Fornecedor de KYC da OpenAI acusado de partilhar dados de utilizadores com agências dos EUA

Uma investigação de segurança acusou a Persona, a empresa responsável pelas verificações de 'conheça o seu cliente' da OpenAI, de enviar dados de utilizadores, incluindo endereços crypto, para agências federais como a FinCEN. Investigadores encontraram código que permite monitorizar e reportar atividades suspeitas. A Persona nega ligações atuais a agências federais.

A 18 de fevereiro, os investigadores de segurança vmfunc, MDL e Dziurwa publicaram uma investigação que revela código acessível publicamente no sistema da Persona que parece transmitir dados recolhidos durante o processo KYC da OpenAI à Rede de Cumprimento de Crimes Financeiros (FinCEN), um gabinete do Tesouro dos EUA. Estes dados incluem fotos de passaporte, selfies e vídeos submetidos por utilizadores para verificar a identidade e aceder a funcionalidades avançadas do ChatGPT. O código, em vigor desde novembro de 2023, integra-se também com a Chainalysis para triar endereços crypto associados quanto a riscos, analisar interações e permitir monitorização persistente através de um sistema de lista de vigilância. Os investigadores destacaram as capacidades da plataforma, afirmando: «A mesma empresa que tira a sua foto do passaporte ao inscrever-se no ChatGPT também opera uma plataforma governamental que apresenta Relatórios de Atividade Suspeita à FinCEN e os etiqueta com nomes de código de programas de inteligência». Adicionaram: «Então, carregou uma selfie para usar um chatbot? Parabéns! Agora está a ser comparada com uma base de dados de todos os políticos, chefes de Estado e as suas árvores genealógicas alargadas na Terra». Vários especialistas em segurança, incluindo Tanuki42 de grupos de resposta a incidentes blockchain, confirmaram a credibilidade das descobertas, notando que os domínios governamentais citados existem e provavelmente são alojados pela Persona. No entanto, persistem questões sobre motivos, utilização e critérios exatos para ativar triagens ou relatórios. O CEO da Persona, Rick Song, respondeu no X, expressando deceção e afirmando que os investigadores não o contactaram previamente. Em e-mails partilhados por Song, afirmou que a sua empresa não trabalha com nenhuma agência federal atualmente, embora não tenha abordado diretamente as implicações do código. Um post de Song dizia: «Estou genuinamente dececionado com a forma como tudo isto foi tratado» e elogiou o talento de vmfunc. A OpenAI e a Persona não responderam aos pedidos de comentário da DL News. As revelações levantam preocupações em meio ao crescente descontentamento com os requisitos KYC, que triam sanções, ligações ao terrorismo e crimes financeiros, mas também expõem os utilizadores a potenciais abusos de dados ou violações. Os períodos de retenção são incertos, com discrepâncias entre o limite de um ano declarado pela OpenAI e o código que indica até três anos ou armazenamento permanente para IDs governamentais.

Artigos relacionados

Illustration of Meta's data leak involving employee tracking program, showing a computer with data spilling out.
Imagem gerada por IA

Meta pauses employee tracking program after data leak

Reportado por IA Imagem gerada por IA

Meta has paused its Model Capability Initiative after sensitive employee data was exposed internally. The program tracks workers' keystrokes and mouse movements to train AI models. Company officials said they are investigating the incident.

OpenAI is facing an investigation by a coalition of state attorneys general after receiving a subpoena on June 12 seeking documents on its operations and user impact.

Reportado por IA

OpenAI plans to release its upcoming ChatGPT 5.6 model first only to customers approved by the US federal government. The staggered rollout follows a recent executive order on voluntary AI model reviews.

In the wake of Anthropic's unveiling of its powerful Claude Mythos AI—capable of detecting and exploiting software vulnerabilities—the US Treasury Secretary has convened top bank executives to highlight escalating AI-driven cyber threats. The move underscores growing concerns as the AI is restricted to a tech coalition via Project Glasswing.

Reportado por IA

Germany's financial regulator BaFin has warned banks about risks from Anthropic's Claude Mythos AI model, following US Treasury alerts. The model autonomously detects IT vulnerabilities at scale, potentially accelerating cyberattacks. US banks are testing it amid restrictions.

quarta-feira, 24 de junho de 2026, 09:46h

Madison Square Garden compiled dossier on facial recognition critics

quinta-feira, 14 de maio de 2026, 09:49h

Tests show ai chatbots can reveal personal details

quarta-feira, 13 de maio de 2026, 20:57h

UK confirms AI content subject to freedom of information rules

sexta-feira, 08 de maio de 2026, 19:06h

OpenAI introduces trusted contact feature for ChatGPT users

sexta-feira, 08 de maio de 2026, 18:37h

Claude Mythos leak heightens cyber threats for banks

quinta-feira, 30 de abril de 2026, 20:36h

OpenAI launches advanced security mode for at-risk accounts

terça-feira, 21 de abril de 2026, 13:32h

Florida launches probe into OpenAI over ChatGPT's advice to gunman

sexta-feira, 17 de abril de 2026, 03:18h

Japanese government to study legality of AI voice cloning

Este site usa cookies

Usamos cookies para análise para melhorar nosso site. Leia nossa política de privacidade para mais informações.
Recusar