Un raport al cercetătorilor de la Oversecured evidențiază vulnerabilități critice în mai multe aplicații de companion AI, incluzând 14 probleme de severitate ridicată și riscul expunerii datelor sensibile ale utilizatorilor. Anunțul vine după ce s-au identificat breșe de securitate care pot permite accesul la conversații intime, imagini sau sesiuni active ale utilizatorilor.
Vulnerabilități și riscuri majore
Cercetătorii au identificat 14 vulnerabilități critice și sute de probleme de riscuri ridicate în 17 aplicații populare de companioni AI. În 10 dintre aceste aplicații, defecțiunile facilitau accesul direct la istoricul conversațiilor utilizatorilor. Printre probleme se numără credențiale cloud vehiculate în cod, tokenuri expuse, probleme de tip XSS și breșe ce permit furtul de fișiere din dispozitive.
Alerta nu este privată de controverse, întrucât aceste slăbiciuni permit accesul la conținut privat, precum dialoguri personale, imagini sau sesiuni active. Problema devine semnificativă în contextul în care asemenea breșe pot duce la furturi de identitate sau compromiterea datelor personale.
Exemple de breșe majore și amploarea expunerii
În octombrie 2025, aplicațiile Chattee Chat și GiMe Chat au fost legate de o scurgere masivă de date. Aproximativ 43 de milioane de mesaje intime și circa 600.000 de fotografii, provenind de la peste 400.000 de utilizatori, au fost expuse din cauza lipsei de protecții adecvate a fluxurilor de date. Accesul a fost posibil neautorizat, facilitând vizualizarea de conținut extrem de sensibil.
Un alt incident, în ianuarie și februarie 2026, a vizat aplicația Chat & Ask AI. În această situație, aproximativ 300 de milioane de mesaje, legate de 25 de milioane de utilizatori, au fost expuse din cauza unei configurări greșite a bazei de date. În conversații au fost identificate teme precum sinuciderea, consumul de droguri, hacking-ul și alte subiecte vulnerabile, ceea ce indică riscul exploatării acestor informații pentru șantaj sau manipulare.
Există o lacună legislativă semnificativă în modul de reglementare a acestor aplicații de companion AI. Nu toate sunt tratate ca produse medicale, chiar dacă mulți utilizatori le folosesc pentru sprijin emoțional sau situații de criză. În septembrie 2025, FTC a lansat o investigație asupra chatboturilor de tip companion, dar focusul oficial a fost pus pe impactul asupra minorilor și asupra riscurilor pentru sănătate mentală, nu pe problemele de securitate tehnică.
State precum New York și California au început să impună reguli pentru informarea utilizatorilor despre faptul că interacționează cu o inteligență artificială și pentru gestionarea situațiilor de autovătămare. În plus, Italia a amendat dezvoltatorul Luka Inc. cu 5 milioane de euro pentru încălcări ale GDPR, în cazul aplicației Replika. În aceste cazuri, regulile vizează mai ales protecția datelor și minorii, nu standardele de securitate a aplicațiilor în sine.
În privința utilizatorilor, recomandarea este clară: orice conversație cu o „iubită AI” trebuie tratată ca fiind vulnerabilă, evitându-se partajarea de informații compromițătoare, documente personale, fotografii intime sau eventuale date bancare. În lipsa unor reglementări stricte, cea mai bună practică rămâne să nu se partajeze informații sensibile.
În concluzie, riscurile legate de vulnerabilitățile tehnice ale aplicațiilor de companion AI devin tot mai evidente, fiind evidențiate cazuri reale de expunere a datelor și breșe majore.