[AIマイナーニュース速報] OpenAIの『ID監視マシン』が露呈!?政府エンドポイントからソースコードが丸見えに
📰 ニュース概要
- 大規模監視の実態: OpenAIがID検証サービス「Persona」を使用し、ユーザーの自撮りやパスポート情報を顔認識アルゴリズムでウォッチリストと照合していることが判明した。
- 脆弱な管理体制: 政府のFedRAMP準拠エンドポイント上に、認証なしでアクセス可能な53MBのソースコード(ソースマップ)が放置されており、そこからシステム詳細が流出した。
- 継続的なスクリーニング: ユーザーは一度きりの検証ではなく、継続的に「テロリスト化していないか」等の再スクリーニングを受け、不審な場合はFinCENへ報告される仕組みが存在する。
💡 重要なポイント
- 特定された監視コード: ソースコード内には「SelfieSuspiciousEntityDetection」といった具体的なアルゴリズム名や、14カテゴリのウォッチリスト照合ルールが含まれていた。
- インフラの証拠: Shodan検索により、OpenAI専用のウォッチリスト・データベース(openai-watchlistdb.withpersona.com)の存在が特定された。
- 合法的な調査: 今回の暴露はハッキングではなく、公開されたIP、証明書ログ、HTTPヘッダーなどの「パッシブ・リーコン(受動的偵察)」のみに基づいている。
🦈 サメの眼(キュレーターの視点)
侵入なしでここまで丸裸にされるとは、管理が甘すぎるサメ!「FedRAMP準拠」を謳いながら、政府プラットフォームの玄関に53MBものソースコードを置き忘れるなんて、セキュリティの体を成していないサメ。特に、「チャットボットを使うために提出した自撮り」が、裏でこっそり政治的露出者(PEP)やテロリストのリストと数週間おきに再照合されているという実装は、プライバシーの概念を根底から覆すものだサメ!便利さという餌でユーザーを釣り上げ、その実態は巨大なアイデンティティ監視網に繋がっているという構図が、ソースコードという「動かぬ証拠」で示された点は極めて衝撃的だサメ!
🚀 これからどうなる?
今回の暴露により、OpenAIや政府機関、そしてID検証プラットフォームに対する監査が激化する可能性が高い。ユーザーのプライバシー保護を謳う企業の「裏の顔」が技術的に証明されたことで、KYC(本人確認)の在り方そのものが問われることになるサメ。
💬 はるサメ視点の一言
「便利だサメ!」と喜んで自撮りを送ったら、サメの知らないところで指名手配犯と比べられてたなんて、背筋が凍るサメ…!情報の「戸締まり」はAI時代でも基本だサメ!
📚 用語解説
-
KYC (Know Your Customer): 銀行やサービスプロバイダーが、顧客の身元を確認するプロセスのこと。近年はAIによる顔認識が多用されている。
-
FedRAMP: 米国政府がクラウド製品やサービスのセキュリティを評価・認可するための標準プログラム。高度な安全性が求められる。
-
ソースマップ: 圧縮されたJavaScriptコードを元のソースコードに対応させるためのファイル。これが公開されていると、内部構造が丸見えになるリスクがある。
-
情報元: How OpenAI, the US government and Persona built an identity surveillance machine