隨著人工智能的發(fā)展，為了讓寶寶們贏在起跑線上，玩具熊、玩具狗、都推出了“人工智能”版本，成為擁有語音對話功能的高等機器生物。然而，這些智能的玩具背后，也埋藏著深深的隱私問題。

據報道，CloudPets 制造商 Spiral Toys 的兒童語音識別和賬戶信息存在暴露隱患。攻擊者只需掌握一定的 Web 搜索技能，就能輕易竊取和勒索用戶數(shù)據。對于那些希望通過聯(lián)網毛絨語音玩具來吸引孩子興趣的家長們來說，這顯然不是一個好消息。網絡安全專家 Troy Hunt、以及 Vice 網絡安全副刊 Motherboard 在報告中指出，廠家竟然將用戶數(shù)據存在一個開放數(shù)據庫中，無需密碼就能被任何人訪問到包含電子郵件地址在內的私密信息（密碼也可以被輕易猜中）。

我們很難相信CloudPets（或者mReady）方面此前并未第一時間了解到情況，但相關數(shù)據庫仍持續(xù)處于開放狀態(tài)并隨后遭到惡意方的訪問。很明顯，惡意人士變更了該系統(tǒng)的安全配置，而廠商則無法忽視對方留下的勒索要求。因此數(shù)據庫暴露與勒索行為必然已經被廠商所發(fā)現(xiàn)，但其卻從未對此事進行通報。

此次數(shù)據泄露進一步引發(fā)了人們對于互聯(lián)網接入型智能玩具在隱私及安全性方面薄弱表現(xiàn)的擔憂。技術新聞網站Motherboard就曾經披露玩具制造商VTech遭遇入侵，近500萬名成年用戶的姓名、電子郵箱地址、密碼、住址以及超過20萬兒童的姓名、性別與生日不慎外泄。就在一個月后，一位研究人員又發(fā)現(xiàn)美泰公司生產的互聯(lián)網接入型芭比娃娃中存在的漏洞可能允許黑客攔截用戶的實時對話。

除了將客戶數(shù)據庫保存在可公開訪問的位置之外，Spiral Toys公司還利用一款未經任何驗證機制保護的Amazon托管服務存儲客戶的個人資料、兒童姓名及其與父母、親屬及朋友間的關系信息。只需要了解文件的所處位置，任何人都能夠輕松獲取到該數(shù)據——Hunt表示，文件位置信息亦不難找到。

更奇怪的是，對于安全管理如此寬松的產品，該服務本采用了極為嚴密的bcrypt散列函數(shù)進行密碼保護。然而遺憾的是，CloudPets使用了有史以來最為寬松的一項密碼策略。其允許使用任何密碼內容——例如單個字符“a”或者短鍵盤序列“qwe”這樣的密碼設置。

Hunt寫道，“這意味著當我在將bcrypt哈希輸入密碼破解應用hashcat并參照全球使用頻率最高的密碼詞匯表時（包括‘qwerty’、‘password’以及‘123456’等），我能夠在很短的時間內破解大量密碼?！?/p>

美國針對兒童網絡隱私有明確的立法，即“美國兒童網絡隱私保護法”。其規(guī)定，商業(yè)網站必須經過家長同意，才能夠獲取13歲以下兒童的個人信息。但問題是，保護法并沒有明確細化到“使用個人信息營銷”的層面。也就是說，玩具廠商非常容易打擦邊球，通過一個寬泛的條款，讓家長忽略信息收集問題。另外，如果玩具公司私下廣泛收集數(shù)據，而數(shù)據被黑客駭入獲得，那么后果可能更為嚴重。

顯然，基于物聯(lián)網技術的智能玩具雖然僅僅處于起步階段，但前景無疑是非常明朗的。在大量產品推出之時，相關的法律法規(guī)如果沒有跟上，對于用戶的傷害是無法估計的。所以，家長們在為孩子們選購新酷玩具的同時，還要做好心理準備，購買智能玩具的時候需慎重。

cc

收藏 海報分享