Uma investigação de segurança acusou a Persona, a empresa responsável pelas verificações de 'conheça o seu cliente' da OpenAI, de enviar dados de utilizadores, incluindo endereços crypto, para agências federais como a FinCEN. Investigadores encontraram código que permite monitorizar e reportar atividades suspeitas. A Persona nega ligações atuais a agências federais.
A 18 de fevereiro, os investigadores de segurança vmfunc, MDL e Dziurwa publicaram uma investigação que revela código acessível publicamente no sistema da Persona que parece transmitir dados recolhidos durante o processo KYC da OpenAI à Rede de Cumprimento de Crimes Financeiros (FinCEN), um gabinete do Tesouro dos EUA. Estes dados incluem fotos de passaporte, selfies e vídeos submetidos por utilizadores para verificar a identidade e aceder a funcionalidades avançadas do ChatGPT. O código, em vigor desde novembro de 2023, integra-se também com a Chainalysis para triar endereços crypto associados quanto a riscos, analisar interações e permitir monitorização persistente através de um sistema de lista de vigilância. Os investigadores destacaram as capacidades da plataforma, afirmando: «A mesma empresa que tira a sua foto do passaporte ao inscrever-se no ChatGPT também opera uma plataforma governamental que apresenta Relatórios de Atividade Suspeita à FinCEN e os etiqueta com nomes de código de programas de inteligência». Adicionaram: «Então, carregou uma selfie para usar um chatbot? Parabéns! Agora está a ser comparada com uma base de dados de todos os políticos, chefes de Estado e as suas árvores genealógicas alargadas na Terra». Vários especialistas em segurança, incluindo Tanuki42 de grupos de resposta a incidentes blockchain, confirmaram a credibilidade das descobertas, notando que os domínios governamentais citados existem e provavelmente são alojados pela Persona. No entanto, persistem questões sobre motivos, utilização e critérios exatos para ativar triagens ou relatórios. O CEO da Persona, Rick Song, respondeu no X, expressando deceção e afirmando que os investigadores não o contactaram previamente. Em e-mails partilhados por Song, afirmou que a sua empresa não trabalha com nenhuma agência federal atualmente, embora não tenha abordado diretamente as implicações do código. Um post de Song dizia: «Estou genuinamente dececionado com a forma como tudo isto foi tratado» e elogiou o talento de vmfunc. A OpenAI e a Persona não responderam aos pedidos de comentário da DL News. As revelações levantam preocupações em meio ao crescente descontentamento com os requisitos KYC, que triam sanções, ligações ao terrorismo e crimes financeiros, mas também expõem os utilizadores a potenciais abusos de dados ou violações. Os períodos de retenção são incertos, com discrepâncias entre o limite de um ano declarado pela OpenAI e o código que indica até três anos ou armazenamento permanente para IDs governamentais.
