OpenAI, Pemerintah AS, dan sistem pengawasan identitas yang dibangun Persona

 (vmfunc.re)
2 poin oleh GN⁺ 2026-02-25 | 1 komentar | Bagikan ke WhatsApp
  • Menurut investigasi yang dipublikasikan, sistem watchlistdb yang memantau dan melaporkan data identitas pengguna beroperasi pada infrastruktur yang terhubung dengan OpenAI, pemerintah AS, dan Persona
  • Dari kode terkonfirmasi bahwa sistem tersebut menjalankan 269 prosedur verifikasi seperti pengenalan wajah, pelaporan kejahatan finansial (SAR/STR), analisis kemiripan dengan politisi, dan pelacakan alamat kripto
  • Platform Persona untuk pemerintah (withpersona-gov.com) mencakup kemampuan untuk langsung mengirim laporan ke FinCEN (jaringan penegakan kejahatan finansial Departemen Keuangan AS) dan FINTRAC (pusat analisis transaksi dan laporan keuangan Kanada)
  • Proses verifikasi pengguna OpenAI dijalankan melalui infrastruktur Persona, dan dalam proses ini wajah, gambar identitas, data biometrik, dan informasi lokasi dikumpulkan serta disimpan
  • Karena codebase yang sama digunakan baik untuk layanan sipil maupun sistem pengawasan pemerintah, batas antara penggunaan layanan AI dan sistem pengawasan negara menjadi kabur

Ringkasan investigasi

  • Tim peneliti melakukan analisis hanya dengan menggunakan data publik seperti Shodan, CT log, DNS, header HTTP, dan source map yang dipublikasikan
  • Ditegaskan bahwa tidak ada akses ilegal atau tindakan peretasan, dan semua data dikumpulkan dari server yang terbuka
  • Hasil investigasi menemukan subdomain terkait OpenAI bernama openai-watchlistdb.withpersona.com dan openai-watchlistdb-testing.withpersona.com
    • Server tersebut berada di Google Cloud (Kansas City) dan beroperasi secara mandiri tanpa perlindungan Cloudflare
    • Menurut log certificate transparency, sistem ini telah aktif lebih dari 2 tahun sejak November 2023

Infrastruktur Persona dan kaitannya dengan pemerintah

  • Persona adalah perusahaan verifikasi identitas berbasis di San Francisco, dan layanan umumnya beroperasi di balik Cloudflare
  • Namun instance watchlistdb untuk OpenAI dijalankan secara terpisah pada server GCP tersendiri, sehingga diduga sebagai infrastruktur khusus untuk pemisahan data berisiko tinggi
  • Domain withpersona-gov.com adalah distribusi untuk pemerintah yang memperoleh sertifikasi FedRAMP (Oktober 2025), dan
    • mencakup fitur pelaporan FinCEN, pengenalan wajah, widget data finansial, dan pemantauan pengguna secara real-time
    • memiliki sistem login berbasis Okta dan area yang dilindungi Cloudflare Access

Deployment ONYX dan paparan source code

  • Pada Februari 2026, muncul subdomain baru bernama onyx.withpersona-gov.com
    • menggunakan nama yang sama dengan alat pengawasan Fivecast ONYX yang dipakai ICE (US Immigration and Customs Enforcement)
    • meski keterkaitan langsung dalam kode tidak terkonfirmasi, kemiripan nama dan infrastruktur telah teridentifikasi
  • Server tersebut secara terbuka menyediakan source map TypeScript berukuran 53MB tanpa autentikasi
    • Kode internal mencakup fitur pelaporan SAR/STR, database wajah, perbandingan wajah PEP (tokoh yang terekspos secara politik), dan pengawasan alamat kripto
    • Terdapat definisi 269 item verifikasi dan 13 jenis daftar pelacakan

Fitur utama dan alur data

  • SAR (Suspicious Activity Report): dapat dikirim langsung ke FinCEN, dengan pengelolaan status seperti diterima, peringatan, ditolak, dan lain-lain
  • STR (Suspicious Transaction Report): dikirim ke FINTRAC, dengan kemungkinan penandaan nama kode intelijen seperti Project SHADOW dan LEGION
  • Database wajah: disimpan hingga 3 tahun, selfie dapat ditambahkan ke daftar untuk verifikasi ulang
  • Perbandingan wajah PEP: selfie pengguna dianalisis kemiripannya dengan foto politisi dan pejabat publik
  • Integrasi Chainalysis: penilaian risiko alamat kripto dan pemantauan berkelanjutan
  • Integrasi OpenAI: fitur AI Copilot (AskAI) di dalam platform pemerintah, berupa asisten chat untuk membantu pekerjaan operator

Isu hukum dan etika

  • Terungkap bahwa infrastruktur watchlist sudah aktif sebelum kebijakan verifikasi identitas OpenAI (diperkenalkan pada 2025)
  • Masa penyimpanan data biometrik di dalam kode tertulis 3 tahun, berbeda dari 1 tahun yang dinyatakan OpenAI
  • Muncul kemungkinan pelanggaran terhadap BIPA Illinois (Biometric Information Privacy Act)
  • Kebijakan pemblokiran Ukraina juga dimasukkan meski bukan subjek sanksi hukum
  • Pengguna dapat diblokir aksesnya tanpa alasan penolakan atau prosedur banding

Kesimpulan

  • Telah dikonfirmasi bahwa codebase Persona yang sama digunakan baik untuk layanan AI sipil (OpenAI) maupun sistem pengawasan pemerintah dan pelaporan finansial
  • Kode tersebut mencakup fungsi setingkat pengawasan seperti pelaporan ke FinCEN dan FINTRAC, pengenalan wajah, analisis kemiripan politisi, dan pelacakan kripto
  • Meski jalur transfer data langsung belum terkonfirmasi, terdapat struktur teknis yang dapat menghubungkan penggunaan layanan AI dengan sistem pengawasan negara
  • Tim peneliti meminta Persona dan OpenAI untuk memverifikasi kepatuhan FedRAMP dan memberikan jawaban resmi atas 18 butir pertanyaan, serta mengisyaratkan publikasi lanjutan

Bacaan terkait

1 komentar

 
GN⁺ 2026-02-25
Komentar Hacker News
  • Menyalin komentarku persis seperti yang kutulis di thread lain hari ini. Tanggapan resmi tim keamanan Persona ada di sini, dan Rick sedang aktif bertukar pendapat di Twitter. Thread terkait lainnya bisa dilihat di sini
    • Sepertinya mereka menangani respons krisis dengan cukup baik lewat postingan itu
    • Tapi tautan withpersona.com itu sekarang mengembalikan 404
  • Fivecast ONYX adalah platform pengawasan berbasis AI yang dibeli ICE dan CBP seharga jutaan dolar. Katanya sistem ini mengumpulkan data dari media sosial dan dark web untuk melacak perubahan emosi, skor risiko, kecenderungan kekerasan, dan sebagainya. Aku sudah menduga teknologi seperti ini akhirnya akan muncul, dan mungkin akan datang hari ketika tidak punya akun media sosial dianggap seperti tindakan kriminal
    • Menurut klarifikasi resmi dari Persona, "onyx" hanyalah nama kode proyek internal yang diambil dari Pokémon Onyx dan tidak ada kaitannya dengan Fivecast ONYX
    • Mungkin bukan sampai kriminal, tapi bisa jadi faktor pengurang besar dalam skor kredit sosial
    • Praktiknya pada dasarnya sudah begitu. Saat mengajukan visa AS, kalau tidak menyerahkan profil media sosial publik, permohonan bisa ditolak. Kalau ada yang percaya pemerintah menghabiskan miliaran dolar untuk teknologi seperti ini cuma demi proses peninjauan biasa, itu naif
    • Saat melintasi perbatasan, kalau tidak punya akun media sosial, suasananya memang sudah seperti dianggap mencurigakan
    • Aku penasaran dengan daftar 300+ platform itu
  • Kurasa ini cuma prosedur KYC yang biasa dilakukan saat membuka rekening, bukan? Mungkin ada yang kulewatkan
    Contoh pelanggan terkait bisa dilihat di sini
  • Membagikan jawaban Persona atas permintaan data. Ringkasnya, dalam kebanyakan kasus Persona bertindak sebagai "penyedia layanan" (processor) yang memproses data atas nama pelanggan mereka, dan hanya untuk beberapa layanan seperti LinkedIn, FoxCorp, dan Reusable Persona mereka berperan sebagai "controller". Untuk menggunakan hak terkait data pribadi, kita harus menghubungi perusahaan pelanggan tersebut secara langsung. Detailnya bisa dilihat di pemberitahuan privasi dan halaman DSAR.
    TL;DR — intinya, “kami tidak bertanggung jawab, silakan hubungi LinkedIn”
    • Tapi sebagai warga California, saat aku mengajukan permintaan data terkait LinkedIn berdasarkan Right to Know law, aku mendapat jawaban yang sama sekali berbeda
    • Respons seperti ini adalah bentuk pengelakan tak bertanggung jawab yang sama seperti saat mencoba berhenti berlangganan email donasi politik. Pada akhirnya organisasi yang sama hanya akan mengirim email lagi dengan nama berbeda. Kita butuh hukum yang kuat untuk mencegah masalah seperti ini, tapi secara realistis sulit berharap banyak
  • Situs pribadi ini benar-benar cerdas dan menyenangkan. Isinya juga padat, jadi makin bagus
    • Aku juga sempat menekan tombol volume fisik lagi setelah sekian lama supaya bisa fokus membaca, dan entah kenapa terasa menyegarkan
  • Posisi Persona bisa dilihat di sini
  • Setiap kali teknologi berkembang, kita selalu dijanjikan "kebebasan dan kenyamanan", tapi pada akhirnya hasilnya justru kebalikannya. Aku penasaran berapa lama lagi masyarakat bisa bertahan menghadapi kontrak sosial yang rusak seperti ini
    • Struktur yang mensosialisasikan kerugian dan memprivatisasi keuntungan kini tak lagi cuma masuk ke ranah keuangan, tetapi juga merambah kebebasan manusia
    • Dalam situasi seperti ini, titik awalnya adalah individu punya hak pilih yang benar-benar otonom. Kalau perusahaan besar berkata, “nanti kami update sendiri,” maka suka atau tidak suka kita akhirnya akan memakai teknologi itu juga
    • Pernah baca 1984? Coba ingat siapa yang menang di bagian akhirnya
    • Inti kejadian ini adalah kegagalan keamanan yang sangat spesifik: source map Vite untuk pengembangan berukuran 53MB terekspos dalam sistem bersertifikasi FedRAMP. Bukan teknologi yang mengkhianati kita, pertanyaan sebenarnya adalah kenapa infrastruktur pengawasan seperti ini diwajibkan secara hukum, dan kenapa audit keamanan bisa melewatkan hal seperti ini
    • Masyarakat sebenarnya sudah menunjukkan tanda-tanda keruntuhan. Karena itulah otoritarianisme berbasis AI muncul. Semakin tidak stabil suatu masyarakat, semakin mudah orang keliru berpikir, “mungkin otoritarianisme lebih baik,” padahal itu sama sekali tidak layak dibayar dengan harga apa pun
  • Aku penasaran kenapa begitu banyak engineer membuat hal-hal yang merugikan masyarakat
    • Alasannya sederhana. Karena uangnya besar
    • Kebanyakan karena hukum Sinclair dan pola pikir mati rasa seperti “kalau tidak ada yang disembunyikan, tidak masalah”
    • Karena mereka tidak menganggap yang mereka buat itu buruk, atau percaya toh pasti ada orang lain yang akan membuatnya, atau sekadar karena ketidaktahuan
    • Sebagian eksekutif melihat Tiongkok atau partai politik tertentu sebagai ancaman eksistensial, lalu percaya bahwa pengawasan dan militerisasi perlu diperkuat. Pegawai sering begitu saja menerima narasi ini. Tentu alasan dasarnya tetap uang
    • Pada akhirnya, kejahatan memberi imbalan lebih tinggi
  • Aku penasaran masuk ke berapa banyak daftar pengawasan hanya karena pernah bilang “pemimpin besar Amerika itu bodoh”
    • Mungkin aku juga bisa masuk daftar karena bilang “Israel sedang melakukan genosida”
  • Aku penasaran apa yang bisa dilakukan orang yang tinggal di negara lain dan melakukan verifikasi identitas lewat LinkedIn menggunakan Persona
    • Mereka harus mengorganisir gerakan penghapusan data di negaranya masing-masing, mengenakan pajak pada layanan digital AS, atau mengembangkan alternatif teknologi lokal. Kalau tidak bertindak, tidak ada yang akan berubah. Jangan lupa bahwa kekuatan rakyat lebih kuat daripada uang
    • Aku membagikan tip yang kulihat di posting blog ini
      1. Permintaan data: kirim email ke idv-privacy@withpersona.com atau privacy@withpersona.com (menurut GDPR harus ada respons dalam 30 hari)
      2. Permintaan penghapusan: kalau verifikasi sudah selesai, Persona tidak punya alasan untuk menyimpan scan paspor atau data wajah
      3. Hubungi DPO (dpo@withpersona.com) untuk mengajukan keberatan atas penggunaan data untuk pelatihan AI
      4. Perlu dipikirkan lagi apakah lencana biru benar-benar sepadan dengan nilai informasi biometrik permanen