Una investigación de seguridad ha acusado a Persona, la empresa que gestiona las verificaciones de conocimiento del cliente para OpenAI, de enviar datos de usuarios, incluidas direcciones cripto, a agencias federales como FinCEN. Los investigadores encontraron código que permite el monitoreo y el reporte de actividades sospechosas. Persona niega tener lazos actuales con agencias federales.
El 18 de febrero, los investigadores de seguridad vmfunc, MDL y Dziurwa publicaron una investigación que revela código accesible públicamente en el sistema de Persona que parece transmitir datos recopilados durante el proceso de KYC de OpenAI a la Red para la Ejecución de Delitos Financieros (FinCEN), una oficina del Departamento del Tesoro de EE. UU. Estos datos incluyen fotos de pasaporte, selfies y videos enviados por usuarios para verificar su identidad y acceder a funciones avanzadas de ChatGPT. El código, vigente desde noviembre de 2023, también se integra con Chainalysis para examinar direcciones cripto asociadas en busca de riesgos, analizar interacciones y permitir un monitoreo persistente mediante un sistema de lista de vigilancia. Los investigadores destacaron las capacidades de la plataforma, afirmando: «La misma empresa que toma tu foto de pasaporte al registrarte en ChatGPT también opera una plataforma gubernamental que presenta informes de actividad sospechosa a FinCEN y los etiqueta con nombres en código de programas de inteligencia». Añadieron: «¿Subiste una selfie para usar un chatbot? ¡Felicidades! Ahora se está comparando con una base de datos de todos los políticos, jefes de Estado y su extenso árbol genealógico en la Tierra». Múltiples expertos en seguridad, incluido Tanuki42 de grupos de respuesta a incidentes en blockchain, confirmaron la credibilidad de los hallazgos, señalando que los dominios gubernamentales citados existen y probablemente son alojados por Persona. Sin embargo, quedan preguntas sobre los motivos, el uso y los criterios exactos para activar cribados o informes. El CEO de Persona, Rick Song, respondió en X expresando decepción y afirmando que los investigadores no lo contactaron antes. En correos electrónicos compartidos por Song, declaró que su empresa no trabaja con ninguna agencia federal en la actualidad, aunque no abordó directamente las implicaciones del código. Una publicación de Song decía: «Estoy realmente decepcionado de cómo se ha manejado todo esto» y elogió el talento de vmfunc. OpenAI y Persona no respondieron a las solicitudes de comentarios de DL News. Estas revelaciones generan preocupación en medio de la creciente inquietud por los requisitos de KYC, que sirven para cribar sanciones, vínculos con el terrorismo y delitos financieros, pero también exponen a los usuarios a posibles usos indebidos de datos o brechas. Los plazos de retención no están claros, con discrepancias entre el límite de un año declarado por OpenAI y el código que indica hasta tres años o almacenamiento permanente para documentos de identidad gubernamentales.
