2026/02/25 3:23
OpenAI、米国政府、およびPersonaは「アイデンティティ監視機構」を構築しました。
RSS: https://news.ycombinator.com/rss
要約▶
Japanese Translation:
Summary
この記事は、政府レベルのPersonaプラットフォームを暴露しています。このプラットフォームは、OFAC、PEP、不利益メディア、暗号ウォレット、およびカスタムFinCENリストチェックなどを含む広範な身元審査を実行しながら、重要なセキュリティとプライバシー上の欠陥を明らかにしています。
- Watchlistサービス:専用GCPエンドポイント(
、IP 34.49.93.177)がEnvoyプロキシされたAPIを実行し、24時間体制で身元をスクリーニングします。証明書は毎日ローテーションされます。openai‑watchlistdb.withpersona.com - Govデプロイメント:
(IP 34.27.15.233)は別のFedRAMP認可済み(低インパクト)デプロイメントで、2025‑10‑07に証明済みです。FinCENへのSTRとFINTRACへのSTRを提出し、レポートにはインテリジェンスプログラムのコードネームがタグ付けされます。また、生体認証フェイスデータベース(3年間保持)を維持し、269件の検証チェックを実行します。これらはセルフィー分析、ID検証、データベース照会(SSA死亡マスターファイル、Aadhaar、TIN)、文書整合性、ビジネス/暗号コンプライアンス、およびライブ/スポーフ検出を含みます。withpersona-gov.com - ソースマップ漏洩:
は約53 MBのTypeScriptソースマップ(2,456ファイル)を提供し、生体保持ロジック、PEPフェイス比較、および暗号アドレススクリーニングの論理が露呈します。app.onyx.withpersona-gov.com/vite-dev/ - PEPフェイス認識:プラットフォームはユーザーセルフィーと政治人物データベースを比較し、低/中/高類似度スコアを提供します。V1/V2という二つのバージョンを並行で実行しており、既知の互換性問題があります。
- AIコパイロット:
にある「AskAI」チャットアシスタントはOpenAIに接続しますが、そのデータコンテキストとアクセスレベルは不明です。dashboard/hooks/useAgentConversationStream.ts - ONYXデプロイメント:新しいサブドメイン(
、IP 34.10.180.174)が記事公開の12日前に出現し、同じコードベース、Gitハッシュ、およびonyx.withpersona-gov.com
用のCSPエントリを共有します。目的は未記載ですが、政府プラットフォームと機能が類似しています。api.openai.com - 法的およびプライバシーギャップ:コードは最大3年間生体フェイスリストを保持し(OpenAIの「1年まで」主張に矛盾)、政府IDを永続的に保持します。拒否されたユーザー向けのアピールメカニズムが開示されておらず、イリノイ州居住者に対するBIPA露出の可能性があります。ICE、Fivecast、その他法執行統合への言及は見当たりません。
- ポリシー不整合:プラットフォームはOFAC制裁がない国であるウクライナを禁止しており、そのコンプライアンスロジックに疑問が生じます。
- ベンダーエコシステム:Chainalysis、Equifax、SentiLink、MXなどの統合があります。PalantirやClearviewといった監視ベンダーは存在しません。
- メソドロジー:すべての発見はパッシブリコンナイサンス(Shodan、CTログ、DNS、HTTPヘッダー、ソースマップ解析)により得られました。認証情報は使用せず、システムへの侵入もありません。
潜在的影響
規制監査が生体保持、BIPA違反、およびポリシー不整合を対象とする可能性があります。ユーザーは未開示のデータ保持とアピールオプション欠如により信頼を失う恐れがあります。PersonaのKYC/AMLサービスに依存する企業は、コンプライアンス違反が判明した場合、罰金・評判損傷・運用障害のリスクがあります。結果として、アイデンティティ検証業界全体でより厳格なセキュリティ監視とプライバシー開示が求められる可能性があります。
本文
ADDENDUM – 2026 年2月18日
私たちは Persona の CEO、リック・ソング氏と直接書面でやり取りを行っています。彼は応答性が高く、誠意を持って対応しています。
リック氏は 0x14 にある 18 個の質問に対し、書面で回答することを約束しました。本シリーズ第 2部として、すべてのやり取りを全文公開します。主要な調査結果――openai-watchlistdb.withpersona.com とその 27 か月分の証明書透明性履歴――はまだ未解決です。
法的通知
法律違反はありません。
すべての所見は、Shodan、CT ログ、DNS、HTTP ヘッダー、および対象サーバ自身が提供する認証不要ファイルを利用した受動的リコンから得られました。システムにアクセスしたことも、資格情報を使用したこともなく、データを変更したこともありません。公開されたファイルの取得は無許可アクセスではありません―Van Buren v. United States(593 U.S. 374, 2021)、hiQ Labs v. LinkedIn(9th Cir. 2022)をご参照ください。
これは第一修正条項、ECHR 第10条、CFAA 安全港(DOJ Policy 2022)、カリフォルニア州シールド法、GDPR 第85条、およびイスラエルの基本法「人間尊厳と自由」に基づく保護ジャーナリズムおよびセキュリティ研究です。
著者は、政府機関・情報機関・競合他社との関連性を持たず、金銭的利益や報酬もありません。本調査は公共の利益に資し、公開前に複数の法域、デッドドロップ、および第三者アーカイブへ配布されました。
本出版物を抑制または報復(法的脅迫、DMCA の濫用、雇用妨害、身体的恐喝、あるいは司法外行為)しようとする試みは、その調査結果の確認として扱われ、追加配布がトリガーされます。メッセンジャーを殺してもメッセージは消えません。
記録として:本書のすべての著者は健康で健全な精神状態にあり、自らを傷つけたり、行方不明になったり、予期せず死亡したりする計画はありません。もし突然変わる場合―それは自発的ではありません。本書、その証拠、および氏名リストは複数の信頼できる第三者が保管し、何か起きた際にすべてを公開する指示があります。
Persona と OpenAI の法務チームへ
「FedRAMP」準拠状況を監査し、0x14 の質問に回答してください。それが適切な対応です。その他は誤りです。
送信元: 世界
宛先: OpenAI, Persona, 米国政府, ICE, オープンインターネット
日付: 2026‑02‑16
件名: 見張り人たち
vmfunc、MDL、Dziurwa より挨拶
未来は便利だと教えてくれました。サインアップし、本人確認を行い、マシンと対話するだけ。簡単でスムーズ。「信頼と安全」と書かれていました。ソースコードには SelfieSuspiciousEntityDetection が記されていました。
面白いのは、その仕組みです。パスポートを渡してチャットボットを使うと、アイオワ州のデータセンターで顔認識アルゴリズムが「政治的に重要人物」かどうかをチェックし、類似度スコアを算出します。名前が監視リストに載っていれば、自動で再審査されます。数週間ごとにクローニングジョブが走り、テロリストになったか確認しています。
そこで私たちは調査しました。政府エンドポイントのソースコードを公開し、顔認識・監視リスト・SAR 申告・インテリジェンスコーデネームなどを発見。さらに関与者全員の名前も明らかにしました。
0x00 – プロローグ
Eva や他者が ID‑検証バイパスで行った作業を踏襲し、Persona の調査を開始しました。元々は Eva の k‑id プラットフォームへの年齢確認バイパス追加でした。
いくつかのエクスプロイトを書いた後、vmfunc は Shodan でインフラを閲覧することにしました。最初は「34.49.93.177」という IP が Google Cloud の Kansas City にあることが判明し、443/tcp が開いているだけでした。SSL 証明書と二つのホスト名が目立ちました:
openai-watchlistdb.withpersona.com openai-watchlistdb-testing.withpersona.com
「openai‑verify」や「openai‑kyc」ではなく「watchlistdb」。これはデータベースです。
最初は受動的リコン調査でしたが、商用 AI と連邦政府の運営がどのようにプライバシーを侵害しているか深掘りするハニーポットへと発展しました。エクスプロイトを書いたり実行したりする必要はなく、全構成が公開されていました! 53 MB の未保護ソースマップが FedRAMP 政府エンドポイントにあり、FinCEN に SAR を提出し、顔認識で監視リスト写真と比較し、テロ・スパイからの 14 カテゴリーの悪意メディアを照合するコードベース全体を公開していました。
2 456 ファイル が TypeScript コードベースを構成。すべて認証不要で公衆網に置かれ、政府プラットフォーム上です。
システムは侵害されず、資格情報も使用せず、データは変更されませんでした。このドキュメントの所見はすべて Shodan、証明書透明性ログ、DNS 解決、HTTP ヘッダー、公開 API ドキュメント、ウェブページ、およびターゲットサーバ自身が提供する認証不要 JavaScript ソースマップから取得しました。
0x01 – ターゲット: 34.49.93.177
| 項目 | 値 |
|---|---|
| IP | 34.49.93.177 |
| ASN | AS396982 (Google LLC) |
| プロバイダー | Google Cloud |
| リージョン | global |
| 都市 | カンザスシティ、米国 |
| オープンポート | 443/tcp |
| 最終確認日 | 2026‑02‑05 |
ホスト名
177.93.49.34.bc.googleusercontent.com openai-watchlistdb.withpersona.com openai-watchlistdb-testing.withpersona.com
SSL 証明書
- 主題:CN=openai‑watchlistdb.withpersona.com
- 発行者:C=US, O=Google Trust Services, CN=WR3
- 有効期限:2026年1月24日 01:24:11 – 2026年4月24日 02:20:06
- SANs:openai‑watchlistdb.withpersona.com, openai‑watchlistdb‑testing.withpersona.com
- シリアル番号:FDFFBF37ED89BBD710D9967B7CD92B52
HTTP 応答(すべてのパス・メソッド)
Status: 404 Body: "fault filter abort" Headers: via: 1.1 google content‑type: text/plain Alt‑Svc: h3=":443"
「fault filter abort」は Envoy プロキシの障害注入フィルタ―で、標準的な GCP/Istio サービスメッシュ展開です。サービスは内部基準(mTLS クライアント証明書、特定 IP か API キーヘッダー)に合致するリクエストのみをルーティングします。それ以外はエッジで終了します。
0x02 – 専用インフラ
Persona(withpersona.com)はサンフランシスコ拠点の ID 検証企業です。通常、Cloudflare の裏側にあります:
withpersona.com -> 162.159.141.40, 172.66.1.36 (CF) inquiry.withpersona.com -> 162.159.141.40, 172.66.1.36 (CF) app.withpersona.com -> 162.159.141.40, 172.66.1.36 (CF) api.withpersona.com -> 162.159.141.40, 172.66.1.36 (CF)
さらに .withpersona.com のワイルドカード DNS が Cloudflare を指し示します。偽サブドメインを解決して確認しました。
興味深い点:OpenAI の監視サービスはこのワイルドカードから逸脱しています。
| ホスト | IP |
|---|---|
| openai‑watchlistdb.withpersona.com | 34.49.93.177 (GCP) |
| openai‑watchlistdb‑testing.withpersona.com | 34.49.93.177 (GCP) |
専用 Google Cloud インスタンスで、Cloudflare の裏側にない、独立した構成です。単純な「名前をリストと照合」API 呼び出しにはこのような設計は不要です。データがコンプライアンス要件上隔離を必要とする場合にのみ採用します。
0x03 – 証明書透明性タイムライン
CT ログからサービスの稼働開始時期と進化を追跡できます。すべての証明書発行は公開記録です。
日付 発行者 備考 2023‑11‑16 GTS 1D4 サービス稼働開始 2024‑01‑13 GTS 1D4 定期ローテーション ...
(詳細表は省略)
0x04 – API が示すこと
Persona の公開 API は完全な ID ドーサを返します:名前、DOB、住所、ID 写真、セルフィー、ビデオ、PII、スコア。隠された秘密はありません。