OpenAI, अमेरिकी सरकार, और Persona द्वारा बनाया गया पहचान निगरानी सिस्टम

 (vmfunc.re)
2 पॉइंट द्वारा GN⁺ 2026-02-25 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • सार्वजनिक जांच के अनुसार OpenAI, अमेरिकी सरकार, और Persona से जुड़े इंफ्रास्ट्रक्चर में उपयोगकर्ताओं के पहचान डेटा की निगरानी और रिपोर्टिंग करने वाला ‘watchlistdb’ सिस्टम संचालित हो रहा है
  • कोड से पुष्टि होती है कि यह सिस्टम face recognition, financial crime reporting (SAR/STR), politician similarity analysis, crypto address tracking सहित 269 verification procedures चलाता है
  • Persona का सरकारी प्लेटफ़ॉर्म (withpersona-gov.com) में FinCEN (अमेरिकी वित्त विभाग का Financial Crimes Enforcement Network) और FINTRAC (कनाडा का Financial Transactions and Reports Analysis Centre) को सीधे रिपोर्ट जमा करने की सुविधा शामिल है
  • OpenAI की user verification process Persona के इंफ्रास्ट्रक्चर के ज़रिये की जाती है, और इस दौरान चेहरे और पहचान पत्र की images, biometric data, location data आदि एकत्र और संग्रहीत किए जाते हैं
  • एक ही codebase का उपयोग private services और government surveillance systems दोनों में हो रहा है, जिससे AI services के उपयोग और राज्य निगरानी तंत्र के बीच की सीमा धुंधली हो गई है

जांच का अवलोकन

  • शोधकर्ताओं ने विश्लेषण के लिए केवल Shodan, CT logs, DNS, HTTP headers, public source maps जैसी सार्वजनिक सामग्रियों का उपयोग किया
  • स्पष्ट रूप से कहा गया है कि कोई illegal access या hacking नहीं हुई, और सारा डेटा सार्वजनिक सर्वरों से एकत्र किया गया
  • जांच में openai-watchlistdb.withpersona.com और openai-watchlistdb-testing.withpersona.com जैसे OpenAI-संबंधित subdomains मिले
    • ये सर्वर Google Cloud (Kansas City) में स्थित हैं और Cloudflare protection के बिना स्वतंत्र रूप से संचालित हो रहे हैं
    • certificate transparency logs के अनुसार ये नवंबर 2023 से 2 साल से अधिक समय से सक्रिय हैं

Persona इंफ्रास्ट्रक्चर और सरकारी कनेक्शन

  • Persona एक San Francisco-आधारित identity verification company है, और उसकी सामान्य services Cloudflare के पीछे संचालित होती हैं
  • लेकिन OpenAI के लिए watchlistdb instance अलग GCP सर्वर पर स्वतंत्र रूप से चलाया जा रहा है, इसलिए इसे high-risk data isolation के लिए dedicated infrastructure माना जा रहा है
  • withpersona-gov.com डोमेन एक FedRAMP-certified (अक्टूबर 2025) सरकारी deployment है, जिसमें
    • FinCEN reporting, face recognition, financial data widgets, real-time user monitoring जैसी सुविधाएं शामिल हैं
    • Okta-based login system और Cloudflare Access-protected area मौजूद हैं

ONYX deployment और source code exposure

  • फरवरी 2026 में onyx.withpersona-gov.com नाम का नया subdomain सामने आया
    • यह ICE (अमेरिकी Immigration and Customs Enforcement) द्वारा इस्तेमाल किए जाने वाले Fivecast ONYX surveillance tool के समान नाम का उपयोग करता है
    • कोड में सीधा संबंध नहीं मिला, लेकिन naming और infrastructure similarity की पुष्टि हुई
  • इस सर्वर ने बिना authentication के 53MB का TypeScript source map सार्वजनिक रूप से उपलब्ध कराया
    • internal code में SAR/STR reporting, face database, PEP (Politically Exposed Person) face comparison, crypto address monitoring जैसी सुविधाएं शामिल थीं
    • 269 verification items और 13 प्रकार की tracking lists परिभाषित थीं

मुख्य सुविधाएं और data flow

  • SAR (Suspicious Activity Report): FinCEN को सीधे भेजा जा सकता है, और status values (received, warning, rejected आदि) मैनेज की जा सकती हैं
  • STR (Suspicious Transaction Report): FINTRAC को जमा किया जाता है, और Project SHADOW, LEGION जैसे intelligence codename tags जोड़े जा सकते हैं
  • face database: डेटा अधिकतम 3 साल तक रखा जा सकता है, और selfie को list में जोड़कर दोबारा verification किया जा सकता है
  • PEP face comparison: उपयोगकर्ता की selfie की राजनेताओं और सार्वजनिक अधिकारियों की तस्वीरों से similarity analysis की जाती है
  • Chainalysis integration: crypto addresses के risk level का आकलन और लगातार monitoring
  • OpenAI integration: सरकारी प्लेटफ़ॉर्म के भीतर AI Copilot (AskAI) फीचर, जो operators के काम में मदद करने वाला chat assistant है

कानूनी और नैतिक मुद्दे

  • यह पुष्टि हुई कि OpenAI की identity verification policy (2025 में लागू) से पहले ही watchlist infrastructure चल रहा था
  • biometric data retention period कोड में 3 साल बताई गई है, जबकि OpenAI ने 1 साल बताई थी
  • Illinois BIPA (Biometric Information Privacy Act) के संभावित उल्लंघन की आशंका जताई गई
  • Ukraine block policy इसमें शामिल है, जबकि वह कानूनी प्रतिबंध के दायरे में नहीं आती
  • उपयोगकर्ताओं की पहुंच अस्वीकृति के कारण या appeal process बताए बिना रोकी जा सकती है

निष्कर्ष

  • यह पुष्टि हुई कि Persona का एक ही codebase private AI service (OpenAI) और government surveillance तथा financial reporting systems दोनों में उपयोग हो रहा है
  • कोड में FinCEN/FINTRAC reporting, face recognition, politician similarity analysis, crypto tracking जैसी surveillance-grade capabilities शामिल हैं
  • सीधे data transfer path की पुष्टि नहीं हुई, लेकिन AI service के उपयोग की प्रक्रिया तकनीकी रूप से राज्य निगरानी ढांचे से जुड़ सकने वाली संरचना रखती है
  • शोधकर्ताओं ने Persona और OpenAI से FedRAMP compliance verification और 18 बिंदुओं पर औपचारिक जवाब मांगा है, तथा आगे और खुलासे का संकेत दिया है

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2026-02-25
Hacker News की राय
  • आज दूसरे थ्रेड में लिखा हुआ मेरा कमेंट ज्यों का त्यों यहाँ ला रहा हूँ। Persona security team का आधिकारिक response यहाँ है, और Rick Twitter पर सक्रिय रूप से चर्चा कर रहा है। इससे जुड़ा दूसरा थ्रेड यहाँ देखा जा सकता है
    • उस पोस्ट के साथ उन्होंने crisis response काफ़ी अच्छी तरह किया लगता है
    • लेकिन वह withpersona.com लिंक अभी 404 return कर रहा है
  • Fivecast ONYX एक AI-आधारित surveillance platform है, जिसे ICE और CBP ने लाखों डॉलर देकर खरीदा है। कहा जाता है कि यह social media और dark web से data इकट्ठा करके भावनात्मक बदलाव, risk score, हिंसक प्रवृत्ति आदि को track करता है। मुझे अंदाज़ा था कि ऐसी तकनीक कभी न कभी आएगी, लेकिन अब शायद वह दिन भी आ सकता है जब SNS account न होना अपराध जैसा माना जाए
    • Persona के आधिकारिक स्पष्टीकरण के अनुसार, ‘onyx’ सिर्फ़ एक internal project codename है, और इसका नाम Pokémon Onyx से लिया गया है, Fivecast ONYX से इसका कोई संबंध नहीं है
    • अपराध तो नहीं, लेकिन social credit score में बड़ा minus factor बन सकता है
    • व्यवहार में तो यह पहले से ही कुछ हद तक ऐसा है। US visa application में public SNS profile जमा न करने पर rejection हो सकता है। अगर आपको लगता है कि सरकार इस तकनीक पर अरबों डॉलर सिर्फ़ साधारण screening के लिए खर्च कर रही है, तो यह काफ़ी भोली सोच है
    • सीमा पार करते समय SNS account न हो तो पहले से ही शक की नज़र से देखा जाता है
    • उन 300+ platforms की list जानने की उत्सुकता है
  • क्या यह बस account खोलते समय होने वाली KYC process ही नहीं है? शायद मैं कुछ miss कर रहा हूँ
    संबंधित customer case यहाँ देखा जा सकता है
  • data request पर Persona का जवाब साझा कर रहा हूँ। सार यह है कि ज़्यादातर मामलों में Persona ‘service provider’ (processor) के रूप में customer companies की ओर से data process करता है, और सिर्फ़ LinkedIn, FoxCorp, Reusable Persona जैसी कुछ services में ‘controller’ की भूमिका निभाता है। personal data से जुड़े अधिकारों का उपयोग करना हो तो संबंधित customer company से सीधे संपर्क करना होगा। ज़्यादा जानकारी privacy notice और DSAR page में देखी जा सकती है।
    TL;DR — मतलब roughly यही है: “हम ज़िम्मेदार नहीं हैं, LinkedIn से पूछिए”
    • लेकिन California resident होने के नाते Right to Know law के तहत जब मैंने LinkedIn-संबंधित data request की, तो मुझे बिल्कुल अलग जवाब मिला
    • इस तरह की प्रतिक्रिया वैसी ही ग़ैर-ज़िम्मेदार बचने की कोशिश है जैसी political fundraising emails से unsubscribe करने पर होती है। आख़िर में वही संगठन बस नया नाम लगाकर फिर email भेज देता है। इसे रोकने के लिए मज़बूत क़ानून चाहिए, लेकिन व्यवहार में इसकी उम्मीद करना मुश्किल है
  • यह personal site सच में बहुत चतुर और मज़ेदार है। ऊपर से सामग्री भी बढ़िया है, इसलिए और अच्छा लगता है
    • मैं भी लेख पर ध्यान लगाने के लिए काफ़ी समय बाद physical volume button दबाकर देखा, और अजीब तरह से थोड़ा तरोताज़ा महसूस हुआ
  • Persona का पक्ष यहाँ देखा जा सकता है
  • हर बार जब तकनीक आगे बढ़ती है, हमें ‘आज़ादी और सुविधा’ के वादे सुनने को मिलते हैं, लेकिन अंत में नतीजा अक्सर उल्टा निकलता है। समाज इस टूटे हुए social contract को और कितने समय तक झेल पाएगा, यह सवाल है
    • नुकसान का सामाजीकरण और मुनाफ़े का निजीकरण अब सिर्फ़ financial sector तक सीमित नहीं रहा, यह इंसानी आज़ादी तक दखल दे रहा है
    • ऐसी स्थिति में व्यक्ति के पास स्वायत्त चयन का अधिकार होना ही शुरुआत है। जब बड़ी कंपनियाँ कहती हैं, “हम आपके लिए update कर देंगे,” तो चाहें आप चाहें या नहीं, अंत में वही तकनीक आपके ऊपर लागू हो जाती है
    • क्या आपने 1984 पढ़ी है? ज़रा याद कीजिए, अंत में कौन जीतता है
    • इस घटना का असली मुद्दा FedRAMP-certified system में 53MB का Vite development source map exposed हो जाना, यानी एक ठोस security failure है। तकनीक ने हमें धोखा दिया, मुद्दा सिर्फ़ यह नहीं है; असली सवाल यह है कि ऐसी surveillance infrastructure कानूनी रूप से क्यों अनिवार्य है, और security review ने इसे क्यों miss कर दिया
    • समाज पहले से ही पतन के संकेत दिखा रहा है। इसलिए AI-आधारित authoritarianism उभरता है। समाज जितना अस्थिर होता है, लोग उतना ही यह सोचने लगते हैं कि “शायद authoritarianism बेहतर होगा,” लेकिन उसके लिए जो क़ीमत चुकानी पड़ती है, वह कभी भी वाजिब नहीं होती
  • सोचता हूँ इतने सारे engineers ऐसी चीज़ें क्यों बनाते हैं जो समाज के लिए हानिकारक हैं
    • वजह सीधी है। इसमें अच्छा पैसा मिलता है
    • ज़्यादातर मामलों में Sinclair का नियम और “छिपाने को कुछ नहीं है तो कोई दिक्कत नहीं” वाली सुन्न सोच काम करती है
    • या तो उन्हें नहीं लगता कि वे कुछ बुरा बना रहे हैं, या वे मानते हैं कि कोई न कोई तो इसे वैसे भी बनाएगा, या फिर वे अनजान हैं
    • कुछ executives चीन या किसी ख़ास political party को existential threat मानते हैं और सोचते हैं कि surveillance और militarization बढ़ाना ज़रूरी है। कर्मचारी अक्सर इस narrative को जैसे का तैसा स्वीकार कर लेते हैं। बेशक, मूल कारण पैसा ही है
    • अंततः ढाँचा ऐसा है कि बुराई को ज़्यादा इनाम मिलता है
  • मुझे जिज्ञासा है कि “America का महान नेता बेवकूफ़ है” कहने भर से मैं कितनी watchlists में आ चुका होऊँगा
    • “Israel genocide कर रहा है” कहने पर भी शायद list में चढ़ जाऊँगा
  • अगर कोई दूसरे देश में रहते हुए LinkedIn के ज़रिए Persona से identity verification कर चुका हो, तो वह क्या कर सकता है?
    • अपने-अपने देशों में data deletion campaigns संगठित करें, American digital services पर tax लगाएँ, या घरेलू तकनीकी alternatives को बढ़ावा दें। अगर कार्रवाई नहीं होगी, तो कुछ नहीं बदलेगा। यह नहीं भूलना चाहिए कि लोगों की ताकत पैसे से बड़ी होती है
    • इस ब्लॉग पोस्ट में देखी हुई tips साझा कर रहा हूँ
      1. data request: idv-privacy@withpersona.com या privacy@withpersona.com पर email भेजें (GDPR के तहत 30 दिनों के भीतर जवाब)
      2. deletion request: verification पूरा हो चुका हो, तो Persona के पास passport scan या face data रखने की कोई वजह नहीं होनी चाहिए
      3. DPO(dpo@withpersona.com) से संपर्क करके AI training data usage पर आपत्ति दर्ज की जा सकती है
      4. यह फिर से सोचने लायक है कि blue badge की क़ीमत क्या वास्तव में स्थायी biometric data जितनी है