اتهمت تحقيق أمني شركة Persona، التي تتولى فحوصات «اعرف عميلك» لشركة OpenAI، بإرسال بيانات المستخدمين بما في ذلك عناوين العملات المشفرة إلى وكالات فيدرالية مثل FinCEN. وجد الباحثون كودًا يمكّن من مراقبة الأنشطة المشبوهة والإبلاغ عنها. تنفي Persona أي صلات حالية مع الوكالات الفيدرالية.
في 18 فبراير، نشر باحثو الأمن vmfunc وMDL وDziurwa تحقيقًا كشف عن كود متاح علنًا في نظام Persona يبدو أنه ينقل البيانات المجمعة أثناء عملية KYC الخاصة بـOpenAI إلى شبكة مكافحة الجرائم المالية (FinCEN)، وهي مكتب تابع لوزارة الخزانة الأمريكية. تشمل هذه البيانات صور جوازات السفر والصور السيلفي والفيديوهات التي قدمها المستخدمون للتحقق من هويتهم للوصول إلى ميزات ChatGPT المتقدمة. الكود، الذي يعمل منذ نوفمبر 2023، يتكامل أيضًا مع Chainalysis لفحص عناوين العملات المشفرة المرتبطة بحثًا عن مخاطر، وتحليل التفاعلات، وتمكين المراقبة المستمرة عبر نظام قائمة مراقبة. أبرز الباحثون قدرات المنصة، قائلين: «نفس الشركة التي تأخذ صورة جواز سفرك عند التسجيل في ChatGPT تدير أيضًا منصة حكومية تقدم تقارير نشاط مشبوه إلى FinCEN وتصنفها بأسماء برامج استخباراتية مشفرة». وأضافوا: «هل قمت برفع صورة سيلفي لاستخدام روبوت الدردشة؟ تهانينا! الآن يتم مقارنتها بقاعدة بيانات تحتوي على كل سياسي ورئيس دولة وعائلاتهم الممتدة على الأرض». أكد خبراء أمن متعددون، بما في ذلك Tanuki42 من مجموعات الاستجابة لحوادث البلوكشين، مصداقية النتائج، مشيرين إلى أن النطاقات الحكومية المذكورة موجودة ومن المحتمل أن تستضيفها Persona. ومع ذلك، لا تزال هناك أسئلة حول الدوافع والاستخدام والمعايير الدقيقة لتشغيل الفحوصات أو التقارير. رد الرئيس التنفيذي لشركة Persona، ريك سونغ، على X معبرًا عن خيبة أمله ومطالبًا بأن الباحثين لم يتواصلوا معه مسبقًا. في رسائل بريد إلكتروني شاركها سونغ، قال إن شركته لا تعمل مع أي وكالة فيدرالية اليوم، لكنه لم يتناول آثار الكود مباشرة. كتب سونغ في منشور: «أنا مخيب للآمال حقًا من كيفية التعامل مع كل هذا»، ومدح موهبة vmfunc. لم يرد OpenAI وPersona على طلبات التعليق من DL News. تثير هذه الكشوفات مخاوف وسط القلق المتزايد بشأن متطلبات KYC، التي تفحص العقوبات والروابط الإرهابية والجرائم المالية لكنها تعرض المستخدمين أيضًا لإساءة استخدام البيانات المحتملة أو الاختراقات. فترات الاحتفاظ غير واضحة، مع تناقضات بين حد OpenAI المعلن لمدة عام واحد والكود الذي يشير إلى ثلاث سنوات أو تخزين دائم لهويات حكومية.
