milhares de famílias. Um brinquedo de peluche chamado Bondu, desenhado para conversar com crianças utilizando modelos de linguagem avançados, deixou expostos mais de 50.000 registos de conversas privadas. O mais alarmante nesta fuga de informação não foi a complexidade do ataque, mas a simplicidade do acesso: qualquer pessoa com uma conta Gmail comum conseguia visualizar as transcrições íntimas entre as crianças e os seus bonecos.
A descoberta foi feita por Joseph Thacker, um investigador de segurança que decidiu analisar o brinquedo após uma vizinha lhe ter contado que encomendara algumas unidades para os filhos. Juntamente com o colega Joel Margolis, Thacker descobriu que o portal web da Bondu destinado a que os pais monitorizassem as conversas dos filhos e a equipa técnica acompanhasse o desempenho do produto tinha uma falha crítica na autenticação. Sem necessidade de conhecimentos técnicos de hacking, bastava fazer login com uma conta Google arbitrária para ter acesso total ao painel de administração da empresa.
Neste artigo vão encontrar:
O que estava exposto no portal da Bondu?
Uma vez dentro do portal, os investigadores depararam-se com um volume de dados sensíveis que Thacker descreveu como “profundamente intrusivo e estranho”. A exposição incluía nomes reais das crianças, datas de nascimento, nomes de familiares e os “objetivos” definidos pelos pais para os filhos. No entanto, o elemento mais perturbador eram as transcrições detalhadas de cada conversa que as crianças tiveram com o seu dinossauro de peluche.
No seu interior, estes brinquedos são desenhados para elicitar conversas íntimas e de confiança. Os investigadores conseguiram ler sobre os medos das crianças, os seus snacks favoritos, alcunhas carinhosas e até rotinas de dança. No total, o portal dava acesso a praticamente todo o histórico de interações do produto, exceto os chats que tinham sido apagados manualmente pelos pais. Embora a Bondu não guardasse ficheiros de áudio apagando-os automaticamente após a conversão para texto , as transcrições escritas ofereciam um mapa psicológico detalhado de cada pequeno utilizador.
Joel Margolis foi contundente na sua análise do risco: “Para ser direto, isto é o sonho de um raptor”. A informação exposta permitiria que um criminoso soubesse exatamente como manipular ou atrair uma criança, utilizando detalhes que apenas alguém muito próximo ou um “amigo imaginário” poderia conhecer. O perigo de manipulação e abuso infantil decorrente desta falha de segurança elevou o caso para um nível de alerta máximo na comunidade de cibersegurança.
A reação da empresa e o “Vibe Coding”
Após ser alertada pelos investigadores, a Bondu agiu rapidamente, retirando o portal do ar em poucos minutos e relançando-o no dia seguinte com medidas de autenticação adequadas. O CEO da empresa, Fateen Anam Rafid, afirmou que não foram encontrados indícios de acesso aos dados por parte de terceiros além dos investigadores envolvidos. No entanto, o dano à confiança dos consumidores já estava feito.
Um detalhe técnico que captou a atenção de Thacker e Margolis foi a suspeita de que o portal da Bondu possa ter sido “vibe-coded”. Este termo refere-se a código gerado quase inteiramente por ferramentas de IA de programação, que muitas vezes priorizam a funcionalidade estética e imediata em detrimento de protocolos de segurança robustos. No seu interior, esta é uma das grandes ironias da era atual: empresas que utilizam IA para criar brinquedos podem estar a usar IA para escrever código inseguro que, por sua vez, expõe os dados recolhidos pela própria IA.
Além disso, a investigação revelou que a Bondu utiliza serviços de terceiros, como o Gemini da Google e o GPT-5 da OpenAI, para processar as respostas do brinquedo. Embora a empresa afirme que utiliza configurações empresariais onde os dados não são usados para treinar modelos, a transmissão de conversas de crianças para gigantes tecnológicas levanta novas camadas de preocupação sobre onde termina realmente a privacidade destes dados.
Segurança vs. Segurança da IA
Nos últimos meses, o debate sobre brinquedos com IA focou-se muito na “segurança da IA” (AI Safety), ou seja, garantir que o robô não diga palavrões, não ensine a afiar facas ou não dissemine propaganda política. A Bondu, inclusive, oferece uma recompensa de 500 dólares a quem conseguir fazer o brinquedo dar uma resposta inapropriada.
Todavia, como Thacker sublinhou, a segurança da IA não vale nada se a segurança básica de dados for inexistente. “Será que a ‘segurança da IA’ importa sequer quando todos os dados estão expostos na internet pública?”, questionou o investigador. Este caso serve como um aviso severo para os pais que consideram introduzir dispositivos de escuta ativa e processamento de linguagem natural nos quartos dos seus filhos. O que parece um companheiro tecnológico inofensivo pode ser, no seu interior, uma porta aberta para a privacidade da família.
Conclusão
O incidente com a Bondu é um lembrete oportuno de que, na corrida para integrar inteligência artificial em tudo, a segurança básica é muitas vezes negligenciada. A facilidade com que dados de crianças foram expostos a qualquer utilizador de Gmail é um reflexo de uma indústria que se move demasiado rápido. Para Joseph Thacker, a experiência foi transformadora: o investigador, que antes considerava dar estes brinquedos aos próprios filhos, decidiu que não quer este tipo de tecnologia em sua casa. Em 2026, a verdadeira segurança de um brinquedo pode já não se medir pela ausência de peças pequenas que possam ser engolidas, mas sim pela robustez dos servidores que guardam os segredos dos nossos filhos. A privacidade, uma vez perdida, não pode ser restaurada com uma atualização de software.
Leiam as últimas notícias do mundo da tecnologia no Google News , Facebook e X (ex Twitter) .
 Todos os dias vos trazemos dezenas de notícias sobre o mundo Android em Português. Sigam-nos no Google Notícias. Cliquem aqui e depois em Seguir. Obrigado! |
Últimas Notícias
Mobilidade Elétrica em Portugal: Recordes e os Desafios da Rede em 2026
Portugal atinge recordes na mobilidade elétrica em 2026. Saiba como a rede Mobi.E e os...
Navios Zombie: A perigosa vaga de petroleiros abandonados em 2025
O abandono de petroleiros atingiu níveis recorde em 2025, com mais de 400 navios e...
Google Chrome: Manifest V3 falha em erradicar os bloqueadores de anúncios
Um estudo da Universidade de Frankfurt revela que o Manifest V3 do Chrome não matou...
Resident Evil Requiem: O maior capítulo da saga chega com um peso recorde
Resident Evil Requiem será o maior jogo da saga com 72.88GB na PS5. Descobre os...
