incrypted.com
- Скандал с KYC OpenAI поставил под сомнение безопасность персональных данных.
- Данные пользователей ChatGPT могли попадать в государственный орган США.
- Обвинения обострили дискуссию о приватности в ИИ и криптоиндустрии.
Поставщик KYC-проверок для OpenAI — компания Persona — оказался в центре скандала после обвинений в возможной передаче данных пользователей, включая криптоадреса, федеральным органам США. Речь идет о проверках, необходимых для доступа к расширенным возможностям чат-ботов.
Согласно расследованию, опубликованному исследователями безопасности vmfunc, MDL и Dziurwa, в открытом коде обнаружили механизмы, которые, вероятно, передают данные в FinCEN — подразделение Минфина США, отвечающее за борьбу с финансовыми преступлениями.
Авторы исследования заявили:
«Та же компания, которая делает фото вашего паспорта, когда вы регистрируетесь в ChatGPT, также управляет государственной платформой, которая подает отчеты о подозрительной активности в FinCEN и маркирует их кодовыми названиями разведывательных программ».
И добавили:
«Итак, вы загрузили селфи, чтобы воспользоваться чат-ботом? Поздравляем! Теперь его сравнивают с базой данных каждого политика, главы государства и их семей по всему миру».
«Много вопросов без ответов»
Несколько ИТ-специалистов подтвердили, что выводы выглядят правдоподобными. В частности, исследователь Tanuki42 отметил:
«Похоже, что исследование является достоверным, и можно проверить, что упомянутые государственные домены существуют и, вероятно, размещены на отдельной инфраструктуре Persona».
Впрочем, он добавил:
«В то же время остается много открытых вопросов относительно мотивов, назначения этой платформы и того, кто именно ее использует».
Генеральный директор Persona Рик Сонг отреагировал на обвинения в соцсети X, заявив, что его компания в настоящее время не сотрудничает ни с одним федеральным агентством. Он также раскритиковал авторов расследования за отсутствие предварительного контакта.
В то же время OpenAI и Persona не предоставили официальных комментариев.
Опасения массовой слежки и риски для криптоиндустрии
Ситуация обостряет дискуссию о приватности в криптосфере и искусственном интеллекте (ИИ). Пользователи все больше обеспокоены возможностью создания масштабной системы наблюдения на основе данных KYC.
В частности, исследование утверждает, что система может:
- передавать данные пользователей государственным органам;
- формировать отчеты о подозрительной активности без ведома пользователей;
- проверять криптоадреса через Chainalysis;
- осуществлять более 250 дополнительных проверок;
- маркировать информацию кодами разведывательных программ.
Процесс верификации включает стандартные для KYC действия: загрузку фото паспорта, селфи и видео, после чего данные проверяются по санкционным спискам, базам киберпреступников и террористов.
Однако, по словам исследователей, параллельно эти же данные могут передаваться государственным структурам.
Это вызывает обеспокоенность среди сторонников криптовалют, ведь еще со времен раннего биткоина сообщество было тесно связано с движением за приватность и противодействие массовому надзору.
Критики также подчеркнули:
- крупные KYC-провайдеры уже неоднократно теряли или неправильно обрабатывали данные;
- централизованные базы персональной информации становятся мишенью для хакеров;
- утечки данных могут затрагивать миллионы пользователей.
Напомним, что утечка данных в Coinbase в январе 2025 года произошла из-за сотрудников подрядчика TaskUs.