摘要
1) 一句话总结 安全研究人员通过合法的公开来源侦察发现,身份验证服务商 Persona 为 OpenAI 和美国政府构建了包含面部识别与观察名单比对的监控基础设施,且其 FedRAMP 授权的政府平台因配置失误导致完整源代码泄露。
2) 关键发现
- 调查方法:所有发现均基于合法的被动侦察(如 Shodan、证书透明度日志、公开 HTTP 标头),未进行任何未经授权的系统访问或凭据使用。
- 隐秘的时间线:发现专属的 Google Cloud 实例
watchlistdb.withpersona.com。证书日志显示该服务于 2023 年 11 月上线,比 OpenAI 公开宣布高级模型身份验证要求早了 18 个月。 - 政府平台代码泄露:在获得 FedRAMP 授权的政府平台子域名(
app.onyx.withpersona-gov.com)上,未经身份验证的端点暴露了 53MB 的源码映射文件,包含 2,456 个完整的 TypeScript 源文件。 - 直连金融情报机构:代码包含直接向美国金融犯罪执法局(FinCEN)和加拿大金融交易和报告分析中心(FINTRAC)提交可疑活动报告(SAR/STR)的模块,并支持使用特定情报代号(如 Project SHADOW)进行标记。
- 面部识别与政治人物筛查:系统执行“自拍可疑实体检测”,将用户自拍与全球政治人物(PEP)数据库进行比对评分,并维护 13 种类型的面部观察名单。
- 深度验证与监控:系统后台执行 14 类共 269 项独立验证检查,并集成了 Chainalysis 对加密货币地址进行持续监控和自动重新评估。
- AI 辅助审查:平台为政府操作员内置了 OpenAI 助手(AskAI),用于辅助审查可疑活动报告和面部匹配结果。
- 代码未包含的内容:源码中没有直接提及美国移民和海关执法局(ICE)、边境巡逻、Palantir 等监控供应商,也没有双向的 OpenAI 数据管道或直接的执法功能(如传票处理)。
3) 风险与合规漏洞
- 生物特征数据违规风险:OpenAI 公开声称生物特征数据最长保留一年,但源代码显示面部列表保留期上限为 3 年,政府 ID 甚至被“永久”保留,明确面临违反《伊利诺伊州生物特征信息隐私法》(BIPA)的严重风险。
- FedRAMP 安全失误:53MB 包含完整原始代码的源码映射文件在受 FedRAMP 授权的政府终端上毫无保护地暴露,属于灾难性的安全配置失误。
- 缺乏用户透明度与申诉机制:用户未被告知其自拍被用于公众人物面部匹配及 269 项后台检查;验证失败后账号被锁定,且不提供拒因、无人工支持、无法申诉,但数据仍被保留。
- 制裁政策滥用:OpenAI 在系统层面将未受 OFAC 制裁的乌克兰与受制裁国家(如伊朗、朝鲜)一同封锁,属于平台自身的政策选择而非法律要求。
正文
2026年2月18日 补充声明
我们目前正与 Persona 的首席执行官 Rick Song 进行直接的书面沟通。他做出了积极且有诚意的回应,并承诺将以书面形式回答我们提出的 18 个问题。所有的通信内容将作为本系列的第二部分完整公布。但核心发现——包括 openai-watchlistdb.withpersona.com 及其长达 27 个月的证书透明度历史记录——目前仍未得到解释。
法律声明 本次调查未违反任何法律。所有发现均来自使用公开来源(Shodan、CT 日志、DNS、HTTP 标头以及目标自有 Web 服务器提供的未经身份验证的文件)进行的被动侦察。我们没有访问任何系统,没有使用任何凭据,也没有修改任何数据。获取公开发布的文件不属于未经授权的访问。
这是一项受第一修正案及多项国际法律保护的新闻与安全研究。作者不隶属于本文提及的任何政府、情报机构或竞争对手,也没有任何经济利益或报酬。本研究出于公共利益,并在发布前已通过多个司法管辖区、匿名投递点和第三方档案馆进行了分发。任何试图压制或报复本出版物的行为,都将被视为对调查结果的确认,并会触发进一步的数据分发。解决提出问题的人,并不能解决问题本身。
致 Persona 和 OpenAI 的法律团队:请真正去审计你们所谓的“FedRAMP”合规性,并回答我们提出的问题。这才是正确的应对方式。
监控的开端:便利背后的代价
他们曾告诉我们,未来会非常便利。注册账号、验证身份、与机器对话,一切都轻松顺畅。宣传册上写着“信任与安全”,但源代码里写的却是 SelfieSuspiciousEntityDetection(自拍可疑实体检测)。
这很讽刺。你为了使用一个聊天机器人交出了护照,而在爱荷华州某个数据中心里,面部识别算法正在检查你长得是否像某个政治敏感人物。你的自拍会被打上相似度评分,你的名字会进入观察名单。一个定时任务每隔几周就会重新筛查你一次,仅仅是为了确保自从你上次让 GPT 帮你写求职信之后,你没有变成恐怖分子。
我们决定一探究竟。结果,我们在一个大门敞开的政府终端上发现了源代码。面部识别、观察名单、可疑活动报告(SAR)提交、情报代号,以及更多令人震惊的内容。
意外的发现:34.49.93.177
在研究 Persona(一家使用面部识别验证身份的 KYC 服务商)时,我们最初只是想寻找年龄验证的绕过方法。一切始于一次 Shodan 搜索。一个位于堪萨斯城 Google Cloud 上的单一 IP(34.49.93.177),开放了一个端口,拥有一张 SSL 证书,以及两个讲述了本不该被外人知晓的故事的主机名:它不是“openai-verify”,也不是“openai-kyc”,而是 watchlistdb(观察名单数据库)。
这原本只是一次被动侦察,却迅速演变成了一场深入探究商业 AI 与联邦政府行动如何无时无刻不在侵犯我们隐私的调查。我们甚至不需要编写或执行任何漏洞利用程序,整个架构就摆在门口:在一个 FedRAMP 政府终端上,存放着 53 MB 毫无保护的源码映射文件(Source Maps)。
这些文件暴露了一个平台的完整代码库:该平台向美国金融犯罪执法局(FinCEN)提交可疑活动报告,使用面部识别将你的自拍与观察名单照片进行比对,在从恐怖主义到间谍活动等 14 类负面媒体库中筛查你,并使用活跃情报项目的代号对报告进行标记。
2,456 个源文件包含了完整的 TypeScript 代码库,每一个权限、每一个 API 端点、每一项合规规则、每一种筛查算法,都未经身份验证地暴露在公共互联网上。
专属的基础设施与时间线
Persona 通常的基础设施运行在 Cloudflare 背后。然而,OpenAI 的观察名单服务却打破了这一常规,使用了一个专属的 Google Cloud 实例。你绝不会为了一个简单的“核对名单”API 调用而这样做。只有当收集的数据需要隔离,当合规性要求达到这种程度,或者数据泄露的破坏性大到必须使用专属基础设施时,你才会这么做。
证书透明度(CT)日志告诉了我们这个服务上线的确切时间。早在 2023 年 11 月,该服务就已经运行。OpenAI 直到 2025 年中才宣布“验证组织”要求,直到 GPT-5 才公开要求对高级模型访问进行身份验证。但这个观察名单筛查基础设施,在任何公开披露的 18 个月前就已经投入运行了。
Persona 的公开 API 文档显示,当像 OpenAI 这样的客户运行政府 ID 验证时,API 会返回一份完整的身份档案。Persona 自己的案例研究指出,OpenAI“每月筛查数以百万计的用户”,并且“在几秒钟内在后台自动筛查超过 99% 的用户”。他们借口“为了提供安全的 AGI,需要确保坏人没有使用我们的服务”,却借此机会从将用户与单一联邦观察名单进行比对,变成了自己创建所有用户的观察名单。
政府平台与 53MB 的“裸奔”代码
在调查期间,我们发现了一个平行部署的政府平台:withpersona-gov.com。该平台已获得 FedRAMP 授权,服务于联邦机构。
其内容安全策略(CSP)标头泄露了整个供应商和集成技术栈,包括:OpenAI API、FingerprintJS(浏览器和设备指纹识别)、Microblink(文档扫描)、Sentry(错误跟踪)、Amplitude 和 Pendo(用户行为跟踪)、Datadog RUM(实时用户监控)以及 MX/MoneyDesktop(金融数据小部件)。
更惊人的是在 2026 年 2 月 4 日出现的一个新子域名:app.onyx.withpersona-gov.com。它的名字与美国移民和海关执法局(ICE)斥资 420 万美元购买的 AI 监控工具 Fivecast ONYX 完全一致。
在这个 ONYX 政府仪表板的登录页面上,/vite-dev/ 资产路径未经身份验证就提供了 JavaScript 源码映射文件。这不仅仅是压缩后的代码,而是包含原始 TypeScript 源代码的完整文件。在 FedRAMP 授权的政府平台上,这简直是灾难性的失误。我们无需反编译,无需逆向工程,只需解析 JSON,就能在本地重建完整的项目树。
源代码揭示的监控机器
通过分析这 2,456 个源文件,我们发现了该平台令人不寒而栗的功能:
- 直连 FinCEN 与 FINTRAC: 平台拥有完整的模块,可直接向美国财政部金融犯罪执法局(FinCEN)提交可疑活动报告(SAR),并向加拿大金融交易和报告分析中心(FINTRAC)提交可疑交易报告(STR)。表单甚至允许提交者使用特定的情报行动代号(如 Project SHADOW、Project LEGION)来标记报告。
- 面部生物特征数据库: 平台维护着 13 种类型的跟踪列表。操作员可以直接从验证结果中将自拍添加到面部列表中,保留期长达 3 年。
- 政治人物(PEP)面部识别: 当你上传自拍时,系统会将其与地球上每一位政治家、国家元首及其家族成员的数据库进行面部比对,并给出“低、中、高”的相似度评分。
- 加密货币地址监控: 集成了 Chainalysis,不仅进行一次性查询,还进行持续监控。一旦上游风险发生变化,下游地址将自动重新评估。
- 269 项验证检查: 包含 14 种类型的 269 项独立检查,包括“自拍可疑实体检测”、美国驾照数据库查询、社保死亡主文件比对、PDF 元数据分析等。
- OpenAI 集成: 平台为操作员构建了一个 AI 助手(AskAI)。政府操作员在审查可疑活动报告和面部识别匹配时,正在使用 AI 聊天辅助工具。
法律与伦理的拷问
- 制裁政策的滥用: 乌克兰并未受到 OFAC 制裁,但 OpenAI 却将其与阿富汗、伊朗、朝鲜、俄罗斯等国一起封锁。这是一个政策选择,而非法律要求。
- 生物特征数据保留: OpenAI 声称生物特征数据存储“最长一年”,但源代码显示面部列表保留期上限为 3 年,政府 ID 甚至被“永久”保留。这面临着严重的《伊利诺伊州生物特征信息隐私法》(BIPA)违规风险。
- 毫无透明度: 用户通过验证后被锁定,得不到任何理由,没有人工支持,无法申诉。他们拿走了你的护照、面部数据和地址,拒绝了你,却不告诉你原因,并且保留了你的数据。
代码没有显示的内容
为了保持客观,我们必须澄清源代码中没有包含的内容:
- 没有直接提及 ICE、移民执法或边境巡逻。
- 没有直接证明与 Fivecast ONYX 产品的连接(尽管子域名匹配令人怀疑)。
- 没有直接的监控供应商(如 Palantir、Clearview 等),生态系统主要集中在 KYC/AML。
- 没有双向的 OpenAI 数据管道(仅作为操作员的 AI 助手)。
- 没有执法功能(如搜查令管理、传票处理)。
但这已经足够令人担忧。一个被政府机构使用的金融合规系统,运行着与 ChatGPT 注册相同的代码库、相同的面部识别算法和相同的数据模型。
亟待回答的问题
- 在公开披露身份验证要求的 18 个月前(2023 年 11 月),OpenAI 到底在筛查什么?
SelfieSuspiciousEntityDetection中“可疑实体”的定义是什么?什么面部特征会触发此标记?- 实际的生物特征保留期到底是一年还是三年?
- 为什么一个政府合规平台需要一个与 OpenAI 对话的 AI 助手?它能访问哪些上下文?
- 用户是否被告知他们的自拍正在接受公众人物面部匹配?
- 53 MB 毫无保护的源码映射文件是如何出现在 FedRAMP 授权的政府终端上的?安全评估中是否审查了这一点?
- 用户是否被告知系统对他们执行了 269 项不同的验证检查?
尾声与背叛
最令人悲哀的是,参与构建这个监控系统的人,很可能就是你的大学同学。他们来自滑铁卢大学、布朗大学、马里兰大学、宾夕法尼亚大学、伯克利分校、卡内基梅隆大学、斯坦福大学、麻省理工学院等顶尖学府。这些曾经在走廊或实习活动中与你擦肩而过的人,现在正在为监控机器效力。
(注:出于防止网络暴力的考虑,我们已移除了参与此项目的具体人员名单。)
信息渴望自由。我们没有破坏任何东西,没有绕过任何防线。我们只是查询了 URL,按下了按钮,然后阅读了返回的内容。如果这足以暴露一个全球监控平台的架构……也许问题并不出在我们身上。
保持好奇,保持警惕。轮换你的密钥,检查你的源码映射。如果有人要求你拍张自拍来证明你是人类,问问自己,镜头那边到底是谁,而你又刚刚被加入了哪个名单。
知识是唯一真正的货币。其他的一切,都只是访问控制。
hack the planet~