老实讲,下次你再为了用某个 AI 功能,对着摄像头眨眨眼、露个笑脸时,最好心里有点准备。

你以为是“身份验证”,但在系统的后台,这叫“生物特征录入”。

你以为是为了“安全”,但源代码告诉我们,这可能是为了把你和全球政客、恐怖分子、甚至洗钱名单做比对。

最近,安全研究员 vmfunc 在一个看似不起眼的 IP 地址上,撞开了一扇通往“数字全景监狱”的大门。

故事的主角,是你熟悉的 OpenAI,一家名为 Persona 的身份验证公司,还有美国政府。

一个域名泄露天机

一切始于一次无聊的 Shodan 搜索。

那是网络安全圈的日常“扫街”。一个 IP,34.49.93.177,孤零零地躺在谷歌云的堪萨斯城机房。只有一个端口开着,一张 SSL 证书挂在上面。

但证书上的域名,让人后背发凉:

image

openai-watchlistdb.withpersona.com

注意这个词:watchlistdb

不是 verify(验证),不是 kyc(合规),而是 watchlistdb(监控名单库)。

这不仅仅是个验证接口,这是一个数据库。而且,是专门给 OpenAI 用的。

更有意思的是时间线。证书透明度日志显示,这个服务早在 2023 年 11 月 就上线了。

要知道,OpenAI 可是直到 2025 年才公开宣布 GPT-5 需要“组织验证”。也就是说,在公众完全不知情的情况下,这套基础设施已经悄悄运行了整整 18 个月。

所谓的“为了安全”,看来早就开始布局了。

image

联邦政府门口的“钥匙”

如果说 OpenAI 的专用监控库让人警觉,那 Persona 的另一条线简直就是“明牌”。

研究员顺藤摸瓜,发现了 withpersona-gov.com。这是一个专门服务政府客户的平台,而且已经拿到了 FedRAMP(联邦风险与授权管理项目)的授权。

这意味着什么?意味着它达到了处理美国政府敏感数据的标准。

在这个政府平台上,有一个名为 onyx.withpersona-gov.com 的子域名。就在这篇文章发布前 12 天,这个域名的证书刚刚签发。

ONYX

这个名字太巧了。美国移民及海关执法局(ICE)刚刚花 420 万美元买了一个叫 Fivecast ONYX 的 AI 监控工具。根据公开资料,这个工具能从社交网络和暗网抓取数据,分析情绪,给每个人打分。

Persona 的代码里虽然没有直接写“我们给 ICE 干活”,但这种巧合,就像是你在案发现场捡到了一块同名拼图。

image

53MB 的源代码通通看光

最荒诞的事情来了。

这么一个处理敏感数据、通过 FedRAMP 认证的政府平台,居然犯了一个初级程序员都不该犯的错误。

他们在生产环境里,忘了关掉 Source Maps。

简单说,就是把 53MB 的原始 TypeScript 源代码,赤裸裸地放在了公网上。任何人只要懂点技术,就能把这些代码下载下来慢慢读。

这一读,不得了。

2456 个源文件,毫无保留。

在代码里看到了什么?

一个名为 SelfieSuspiciousEntityDetection 的函数。

翻译一下:自拍可疑实体检测。

你的脸,在系统眼里,有一套算法来判定是否“可疑”。至于什么叫“可疑”?代码没说,用户更不知道。

我还看到了 PEP(政治敏感人物)识别系统。这不仅仅是查名字,而是人脸比对

当你上传自拍时,系统会把你的脸,和数据库里全球政客、国家元首甚至他们亲戚的脸做比对。代码里写得清清楚楚:相似度打分,分为低、中、高。

想象一下,你只是想写个周报,结果 AI 在后台认真分析你长得像不像某个国家的副部长。

这画面,讽刺得让人想笑。

image

一键报案:直通财政部

事情到这里,已经不仅仅是“隐私泄露”这么简单了。

泄露的代码里,有一个完整的 SAR(可疑活动报告)模块。这东西是干嘛的?是直接发给 FinCEN(美国金融犯罪执法网络)的。

代码里甚至有一个按钮的逻辑:handleFileSAR。

只要操作员点一下,一份关于你的报告,包含你的身份信息、生物特征、所谓的“可疑行为”,就会直接飞向美国财政部。

不仅是美国。系统还支持向加拿大金融情报机构 FINTRAC 提交报告,并且可以给报告打上各种情报项目的代号:

  • Project SHADOW
  • Project LEGION
  • Project GUARDIAN

听着像好莱坞大片,但这却是真实的代码逻辑。

这就像是,你走进银行开户,柜员不仅查了你的征信,还顺手把你列入了反恐名单监控,并且随时准备向 FBI 打小报告。

而这一切,仅仅因为你想要使用一个聊天机器人。

谁在监视?谁被监视?

说实话,看到这里,我个人觉得最可怕的不是技术,而是这种“无感”的入侵。

Persona 的官网上写着:“为了提供安全的 AGI,我们需要确保坏人无法使用我们的服务。”

听起来冠冕堂皇。

image

但代码暴露的逻辑是:先把所有人都当成潜在的坏人筛查一遍。

而且,这套系统有着惊人的记忆力。

OpenAI 对外宣称生物数据“最多保留一年”。但 Persona 的代码里,人脸数据库的保留期限上限写的是 3 年

甚至有些政府 ID 的保留策略是“永久”。

这就是现实中的“罗生门”。用户以为自己只是过个安检,殊不知在后台,你的生物特征已经被归档、建库、甚至可能被共享。

我们还能怎么办?

研究员在文章最后列出了一长串的问题,但我只想问一个最简单的:

我们还有拒绝的权利吗?

image

当你想使用最先进的 AI 工具,当你想接入未来的数字社会,身份验证似乎成了必选项。你交出了姓名、护照、脸、甚至指纹。

你以为这是为了“信任”。

但在系统的逻辑里,这是为了“控制”。

有意思的是,那个泄露了源代码的 onyx 子域名,现在的安全说明文件(security.txt)已经过期了。

连他们自己都忘了修补漏洞,却想让我们相信,他们能守住我们的隐私?

别逗了。

下次面对摄像头微笑时,记得提醒自己:屏幕对面坐着的,可能不只是 AI。

参考链接:
https://vmfunc.re/blog/persona/