OpenAI, ABD hükümeti ve Persona'nın kurduğu kimlik gözetim sistemi

 (vmfunc.re)
2 puan yazan GN⁺ 2026-02-25 | 1 yorum | WhatsApp'ta paylaş
  • Açıklanan araştırmaya göre, OpenAI, ABD hükümeti ve Persona ile bağlantılı bir altyapıda kullanıcıların kimlik verilerini izleyip raporlayan watchlistdb sistemi işletiliyor
  • Kodda, bu sistemin yüz tanıma, finansal suç bildirimi (SAR/STR), siyasetçi benzerlik analizi, kripto para adres takibi gibi 269 doğrulama prosedürü yürüttüğü görülüyor
  • Persona'nın kamuya yönelik platformu (withpersona-gov.com), FinCEN (ABD Hazine Bakanlığı Mali Suçları Uygulama Ağı) ve FINTRAC (Kanada Mali İşlemler ve Raporlar Analiz Merkezi) kurumlarına doğrudan rapor gönderebilme özelliğini içeriyor
  • OpenAI'nin kullanıcı doğrulama süreci Persona'nın altyapısı üzerinden yürütülüyor ve bu süreçte yüz, kimlik belgesi görüntüleri, biyometrik veriler ve konum bilgileri toplanıp saklanıyor
  • Aynı kod tabanının hem özel sektör hizmetlerinde hem de devlet gözetim sistemlerinde kullanılması, yapay zeka hizmeti kullanımı ile devlet gözetim mekanizması arasındaki sınırın bulanıklaştığını gösteriyor

Araştırmanın özeti

  • Araştırmacılar analizi yalnızca Shodan, CT logları, DNS, HTTP başlıkları ve açık source map'ler gibi herkese açık verilerle gerçekleştirdi
  • Yasadışı erişim ya da hackleme yapılmadığı özellikle belirtiliyor; tüm veriler açık sunuculardan toplandı
  • İnceleme sonucunda openai-watchlistdb.withpersona.com ve openai-watchlistdb-testing.withpersona.com adlı OpenAI bağlantılı alt alan adları bulundu
    • Bu sunucular Google Cloud (Kansas City) üzerinde yer alıyor ve Cloudflare koruması olmadan bağımsız şekilde çalışıyor
    • Sertifika şeffaflığı kayıtlarına göre Kasım 2023'ten beri 2 yılı aşkın süredir aktifler

Persona altyapısı ve devlet bağlantısı

  • Persona, San Francisco merkezli bir kimlik doğrulama şirketi ve genel hizmetleri Cloudflare arkasında çalışıyor
  • Ancak OpenAI için kullanılan watchlistdb örneği, ayrı bir GCP sunucusunda bağımsız biçimde işletiliyor; bunun yüksek riskli verileri ayırmaya yönelik özel bir altyapı olduğu düşünülüyor
  • withpersona-gov.com alan adı, FedRAMP sertifikalı (Ekim 2025) kamuya özel dağıtım sürümü olarak görünüyor ve
    • FinCEN raporlaması, yüz tanıma, finansal veri bileşenleri ve gerçek zamanlı kullanıcı izleme özelliklerini içeriyor
    • Ayrıca Okta tabanlı bir giriş sistemi ve Cloudflare Access ile korunan alanlar barındırıyor

ONYX dağıtımı ve kaynak kodunun açığa çıkması

  • Şubat 2026'da onyx.withpersona-gov.com adlı yeni bir alt alan adı ortaya çıktı
    • Bu ad, ICE'nin (ABD Göçmenlik ve Gümrük Muhafaza) kullandığı Fivecast ONYX gözetim aracıyla aynı ismi taşıyor
    • Kodda doğrudan bir bağlantı görülmese de isim ve altyapı benzerliği tespit edildi
  • İlgili sunucu, kimlik doğrulaması olmadan 53 MB boyutunda bir TypeScript source map yayımladı
    • İç kodda SAR/STR raporlama, yüz veritabanı, PEP (siyasi olarak nüfuz sahibi kişiler) yüz karşılaştırması ve kripto para adres gözetimi işlevleri bulunuyor
    • 269 doğrulama maddesi ve 13 tür izleme listesi tanımlanmış durumda

Başlıca işlevler ve veri akışı

  • SAR (şüpheli faaliyet raporu): FinCEN'e doğrudan gönderilebiliyor; durum değerleri (alındı, uyarı, reddedildi vb.) yönetiliyor
  • STR (şüpheli işlem raporu): FINTRAC'a gönderiliyor; Project SHADOW, LEGION gibi istihbarat kod adlarıyla etiketlenebiliyor
  • Yüz veritabanı: Veriler en fazla 3 yıl saklanıyor; selfie'ler listeye eklenip yeniden doğrulama için kullanılabiliyor
  • PEP yüz karşılaştırması: Kullanıcının selfiesi, siyasetçi ve kamu görevlilerinin fotoğraflarıyla benzerlik analizi için karşılaştırılıyor
  • Chainalysis entegrasyonu: Kripto para adreslerinin risk seviyesi değerlendiriliyor ve sürekli izleniyor
  • OpenAI entegrasyonu: Kamu platformu içinde AI Copilot (AskAI) işlevi yer alıyor; bu, operatörlerin işini destekleyen bir sohbet yardımcısı olarak kullanılıyor

Hukuki ve etik tartışmalar

  • OpenAI'nin kimlik doğrulama politikası (2025'te yürürlüğe girdi) öncesinden beri watchlist altyapısının çalıştığı doğrulandı
  • Biyometrik verilerin saklama süresi, OpenAI'nin açıkladığı 1 yıldan farklı olarak kodda 3 yıl olarak belirtiliyor
  • Illinois BIPA (Biyometrik Bilgi Gizliliği Yasası) ihlali ihtimali gündeme geliyor
  • Ukrayna engelleme politikası, yasal yaptırım kapsamında olmamasına rağmen sisteme dahil edilmiş
  • Kullanıcıların reddedilme gerekçesi veya itiraz süreci olmadan erişimi kesilebiliyor

Sonuç

  • Aynı Persona kod tabanının hem özel sektör yapay zeka hizmetlerinde (OpenAI) hem de devlet gözetimi ve finansal raporlama sistemlerinde kullanıldığı doğrulandı
  • Kod, FinCEN/FINTRAC raporlaması, yüz tanıma, siyasetçi benzerlik analizi ve kripto para takibi gibi gözetim düzeyinde işlevler içeriyor
  • Doğrudan veri aktarım yolu doğrulanmamış olsa da, yapay zeka hizmeti kullanım sürecinin teknik olarak devlet gözetim yapılarıyla bağlanabileceği bir mimari söz konusu
  • Araştırmacılar, Persona ve OpenAI'den FedRAMP uyumluluğunun doğrulanmasını ve 18 maddelik resmi yanıt talep ediyor; devamında yeni açıklamalar yapılacağı belirtiliyor

İlgili okumalar

1 yorum

 
GN⁺ 2026-02-25
Hacker News yorumları
  • Bugün başka bir başlıkta yazdığım yorumu aynen buraya taşıyorum. Persona güvenlik ekibinin resmi yanıtı burada ve Rick Twitter'da aktif biçimde görüş alışverişinde bulunuyor. Konuyla ilgili diğer başlık ise burada
    • O gönderiyle kriz iletişimini epey iyi yönetmiş gibi görünüyorlar
    • Ama söz konusu withpersona.com bağlantısı şu anda 404 döndürüyor
  • Fivecast ONYX, ICE ve CBP'nin milyonlarca dolar ödeyerek satın aldığı yapay zeka tabanlı gözetim platformu. Sosyal medya ve dark web'den veri toplayıp duygu değişimlerini, risk puanlarını ve şiddet eğilimlerini izlediği söyleniyor. Günün birinde böyle bir teknolojinin çıkacağını tahmin ediyordum ama artık sosyal medya hesabının olmaması suçmuş gibi görülecek günler de gelebilir
    • Persona'nın resmi açıklamasına göre, onyx yalnızca dahili bir proje kod adı ve adını Pokémon Onyx'ten alıyor; Fivecast ONYX ile ilgisi yokmuş
    • Suç sayılmasa bile, sosyal kredi puanında büyük bir eksi nedenine dönüşebilir
    • Aslında fiilen zaten öyle. ABD vizesine başvururken herkese açık sosyal medya profillerini sunmazsan reddedilebilirsin. Hükümetin bu tür teknolojilere milyarlarca dolar harcamasının yalnızca sıradan inceleme için olduğuna inanıyorsan safsın
    • Sınırı geçerken sosyal medya hesabının olmaması zaten şüphe uyandıran bir durum
    • Şu 300'den fazla platformun listesi ilgimi çekiyor
  • Bu, hesap açarken yapılan sıradan KYC süreci değil mi diye düşünüyorum. Neyi kaçırdığımı bilmiyorum
    İlgili müşteri örneğine buradan bakılabilir
  • Veri taleplerine Persona'nın verdiği yanıtı paylaşıyorum. Özetle Persona, çoğu durumda müşteri şirketler adına veri işleyen bir 'hizmet sağlayıcı' (processor) olarak hareket ediyor; yalnızca LinkedIn, FoxCorp ve Reusable Persona gibi bazı hizmetlerde controller rolünü üstleniyor. Kişisel verilerle ilgili haklarını kullanmak istiyorsan ilgili müşteri şirkete doğrudan başvurman gerekiyor. Ayrıntılar gizlilik bildiriminde ve DSAR sayfasında yer alıyor.
    TL;DR — “Biz sorumlu değiliz, LinkedIn'e sorun” demek istiyorlar
    • Ama ben Kaliforniya sakini olarak Right to Know yasası kapsamında LinkedIn verileriyle ilgili talepte bulunduğumda bambaşka bir yanıt aldım
    • Bu tür yaklaşım, siyasi bağış e-postalarından çıkmaya çalıştığında gördüğün sorumsuz bir baştan savma tavrın aynısı. Sonuçta aynı yapı yalnızca ad değiştirip yeniden e-posta gönderiyor. Bunu engelleyecek güçlü yasalara ihtiyaç var ama bunun gerçekten olacağına inanmak zor
  • Bu kişisel site gerçekten zekice ve keyifli. Üstelik içeriği de dolu dolu olduğu için daha da iyi
    • Ben de yazıya odaklanmak için uzun zaman sonra ilk kez fiziksel ses düğmesine bastım ve tuhaf biçimde canlandığımı hissettim
  • Persona'nın pozisyonu burada görülebilir
  • Teknoloji her ilerlediğinde bize 'özgürlük ve kolaylık' vaadi sunuluyor ama sonunda hep bunun tersiyle karşılaşıyoruz. Toplumun bu bozulmuş toplumsal sözleşmeye daha ne kadar dayanabileceğini merak ediyorum
    • Zararın toplumsallaştırılıp kârın özelleştirildiği bu düzen artık yalnızca finans alanını değil, insan özgürlüğünü de işgal ediyor
    • Böyle bir ortamda bireyin özne olarak seçim hakkına sahip olması başlangıç noktası. Büyük şirketler "biz sizin yerinize güncelleriz" dediğinde, istesen de istemesen de sonunda o teknolojiyi kullanmak zorunda kalıyorsun
    • Hiç 1984 okudun mu? Sonunda kimin kazandığını hatırla
    • Bu olayın özü, FedRAMP sertifikasyon sisteminde 53 MB'lık bir Vite geliştirme source map'inin açığa çıkması gibi somut bir güvenlik hatası. Mesele teknolojinin bize ihanet etmesi değil; asıl soru neden böyle bir gözetim altyapısının yasal olarak zorunlu tutulduğu ve güvenlik incelemelerinin bunu neden kaçırdığı
    • Toplum zaten çözülme belirtileri gösteriyor. Yapay zeka tabanlı otoriterliğin ortaya çıkmasının nedeni de bu. Toplum ne kadar istikrarsız olursa insanlar “belki otoriterlik daha iyidir” diye o kadar yanılır ama bu asla ödemeye değecek bir bedel değil
  • Bu kadar çok mühendisin neden topluma zararlı şeyler yaptığını merak ediyorum
    • Sebep basit. Çok para kazandırıyor
    • Çoğu, Sinclair yasası ve “saklayacak bir şeyim yok, o yüzden sorun değil” şeklindeki duyarsız düşünce biçimi yüzünden böyle
    • Ya yaptıkları şeyin kötü olduğunu düşünmüyorlar, ya nasıl olsa birileri yapacak diye inanıyorlar ya da bilgisizler
    • Bazı yöneticiler Çin'i ya da belli bir siyasi partiyi varoluşsal tehdit olarak görüyor ve daha fazla gözetim ile militarizasyon gerektiğine inanıyor. Çalışanlar da bu anlatıyı olduğu gibi benimseyebiliyor. Elbette temel neden yine para
    • Sonuçta kötülük daha yüksek ödül veriyor
  • “Amerika'nın büyük lideri aptal” dediğim için kaç tane izleme listesine girmiş olabileceğimi merak ediyorum
    • “İsrail soykırım yapıyor” dediğim için de listeye girebilirim herhalde
  • Başka bir ülkede yaşayıp LinkedIn üzerinden Persona ile kimlik doğrulaması yapan biri ne yapabilir diye merak ediyorum
    • Herkes kendi ülkesinde veri silme kampanyaları örgütlemeli, ABD dijital hizmetlerine vergi koymalı ya da yerli teknolojik alternatifleri büyütmeli. Hareket etmeden hiçbir şey değişmez. İnsan gücünün paradan daha güçlü olduğunu unutmamak gerek
    • Bu blog yazısında gördüğüm ipuçlarını paylaşıyorum
      1. Veri talebi: idv-privacy@withpersona.com veya privacy@withpersona.com adresine e-posta gönderin (GDPR kapsamında 30 gün içinde yanıt vermeleri gerekir)
      2. Silme talebi: Doğrulama bittiyse Persona'nın pasaport taramanızı ya da yüz verinizi saklaması için bir neden yok
      3. DPO'ya (dpo@withpersona.com) ulaşıp verilerinizin yapay zeka eğitimi için kullanılmasına itiraz edebilirsiniz
      4. Mavi rozetin, kalıcı biyometrik bilgi kadar değerli olup olmadığını yeniden düşünmek gerekir