年龄验证即大规模监控基础设施

Source: tboteproject.com (Hacker News: 273 points, flagged) | Date: 2026-04-06

★★★★★ 开创性

核心发现概览

• 269 种验证检查
• 43 种验证类型
• 47 种报告类型
• 28 种追踪列表类型
• 41 个司法管辖区
• 14 个有数字ID链接的国家
• 7 个同步分析服务
• 12 个未披露的数据处理器
• 220M 巴西人在Serpro数据库

关键发现

1. Peter Thiel 的监控帝国

Peter Thiel同时控制两家公司：

• Palantir - 全球监控和数据分析公司，与CIA、NSA、DHS、ICE、英国国防部、NHS England有合同
• Persona - 身份验证公司的主要投资者（通过Founders Fund），该公司在2025年4月完成$200M D轮融资，估值$2B

同一个人控制监控分析公司和身份验证公司的主要投资者——身份验证的泄露源码揭示了针对FinCEN和FINTRAC的政府报告能力。

2. 2026年2月源码泄露

安全研究员"Celeste"（vmfunc）在一个公开的FedRAMP授权政府端点上发现了53 MB未压缩的TypeScript源码（2,456个文件）。Vite开发配置路径（/vite-dev/）到达了生产环境，暴露了Persona的完整验证管道。

泄露内容：269种验证检查

• 自拍分析（23种）：活体检测、公共人物匹配、"可疑实体检测"、年龄不一致
• 政府ID验证（43种）：AAMVA数据库查询、NFC芯片读取
• 数据库查询（27种）：SSA死亡主文件、Aadhaar（印度）、Serpro（巴西）人脸比对
• PEP面部识别：与政治公众人物进行生物特征比对，包括相似度评分
• adverse media筛选：14个类别，包括恐怖主义和 espionage

泄露内容：政府报告能力

源码包含向情报和金融监控机构提交报告的完整模块：

• FinCEN SAR：自动向美国财政部提交可疑活动报告
• FINTRAC STR：加拿大情报项目，包含行动代号：
  • Project SHADOW - 儿童剥削
  • Project LEGION - 大麻
  • Project PROTECT - 人口贩运
  • Project ANTON - 野生动物
  • Project ATHENA - 洗钱

3. SDK反编译发现

• 硬编码的AES密钥（在披露后于v1.15.3版本轮换）
• 零证书锁定
• 通过Vonage的静默运营商手机验证
• 7个同步分析服务

4. Paravision 提供面部识别

Paravision为Persona提供面部识别，但在子处理器页面上未列出。在DHS生物识别 Rally中排名第一。

5. LinkedIn的平行监控栈

• LinkedIn运行4个身份验证供应商（AU10TIX自2021年、Persona、CLEAR、DigiLocker）
• 平行中国监控栈： Sesame Credit社会信用评分、ShanYan运营商认证、政府设备标识符

6. 子域名枚举

在withpersona.com上枚举了197个子域名，暴露了40+客户：

• Roblox
• Robinhood
• Kaggle
• Playboy
• 意大利政府

65个暂存子域名暴露了内部ML服务、TigerGraph和AAMVA网关。

7. Roblox儿童游戏中的Persona SDK

8. 强制性市场

以下司法管辖区的法律创造了强制性身份验证市场：

• 25+ 美国州
• 巴西
• 英国

Meta花费$26.3M游说推动这些立法。

结构性问题

Founders Fund的巴西数据足迹

Palantir的平行运营

研究方法

所有来源均为公开：DNS分析、证书透明度、WHOIS/RDAP、企业注册表、SEC EDGAR、HTTP指纹识别、SDK反编译、JS捆绑包分析、Sourcegraph代码搜索、theHarvester、dnsrecon。