セキュリティ調査で、OpenAIのKYC(本人確認)チェックを担うPersona社が、暗号通貨アドレスを含むユーザー情報をFinCENなどの連邦機関に送信したと非難された。研究者らは、疑わしい活動の監視と報告を可能にするコードを発見した。Personaは現在、連邦機関とのつながりを否定している。
2月18日、セキュリティ研究者のvmfunc、MDL、Dziurwaが調査を公開し、Personaのシステムに公開可能なコードがあり、OpenAIのKYCプロセスで収集されたデータを米財務省の金融犯罪取締ネットワーク(FinCEN)に送信しているように見えることを明らかにした。このデータには、パスポート写真、セルフィー、ChatGPTの高度な機能にアクセスするための本人確認用にユーザーが提出したビデオが含まれる。2023年11月から稼働中のこのコードは、Chainalysisとも連携し、関連する暗号通貨アドレスをリスクでスクリーニングし、やり取りを分析し、ウォッチリストシステムによる継続監視を可能にしている。 研究者らはプラットフォームの機能を強調し、「ChatGPTに登録する際にパスポート写真を撮るのと同じ企業が、政府プラットフォームを運営し、FinCENに不審活動報告を提出し、インテリジェンスプログラムのコードネームでタグ付けしている」と述べた。彼らはさらに、「チャットボットを使うためにセルフィーをアップロードしたのか?おめでとう!今や地球上のすべての政治家、国家元首、その拡張家系図のデータベースと照合されている」と付け加えた。 ブロックチェーンインシデント対応グループのTanuki42を含む複数のセキュリティ専門家が発見の信頼性を確認し、引用された政府ドメインが存在し、Personaがホスティングしている可能性が高いと指摘した。しかし、動機、使用状況、スクリーニングや報告のトリガー基準については疑問が残る。 PersonaのCEO、リック・ソング氏はXで反応し、失望を表明し、研究者らが事前に連絡しなかったと主張した。ソング氏が共有したメールでは、同社が現在どの連邦機関とも業務していないと述べたが、コードの影響については直接触れなかった。ソング氏の投稿には「これらの扱われ方に本気で失望している」とあり、vmfuncの才能を称賛した。OpenAIとPersonaはDL Newsのコメント要請に応じなかった。 これらの暴露は、制裁、テロ関連、金融犯罪をスクリーニングするKYC要件に対する懸念が高まる中で懸念を呼び起こしているが、ユーザー データの潜在的な悪用や漏洩のリスクも伴う。保存期間は不明で、OpenAIが主張する1年限度とコードが示す最大3年または政府IDの永久保存との食い違いがある。
