في عصر يتسارع فيه التحول الرقمي، بات التحقق من الهوية خطوة أساسية في تفاعلاتنا عبر الإنترنت. لكن ماذا يحدث عندما تتحول هذه الأدوات، التي يُفترض أن توفر الأمان، إلى آلة للمراقبة الشاملة؟ يكشف تحقيق معمق أجراه صحفيون تقنيون عن شراكة مقلقة بين OpenAI، وشركة Persona المتخصصة في التحقق من الهوية، والحكومة الأمريكية، مما أدى إلى بناء بنية تحتية لمراقبة الهوية تثير تساؤلات جدية حول الخصوصية والأمان.
بداية الاكتشاف: عنوان IP يكشف الأسرار
بدأت القصة ببحث استطلاعي بسيط عبر Shodan، استهدف خدمة التحقق من الهوية التي تقدمها Persona. سرعان ما قاد البحث إلى عنوان IP واحد على Google Cloud، يكشف عن نطاقين فرعيين مثيرين للقلق: openai-watchlistdb.withpersona.com و openai-watchlistdb-testing.withpersona.com. لم يكن الأمر يتعلق بـ “openai-verify” أو “openai-kyc”، بل بـ “watchlistdb” – قاعدة بيانات لمراقبة القوائم.
لم يكن الهدف الأصلي هو الكشف عن آلية مراقبة، بل كان مجرد بحث استطلاعي سلبي. لكن ما تم اكتشافه تجاوز التوقعات بكثير. لم يتطلب الأمر أي اختراق أو استغلال للأنظمة؛ فقد كانت البنية التحتية بأكملها مكشوفة للجمهور، بما في ذلك 53 ميغابايت من خرائط المصدر غير المحمية على نقطة نهاية حكومية معتمدة من FedRAMP. كشف هذا التسرب عن قاعدة التعليمات البرمجية الكاملة للنظام، بما في ذلك خوارزميات التعرف على الوجه، والتعامل مع تقارير الأنشطة المشبوهة (SARs)، وقوائم المراقبة، وحتى الأسماء الرمزية لبرامج استخباراتية.
البنية التحتية المخصصة: قلب آلية المراقبة
تستخدم Persona عادةً Cloudflare لحماية بنيتها التحتية. لكن خدمة watchlistdb الخاصة بـ OpenAI تعمل على خادم Google Cloud مخصص ومنفصل، مما يشير إلى مستوى عالٍ من العزلة والاحتياطات الأمنية اللازمة لمعالجة البيانات الحساسة. هذا النوع من البنية التحتية المخصصة لا يُبنى إلا عندما تكون متطلبات الامتثال صارمة، ويكون الضرر المحتمل من الاختراق كبيرًا.
الجدول الزمني لشفافية الشهادة: ما وراء الإعلانات
تُظهر سجلات شفافية الشهادات أن خدمة openai-watchlistdb كانت متاحة منذ نوفمبر 2023، أي قبل 18 شهرًا من إعلان OpenAI عن متطلبات التحقق من الهوية المتقدمة للوصول إلى نماذجها. يشير هذا إلى أن البنية التحتية لفحص قوائم المراقبة كانت جاهزة للعمل قبل فترة طويلة من الكشف عنها علنًا، مما يثير تساؤلات حول الغرض الحقيقي من جمع البيانات.
ما تكشفه واجهات برمجة التطبيقات (APIs): كنز من البيانات
توفر وثائق واجهة برمجة التطبيقات (API) الخاصة بـ Persona نظرة ثاقبة على كمية ونوع البيانات التي يتم جمعها أثناء عملية التحقق من الهوية. تتضمن هذه البيانات معلومات شخصية كاملة، وصور الهوية، وصور شخصية، ومقاطع فيديو، ونتائج التحقق التفصيلية. وتشير دراسات الحالة إلى أن OpenAI تفحص ملايين المستخدمين شهريًا، مما يسلط الضوء على نطاق المراقبة الواسع.
المنصة الحكومية: FedRAMP وONYX
بالإضافة إلى ذلك، تم اكتشاف منصة حكومية متوازية withpersona-gov.com، معتمدة من FedRAMP. تخدم هذه المنصة الوكالات الفيدرالية وتتضمن ميزات مثل تقديم تقارير الأنشطة المشبوهة (SARs) مباشرة إلى FinCEN، وقواعد بيانات القياسات الحيوية للوجه، والتعرف على الوجه للشخصيات السياسية البارزة (PEP)، وتدقيق تشفير العملات المشفرة. والأكثر إثارة للقلق هو اكتشاف نشر جديد باسم “ONYX”، والذي يتطابق مع نظام مراقبة الذكاء الاصطناعي الخاص بـ ICE، مما يثير أسئلة حول إمكانية استخدام هذه البيانات لأغراض المراقبة المتقدمة.
خرائط المصدر: 53 ميغابايت من الشفافية غير المقصودة
الكشف الأكبر جاء من 53 ميغابايت من خرائط المصدر JavaScript التي تم تقديمها بدون حماية على نقطة النهاية الحكومية. كشفت هذه الملفات عن قاعدة التعليمات البرمجية الكاملة للتطبيق، مما سمح بتحليل مفصل للمنطق والخوارزميات المستخدمة. أظهر الكود أن المنصة تدعم تقديم تقارير SAR إلى FinCEN و FINTRAC، وإدارة قوائم المراقبة، وإجراء 269 عملية فحص تحقق مختلفة، بما في ذلك مقارنات الوجه مع الشخصيات السياسية.
الأسئلة القانونية والمخاوف المتعلقة بالخصوصية
يثير هذا الاكتشاف سلسلة من الأسئلة القانونية الخطيرة: ما هي معايير اختيار الأفراد لقوائم المراقبة؟ ما هي مدة الاحتفاظ بالبيانات البيومترية؟ كيف يتم ضمان الامتثال لقوانين الخصوصية مثل BIPA في إلينوي؟ ولماذا يتم حظر دول مثل أوكرانيا من الوصول إلى نماذج OpenAI دون مبرر قانوني واضح؟ تفتقر العملية إلى الشفافية وآليات الاستئناف، مما يترك المستخدمين دون تفسير أو قدرة على الاعتراض على قرارات الرفض.
ما لا يكشفه الكود: حدود التحقيق
على الرغم من التفاصيل المذهلة التي كشف عنها الكود، إلا أن هناك حدودًا لما يمكن استنتاجه. لا توجد إشارات مباشرة إلى تكامل مع وكالات الهجرة مثل ICE أو استخدام أدوات مراقبة محددة مثل Fivecast ONYX في الكود نفسه، على الرغم من وجود ارتباطات بنيوية مثيرة للقلق. كما لا يثبت الكود وجود تدفق بيانات ثنائي الاتجاه مع OpenAI يتجاوز دور مساعد الدردشة للمشغلين.
نظرة مستقبلية: الشفافية والمسؤولية
يُظهر هذا التحقيق كيف يمكن للأدوات المصممة لتسهيل التحقق من الهوية أن تتطور لتصبح آليات مراقبة واسعة النطاق. إن وجود بنية تحتية مشتركة بين OpenAI وPersona والحكومة، والتي تعالج كميات هائلة من البيانات الشخصية والبيومترية، يفرض مسؤولية أخلاقية وقانونية على جميع الأطراف المعنية. تظل الشفافية والمساءلة هما المفتاح لضمان عدم تحول التكنولوجيا إلى أداة للقمع، بل لتمكين المستخدمين وحماية حقوقهم.