年龄验证法正在构建一个全球监控网络

年龄验证法正在构建一个全球监控网络

年龄验证法正在美国、英国和巴西广泛传播，其明确目标是保护未成年人的网络安全。然而，TBOTE项目的一项详细技术调查认为，为遵守这些法律而建立的基础设施实际上发挥着更广泛的作用：一个跨境生物特征监控系统，其中包含未披露的数据处理商、静默电话身份验证，以及直接嵌入代码中的政府报告模块。

该调查于2026年4月更新，综合运用了DNS分析、SDK反编译、证书透明日志、企业注册记录以及美国证券交易委员会EDGAR文件。所有引用来源均为公开资料。

蒂尔关联网络：同一投资者，数据管道的两端

调查的核心结构性发现之一涉及彼得·蒂尔。蒂尔联合创办了Palantir Technologies，该公司向全球政府和企业出售监控分析服务。他的风险投资机构Founders Fund同时也是Persona的主要投资方，Persona是一家身份验证公司，其SDK被嵌入从Roblox到Robinhood等众多平台之中。

TBOTE项目将此描述为"采集与分析"关联网络：同一金融利益方同时受益于生物特征身份数据的采集以及对这些数据进行的下游分析。调查并未指控Persona与Palantir在产品层面存在协调行为，但记录了两者的共同所有权结构，认为这是一项重要事实，而与Persona验证流程交互的用户对此并不知情。

作为调查一部分，研究人员审查了Persona泄露的源代码，据报道其中包含269项验证检查、43种验证类型，以及专为美国金融犯罪执法网络（FinCEN）和加拿大金融交易和报告分析中心（FINTRAC）构建的政府报告模块。

技术分析的发现

SDK反编译部分的调查产生了若干超出标准隐私关切范畴的具体发现。

调查人员在Persona SDK中发现了一个硬编码的AES加密密钥。该密钥在发现结果披露后于1.15.3版本中完成轮换，表明该问题已得到确认并处理。SDK还缺乏证书锁定机制，而这是一种防止传输中数据遭受中间人拦截的标准安全措施。

调查发现，在一次标准验证会话期间，有七个分析服务同时运行。Telesign——一家由比利时国有电信运营商Proximus持有多数股权的公司——被发现在未通知用户的情况下执行静默网络身份验证。此外，还发现了通过Vonage进行的运营商级电话验证，用户对此同样未获明确告知。

Persona系统的面部识别组件由Paravision提供支持，该公司在美国国土安全部的生物特征准确性评估中排名第一。根据调查，Paravision并未出现在Persona公开披露的子处理商页面上。TBOTE项目共识别出12个其称之为未披露的数据处理商。

对withpersona.com的子域名枚举共发现197个子域名，其中包括65个暴露了内部机器学习服务的预发布环境、一个被识别为TigerGraph的图数据库，以及通往AAMVA（美国机动车管理员协会）的网关——该协会管理着美国各州的驾驶执照数据。

调查还记录了LinkedIn在同一Android APK中同时运行四个独立身份验证供应商的情况，以及其所描述的一套并行中国监控技术栈，包括芝麻信用社会评分集成、闪验运营商身份验证以及政府设备标识符。

Roblox是一个拥有大量未成年用户的平台，调查发现其在验证流程中嵌入了完整的Persona SDK，包括NFC护照读取功能，而据报道用户在未完成验证的情况下无法退出该流程。

这对您意味着什么

TBOTE项目的调查并不主张年龄验证本身不具合法性。其论点更为具体：为实施年龄验证而构建的基础设施，其技术能力和所有权结构已远远超出任何单一年龄限制使用场景的范畴。

对于普通互联网用户而言，这意味着在游戏平台、社交网络或成人内容网站上响应年龄验证提示时，可能涉及生物特征数据被多个未披露的第三方处理、在没有可见通知的情况下发生运营商级身份验证，以及数据流入具有政府报告功能的系统。

美国超过25个州、巴西和英国的立法授权正在为这些服务创造调查报告所称的"强制性市场"。报告指出，Meta为与这一立法相关的游说活动花费了2630万美元。巴西联邦数据处理服务公司（Serpro）数据库持有约2.2亿巴西公民的记录，被认定为这些验证系统运行所处基础设施环境的组成部分。

身份验证与人工智能代理基础设施的融合被标记为一项新兴关切。调查认为，身份验证正被定位为更广泛参与自动化互联网交易的前提条件，而不仅仅是访问年龄限制内容的门槛。

可操作的建议

希望了解自身在这一基础设施中风险敞口的读者，可以采取以下几个实际步骤。

第一，审查任何要求您完成身份验证的平台的隐私政策和子处理商披露内容，注意其中是否列出了面部识别供应商和运营商身份验证服务。

第二，请注意，平台上的"年龄验证"并不意味着您的数据仅留存于该平台。基于SDK的验证会将数据路由至第三方身份系统，每个系统都有其自身的数据保留和共享规范。

第三，关注您所在司法管辖区的立法动态。要求年龄验证的法律为平台创造了法律义务，进而推动了本调查所描述的基础设施的采用。了解您所在州或国家的强制要求，有助于理解您在使用某些在线服务时可能须提交哪些数据。

TBOTE项目的完整调查报告（包括其方法论和原始文件）已向公众公开。这些发现代表了迄今为止对年龄验证行业最具技术深度的公开分析之一，其提出的有关信息披露、数据流向以及结构性利益冲突的问题，很可能将持续受到监管机构、新闻记者和隐私研究人员的审视。