Mối lo ngại chính mà Dự án TBOTE nêu ra về các luật xác minh tuổi là gì?

Dự án TBOTE lập luận rằng cơ sở hạ tầng được xây dựng để tuân thủ các luật xác minh tuổi hoạt động như một hệ thống giám sát sinh trắc học xuyên biên giới, chứ không chỉ đơn thuần là công cụ bảo vệ trẻ vị thành niên. Cuộc điều tra ghi lại các bên xử lý dữ liệu không được tiết lộ, xác thực điện thoại thầm lặng và các mô-đun báo cáo chính phủ được nhúng trong mã nguồn.

Mối liên hệ giữa Peter Thiel và việc thu thập dữ liệu được mô tả trong cuộc điều tra là gì?

Peter Thiel đồng sáng lập Palantir, công ty bán phân tích giám sát cho các chính phủ, trong khi công ty đầu tư mạo hiểm Founders Fund của ông là nhà đầu tư chính vào Persona, một công ty xác minh danh tính thu thập dữ liệu sinh trắc học. Cuộc điều tra mô tả đây là một mối liên hệ "thu thập và phân tích", trong đó cùng một bên liên quan tài chính hưởng lợi từ cả hai phía của đường ống dữ liệu.

Những lỗ hổng bảo mật nào được tìm thấy trong SDK của Persona?

Các điều tra viên đã phát hiện một khóa mã hóa AES được mã hóa cứng trong SDK của Persona, khóa này đã được xoay vòng sau khi phát hiện được tiết lộ trong phiên bản 1.15.3. SDK cũng thiếu ghim chứng chỉ, một biện pháp bảo mật tiêu chuẩn ngăn chặn việc chặn tấn công trung gian đối với dữ liệu đang truyền tải.

Người dùng có được thông báo về việc xác thực điện thoại diễn ra trong các phiên xác minh của Persona không?

Không, cuộc điều tra phát hiện rằng Telesign đã thực hiện xác thực mạng thầm lặng mà không thông báo cho người dùng, và xác minh điện thoại cấp nhà mạng chạy qua Vonage mà người dùng không hề hay biết một cách rõ ràng.

Những khả năng báo cáo chính phủ nào được tìm thấy trong mã nguồn bị rò rỉ của Persona?

Mã nguồn bị rò rỉ của Persona được cho là chứa các mô-đun báo cáo chính phủ được xây dựng đặc biệt cho FinCEN và FINTRAC, lần lượt là các đơn vị tình báo tài chính của Hoa Kỳ và Canada.

Các Luật Xác Minh Tuổi Đang Xây Dựng Một Mạng Lưới Giám Sát Toàn Cầu

Các luật xác minh tuổi đang lan rộng khắp Hoa Kỳ, Vương quốc Anh và Brazil với mục tiêu được tuyên bố là bảo vệ trẻ vị thành niên trên mạng. Nhưng một cuộc điều tra kỹ thuật chi tiết của Dự án TBOTE lập luận rằng cơ sở hạ tầng được lắp ráp để tuân thủ các luật này hoạt động như một thứ rộng lớn hơn nhiều: một hệ thống giám sát sinh trắc học xuyên biên giới với các bên xử lý dữ liệu không được tiết lộ, xác thực điện thoại thầm lặng, và các mô-đun báo cáo chính phủ được nhúng trực tiếp vào mã nguồn.

Cuộc điều tra, được cập nhật vào tháng 4 năm 2026, dựa trên phân tích DNS, dịch ngược SDK, nhật ký minh bạch chứng chỉ, hồ sơ đăng ký doanh nghiệp và hồ sơ SEC EDGAR. Tất cả các nguồn được trích dẫn đều là công khai.

Mối Liên Hệ Thiel: Một Nhà Đầu Tư, Hai Phía Của Đường Ống Dữ Liệu

Một trong những phát hiện cấu trúc trung tâm của cuộc điều tra liên quan đến Peter Thiel. Thiel đồng sáng lập Palantir Technologies, một công ty bán phân tích giám sát cho các chính phủ và tập đoàn trên toàn thế giới. Phương tiện đầu tư mạo hiểm của ông, Founders Fund, cũng là nhà đầu tư chính vào Persona, một công ty xác minh danh tính có SDK được nhúng trong các nền tảng từ Roblox đến Robinhood.

Dự án TBOTE mô tả đây là một mối liên hệ "thu thập và phân tích": cùng một bên liên quan tài chính hưởng lợi từ cả việc thu thập dữ liệu nhận dạng sinh trắc học lẫn hoạt động phân tích dữ liệu ở giai đoạn tiếp theo. Cuộc điều tra không cáo buộc sự phối hợp giữa Persona và Palantir ở cấp độ sản phẩm, nhưng ghi lại cấu trúc sở hữu chung như một sự kiện thực chất không được tiết lộ cho người dùng tương tác với quy trình xác minh của Persona.

Mã nguồn bị rò rỉ của Persona, được xem xét trong khuôn khổ cuộc điều tra, được cho là chứa 269 lần kiểm tra xác minh, 43 loại xác minh và các mô-đun báo cáo chính phủ được xây dựng cho FinCEN và FINTRAC, lần lượt là các đơn vị tình báo tài chính của Hoa Kỳ và Canada.

Những Gì Phân Tích Kỹ Thuật Tìm Thấy

Phần dịch ngược SDK của cuộc điều tra đã tạo ra một số phát hiện cụ thể vượt ra ngoài những lo ngại về quyền riêng tư thông thường.

Một khóa mã hóa AES được mã hóa cứng đã được phát hiện trong SDK của Persona. Khóa này đã được xoay vòng trong phiên bản 1.15.3 sau khi phát hiện được tiết lộ, cho thấy vấn đề đã được xác nhận và giải quyết. SDK cũng thiếu ghim chứng chỉ, một biện pháp bảo mật tiêu chuẩn ngăn chặn việc chặn tấn công trung gian đối với dữ liệu đang truyền tải.

Bảy dịch vụ phân tích đồng thời được phát hiện đang chạy trong một phiên xác minh tiêu chuẩn. Telesign, một công ty thuộc sở hữu đa số của Proximus, nhà khai thác viễn thông thuộc sở hữu nhà nước Bỉ, được xác định là thực hiện xác thực mạng thầm lặng mà không thông báo cho người dùng. Xác minh điện thoại cấp nhà mạng cũng được phát hiện chạy qua Vonage mà người dùng không hề hay biết.

Thành phần nhận dạng khuôn mặt trong hệ thống của Persona được cung cấp bởi Paravision, một công ty xếp hạng đầu tiên trong một đánh giá độ chính xác sinh trắc học của Bộ An ninh Nội địa. Paravision không xuất hiện trên trang tiết lộ các bên xử lý phụ được công bố công khai của Persona, theo cuộc điều tra. Dự án TBOTE đã xác định 12 bộ xử lý dữ liệu mà họ mô tả là chưa được tiết lộ.

Việc liệt kê tên miền phụ của withpersona.com đã tiết lộ 197 tên miền phụ, bao gồm 65 môi trường dàn dựng lộ ra các dịch vụ học máy nội bộ, một cơ sở dữ liệu đồ thị được xác định là TigerGraph và một cổng kết nối với AAMVA, Hiệp hội Quản trị Phương tiện Cơ giới Hoa Kỳ, quản lý dữ liệu bằng lái xe trên toàn bộ các tiểu bang Hoa Kỳ.

Cuộc điều tra cũng ghi lại việc LinkedIn chạy đồng thời bốn nhà cung cấp xác minh danh tính riêng biệt, cùng với những gì được mô tả là một ngăn xếp giám sát song song của Trung Quốc trong cùng một APK Android, bao gồm tích hợp chấm điểm xã hội Sesame Credit, xác thực nhà mạng ShanYan và mã nhận dạng thiết bị của chính phủ.

Roblox, một nền tảng với lượng lớn người dùng là trẻ em, được phát hiện nhúng toàn bộ SDK Persona bao gồm chức năng đọc hộ chiếu NFC, trong một quy trình xác minh mà người dùng được cho là không thể thoát ra mà không hoàn thành.

Điều Này Có Ý Nghĩa Gì Đối Với Bạn

Cuộc điều tra của Dự án TBOTE không lập luận rằng bản thân việc xác minh tuổi là bất hợp pháp. Lập luận của họ cụ thể hơn: cơ sở hạ tầng được xây dựng để thực hiện xác minh tuổi có các khả năng kỹ thuật và cấu trúc sở hữu vượt xa bất kỳ trường hợp sử dụng kiểm soát độ tuổi đơn lẻ nào.

Đối với người dùng internet thông thường, điều này có nghĩa là việc tuân thủ lời nhắc xác minh tuổi trên một nền tảng trò chơi, mạng xã hội hoặc trang web nội dung dành cho người lớn có thể liên quan đến dữ liệu sinh trắc học được xử lý bởi nhiều bên thứ ba không được tiết lộ, xác thực cấp nhà mạng diễn ra mà không có thông báo hiển thị, và dữ liệu chảy vào các hệ thống có chức năng báo cáo chính phủ.

Các yêu cầu lập pháp ở hơn 25 tiểu bang Hoa Kỳ, Brazil và Vương quốc Anh đang tạo ra cái mà cuộc điều tra gọi là "thị trường bắt buộc" cho các dịch vụ này. Báo cáo lưu ý rằng Meta đã chi 26,3 triệu đô la vận động hành lang liên quan đến luật này. Cơ sở dữ liệu Serpro của Brazil, chứa hồ sơ của khoảng 220 triệu công dân Brazil, được xác định là một phần của môi trường cơ sở hạ tầng mà các hệ thống xác minh này vận hành.

Sự hội tụ của xác minh danh tính với cơ sở hạ tầng tác nhân AI được đánh dấu là một mối lo ngại mới nổi. Cuộc điều tra gợi ý rằng xác minh danh tính đang được định vị như một điều kiện tiên quyết để tham gia vào các giao dịch internet tự động rộng rãi hơn, không chỉ đối với nội dung bị hạn chế độ tuổi.

Các Bước Thực Tế Cần Thực Hiện

Những độc giả muốn hiểu mức độ tiếp xúc của mình với cơ sở hạ tầng này có thể thực hiện một số bước thực tế.

Thứ nhất, xem xét các chính sách quyền riêng tư và thông tin tiết lộ về bên xử lý phụ của bất kỳ nền tảng nào đã yêu cầu bạn hoàn thành xác minh danh tính. Lưu ý xem các nhà cung cấp nhận dạng khuôn mặt và dịch vụ xác thực nhà mạng có được liệt kê hay không.

Thứ hai, hãy biết rằng "xác minh tuổi" trên một nền tảng không có nghĩa là dữ liệu của bạn được lưu lại với nền tảng đó. Xác minh dựa trên SDK định tuyến dữ liệu qua các hệ thống nhận dạng của bên thứ ba, mỗi hệ thống có các chính sách lưu giữ và chia sẻ dữ liệu riêng.

Thứ ba, theo dõi các diễn biến lập pháp tại khu vực pháp lý của bạn. Các luật yêu cầu xác minh tuổi tạo ra nghĩa vụ pháp lý cho các nền tảng, từ đó thúc đẩy việc áp dụng cơ sở hạ tầng được mô tả trong cuộc điều tra này. Hiểu những gì tiểu bang hoặc quốc gia của bạn đang bắt buộc là điều liên quan đến việc hiểu dữ liệu nào bạn có thể phải nộp để sử dụng một số dịch vụ trực tuyến nhất định.

Cuộc điều tra đầy đủ của Dự án TBOTE, bao gồm phương pháp luận và tài liệu nguồn, có sẵn công khai. Các phát hiện đại diện cho một trong những phân tích công khai chi tiết nhất về mặt kỹ thuật của ngành xác minh tuổi cho đến nay, và những câu hỏi mà nó đặt ra về việc tiết lộ thông tin, luồng dữ liệu và xung đột lợi ích cấu trúc là những câu hỏi mà các nhà quản lý, nhà báo và nhà nghiên cứu quyền riêng tư có khả năng sẽ tiếp tục xem xét.