Un'analisi tecnica indipendente ha acceso i riflettori su Persona, società che fornisce servizi di verifica dell'identità (KYC) anche a piattaforme come OpenAI, oltre a Roblox, LinkedIn e Reddit.
I ricercatori, noti con gli pseudonimi vmfunc, Celeste, MDL e Dziurwa, hanno esaminato 53 MB di file JavaScript e TypeScript provenienti da una configurazione di sviluppo rimasta accessibile per errore su un endpoint collegato al programma FedRAMP.
Persona opera come fornitore di servizi "Know Your Customer", gestendo 269 tipi di controlli, inclusi rilevamento di immagini sintetiche, confronto facciale con database di persone politicamente esposte e screening rispetto a liste di sanzioni internazionali.
Dati e attività su su ChatGPT tra le mani delle unità di intelligence americane?
Tra i moduli individuati figurano funzioni in grado di preparare e inviare segnalazioni di attività sospette a FinCEN, l'unità di intelligence finanziaria del Tesoro statunitense, e a FINTRAC, l'omologo canadese. Alcuni report risultano etichettabili con codici operativi come "Project SHADOW" e "Project LEGION". L'analisi ha inoltre evidenziato la presenza di un sottodominio denominato "openai-watchlistdb", attivo dal novembre 2023, e un deployment separato chiamato ONYX su server con suffisso governativo.
Il nome richiama Fivecast e il suo prodotto Fivecast ONYX, utilizzato anche dall'ICE statunitense, ma nel codice esaminato non compaiono riferimenti diretti alla società australiana. Un punto cruciale sottolineato dagli stessi ricercatori riguarda i limiti metodologici: l'analisi si è concentrata esclusivamente sul frontend, cioè la parte del software caricata nel browser dell'utente. Non sono state esaminate le componenti backend, dove avvengono l'elaborazione e l'eventuale trasmissione effettiva dei dati.
Non esistono prove di trasferimento dati e attività su ChatGPT
Pur essendo presenti strumenti predisposti per la compilazione e l'invio di segnalazioni regolamentari, non esistono prove di trasferimenti automatici o sistematici dei dati degli utenti verso agenzie governative. I ricercatori precisano che non vi è evidenza di una pipeline bidirezionale continua.
L'amministratore delegato di Persona, Rick Song, ha definito l'esposizione del codice una svista legata a un'istanza di sviluppo e ha dichiarato che l'azienda non ha contratti federali attivi né utilizzi per finalità di sorveglianza. Infine, Discord aveva testato il sistema di Persona per la verifica biometrica dell'età nel Regno Unito, in conformità con l'Online Safety Act, ma ha poi interrotto la sperimentazione, affidandosi a un altro fornitore.