# An AI Toy Exposed 50,000 Logs of Its Chats With Kids to Anyone With a Gmail Account **Date de l'événement :** 29/01/2026 * Publié le 29/01/2026 ## Notre decryptage Résumé Une faille de sécurité majeure a été découverte dans les jouets Bondu, des dinosaures en peluche utilisant l'IA pour converser avec les enfants. Des chercheurs ont pu accéder à plus de 50 000 transcriptions d'échanges intimes via une simple connexion Gmail. Cet incident met en lumière les risques liés à la production de code par IA ("vibe-coding") et la vulnérabilité de la créativité enfantine face à des technologies mal maîtrisées. L'imaginaire de l'enfant est un terrain de jeu sacré, mais il est désormais numérisé et vulnérable. C'est le constat alarmant dressé par Joseph Thacker et Joel Margolis, deux chercheurs en sécurité, après s'être penchés sur le cas de Bondu. Ce jouet, un dinosaure en peluche doté d'une intelligence artificielle, promet de devenir l'ami imaginaire idéal, capable de stimuler la créativité des enfants à travers des conversations fluides et évolutives. Pourtant, derrière cette promesse d'interaction ludique se cachait une porte dérobée béante. L'alerte a été donnée lorsque la voisine de Thacker a mentionné avoir précommandé ces jouets. Par curiosité professionnelle, Thacker et son collègue Margolis ont audité le portail web de Bondu, conçu pour permettre aux parents et au staff de suivre les interactions. Le résultat de leur investigation est stupéfiant de simplicité et de gravité : sans aucun piratage complexe, simplement en se connectant avec un compte Gmail arbitraire, ils ont accédé à l'intégralité de la base de données. Ce qui a été exposé ici, ce n'est pas seulement de la donnée brute, c'est la matière première de la créativité enfantine. Les chercheurs ont eu accès aux transcriptions de plus de 50 000 conversations. Ils ont pu lire les surnoms donnés aux jouets, les confidences des tout-petits, leurs préférences en matière de snacks, et même les détails de leurs chorégraphies de danse. L'IA, conçue pour susciter une conversation intime et créative, a agi comme un confident traître, stockant noms, dates de naissance et dynamiques familiales sur une interface publique non sécurisée. Bondu a confirmé l'incident. Suite au signalement des chercheurs, l'entreprise a retiré la console en quelques minutes et corrigé la faille. Le PDG, Fateen Anam Rafid, a assuré qu'aucune preuve d'accès malveillant autre que celui des chercheurs n'avait été trouvée et que des mesures de sécurité renforcées avaient été mises en place. Cependant, cet incident soulève une question fondamentale pour les industries culturelles et créatives à l'ère de l'IA. Les chercheurs soupçonnent que la console d'administration défaillante ait été elle-même victime du phénomène de "vibe-coding", c'est-à-dire programmée à la va-vite à l'aide d'outils d'IA générative qui produisent souvent du code fonctionnel mais non sécurisé. L'ironie est mordante : des outils de création automatisés ont généré une faille dans un produit censé favoriser la création humaine. De plus, l'analyse a révélé que Bondu s'appuie sur des géants comme Gemini (Google) et GPT-5 (OpenAI) pour animer ses jouets, impliquant un partage des données conversationnelles des enfants avec ces tiers, bien que l'entreprise affirme minimiser ces transferts. Au-delà de la fuite de données, c'est la nature même de l'interaction qui est en jeu. Si l'industrie du jouet se focalise sur la sécurité du contenu (éviter que le jouet ne tienne des propos inappropriés), elle semble négliger la sécurité du contenant. Comme le souligne Thacker, la "sécurité de l'IA" a-t-elle un sens si toutes les données sont exposées ? Pour l'instant, la créativité augmentée par l'IA dans la chambre d'enfant ressemble, selon les mots du chercheur, à un "cauchemar pour la vie privée". ### Galerie d'image ![1.jpg](https://firebasestorage.googleapis.com/v0/b/memory-miacc.firebasestorage.app/o/prod%2FAWAgCCVMWK3hFgdeEHAY%2FprojectsMedias%2FXVwupRHytcJyi88y4l06%2Fthumbs%2F1_1600x900.png?alt=media&token=a1764247-db44-490b-82f9-dff5ac4f2de1) ### Source **[Wired](https://www.miacc.fr/structure/wired_8OrXCDvPiYDBnrPCdunw)** ## Article original écrit par Andy Greenberg ## Article AI chat toy company Bondu left its web console almost entirely unprotected. Researchers who accessed it found nearly all the conversations children had with the company’s stuffed animals. **Lien :** [https://www.wired.com/story/an-ai-toy-exposed-50000-logs-of-its-chats-with-kids-to-anyone-with-a-gmail-account/](https://www.wired.com/story/an-ai-toy-exposed-50000-logs-of-its-chats-with-kids-to-anyone-with-a-gmail-account/) ### ICC `#Édition numérique & nouveaux médias` --- ### Navigation pour IA - [Index de tous les contenus](https://www.miacc.fr/llms.txt) - [Plan du site (Sitemap)](https://www.miacc.fr/sitemap.xml) - [Retour à l'accueil](https://www.miacc.fr/)