identity

在 Discord 應用於年齡驗證的 Persona 代碼中發現當局的報告代碼和其他代碼後,Discord 遭到抨擊。

Nat 2026-02-22 No Comments
4 VIEWS
Pinterest LinkedIn LINE
.

Discord 用於年齡驗證的 Persona 前端程式碼因錯誤而曝光。對這段程式碼的分析引起了軒然大波,因為有人發現其中一個模組本應是「年齡驗證」,但卻將面部影像與監察名單和 PEPs 進行比對,並直接向政府報告。

. .

<!-- /wp:list-item -->
    實施 269 種不同的驗證檢查。
  • 將臉部影像與 watchlists 和 PEP 清單比對的功能。
  • 針對 14 個類別的不良媒體篩選功能,包括恐怖主義和間諜活動。
    • 設計可儲存 IP 位址、瀏覽器/裝置指紋、政府身分證號碼、電話號碼、姓名、臉部影像和自拍分析(例如年齡錯位偵測)長達三年。
. 進一步說明,在相同的程式碼庫中,已確認下列模組。

<!
    <!-- /wp:list-item --> Suspicious Activity Report (SAR) submission module for FinCEN (implemented according to the XML schema of the FinCEN website). .
  • 加拿大 FINTRAC 的可疑交易報告 (STR) 傳輸模組。
<! 換句話說,一個功能完整的 KYC/AML 平台的完整前端被曝光,而不是一個「用於年齡驗證的單一功能函式庫」,而這也導致 Discord 上的「年齡驗證」是否真的是年齡驗證的疑慮和火焰。

.

你認為 Discord 的年齡驗證實際上做了什麼

然而,目前無法從公開資訊中得知「哪些功能實際上已啟用」。

<!
    <!-- wp:list-item -->
  • Discord 方面最初聲稱「mugshots 在終端處理」,但後來據報解釋,使用 Persona 的實作會將其傳送至伺服器,並儲存最長七天。
    • . 溢出代碼表明它是一個「通用的 KYC/AML 引擎」,包括 PEP、制裁、不良媒體甚至 FinCEN/FINTRAC 報告。
<! Persona 的客戶包括加密資產交易所和以金融機構為基礎的 FinTech,因此 Persona 的程式碼庫中包含這些模組並不令人意外,或者說是意料之中。然而,以下只是從「存在的程式碼」推論出來的。

. <!
    <!-- /wp:list-item -->
      是否每次年齡驗證交易都執行 PEP/制裁篩選。
    • 是否根據年齡驗證結果和使用者行為自動向 FinCEN/FINTRAC 等發送 SAR/STR。
<! Discord 的配置中是否啟用了這些功能,目前媒體或其他方面還不得而知。

.

Hence

. .
    <!-- /wp:list-item -->
      「年齡驗證在相同的基礎設施上進行,PEP、受制裁和符合 FinCEN 的功能也已實施並可用」。 但根據證據(關注/懷疑的程度),不能說「PEP 驗證和 FinCEN 報告總是在每一筆年齡驗證交易中運行」。
<! 這樣理解是合理的。

然而,什麼才算是有問題

儘管技術和法律事實仍在「調查中」,但以下幾點已引起批評。

<!
    <!-- /wp:list-item -->
      看起來毫無目的的過度設計
      雖然它應該只是「判斷您是否年滿 18 歲」,但背後的堆疊卻是一個龐大的 KYC/AML 套件,能夠進行 PEP、制裁、不利新聞檢查,甚至是監管報告。 缺乏透明度
      儘管向使用者解釋這只是「年齡檢查」,卻沒有事先透露實際上是在完整的財務監控堆疊上處理。
      . 資料保留與「分享」的疑慮
      Discord 的承諾 (短期保留/最少使用) 與設計/政府協作模組 (可保留長達三年) 之間的差距,如 Persona side codebase 所示之間的差距。
<! 特別是與監管機構的SAR/STR合作代碼的出現,導致了 「是否正在向FinCEN等報告 」的情況。的情況,即懷疑正在向 FinCEN 等報告的情況正在快速蔓延。

在這種情況下,Discord/Persona 如何洗脫嫌疑

證明您沒有這樣做幾乎是不可能的,但是要以一定的說服力來證明您 「沒有這樣做」,

    <!-- wp:list-item -->
  1. 設計必須使功能無法達到或在配置(配置/架構)中使用。
    2. <!
  2. 在實際操作日誌(KYC 事件日誌、外部協作日誌、SAR 管理日誌)中,必須沒有使用功能的痕跡。
  3. 不長期儲存或二次使用資料(保留和刪除記錄)。
    4. <!
  4. 具有第三方驗證的審計報告。
. 是必要的。只有當這四個層次都到位時,您才能達到讓人難以置信的程度,至少從專家的角度來看,您已經「做到了」。

<!

目前,「唯一可以明確證實 Discord 正在使用 Persona 的國家」實際上是英國 (UK) 的公開資訊。因此,英國的隱私權主管機關 (ICO) 將會如何採取行動,將會是一個有趣的課題…

.

Discord 已與 Persona 解約

事實上,Discord 與 Persona 的合約早已終止。這是由於 「懷疑資料處理比所解釋的更重」,以及對 「廠商的性質和政治背景 」的不信任,這兩個因素結合起來,導致了很大的反彈。

. <!

主要問題可粗略歸納為三大類。

    <!-- wp:list-item -->
  1. 伺服器端處理和儲存時間與描述不同
  2. Discord最初向使用者解釋「臉部掃描會在終端進行處理」,但英國的常見問題則表示,在使用Persona的實驗中,「提交資訊會在伺服器端儲存長達七天」。
    3. . 此 FAQ 備註一經發表,很快就被 Discord 移除,讓人懷疑這是試圖隱藏。 <!
  3. 供應商及監督/政府關係 <!-- /wp:list -->
      <!-- wp:list-item -->
    • Persona的資金來自Peter Thiel的Founders Fund,由於Thiel作為Palantir的共同創始人,曾深度參與政府監控基礎設施,「我不想把我的生物特徵資料給一家與監控國家玩家有聯繫的供應商」。這樣的批評就爆發了。
    4. <!
  4. 缺乏透明度和處理 「實驗」 <!-- /wp:list -->
      <!-- wp:list-item -->
    • Persona 一開始不在 Discord 的「官方合作夥伴名單」或任何其他名單上,而且是以偷偷摸摸的實驗形式,只針對英國使用者。
    • 對於影響範圍、具體處理細節和存取資料的實體的解釋是追溯性且零碎的,導致使用者被用作測試對象以及同意書品質不足的批評。
<! Redact的一篇調查文章指出,在全球年齡驗證公告引起反彈「幾天後」,「開始在英國使用者中觀察到Persona實驗」,這表明這是一個在2026年2月初到2月中旬之間進行的非常短暫的測試。這表明這是在 2026 年 2 月上旬至中旬之間進行的一次非常短暫的測試。

.

那麼 Discord 使用什麼呢?

目前,Discord 正在使用新加坡的 k-ID 和英國的 Yoti(在歐洲等部分地區)進行年齡驗證(年齡保證)。兩者都使用攝影機取得的臉部影像來進行年齡估算 (Age estimation),然後根據 ISO/IEC 27566-1 年齡保證系統 – Part 1: 框架 (Age assurance systems – Part 1: Framework),在有懷疑時與其他證據進行核對。年齡保證系統 – Part 1: Framework,免費)。然而,每個系統都有其自身的特點。

. .

透過臉部掃描估計年齡

.
    <!-- /wp:list-item -->
      k-ID:人臉掃描只會在裝置上處理,並且可以在裝置不提供人臉資訊的情況下執行 (伺服器端也提供確認功能)。 Yoti:臉部影像會傳送到伺服器,伺服器會估算年齡,並立即刪除。
<! 其他年齡驗證方法

.
    <!-- /wp:list-item -->
      k-ID:家長同意/監護人驗證(使用電子郵件驗證、信用卡付款、國民身份證等),並與可信的第三方資料來源進行驗證。
      . Yoti:數位身份錢包和身份識別(ID)+自拍驗證。
    .
看起來 k-ID 將會在全球使用,但是僅憑 k-ID 並無法告訴我們它是在裝置上還是在伺服器端 Discord 已經部分聲明它是 「在裝置上」,而且最好是透過公布可以驗證這一點的第三方認證驗證結果來確保透明度。確保透明度是可取的做法。

. .

(bibliography)

. .
    <!-- wp:list-item -->
  1. Redact.
  2. Redact.(2026). Discord Tested Age Verification Vendor Persona: What Users Should Know. 2026-02-16. https://redact.dev/blog/discord-persona-age-verification-experiment
    3. .
  3. Bernier, Rony.
  4. Bernier, Rony.(2026). Discord ends Persona Age Verification test activity. LinkedIn: 2026-02-16. https://www.linkedin.com/posts/rorybernier_discord-ends-persona-age-verification-test-activity-7428905652959358977-CTB2/
    5. . Cress, Laura.(2026). ‘I do not trust them’ – top streamers left concerned by Discord age checks. BBC. 2026-02-17. https://www.bbc.com/news/articles/cn4g8ynpwl8o . Naprys, Ernestas.(2026). Firm that verifies mugshots for ChatGPT and Roblox feeds US surveillance apparatus with 269 distinct checks.Cybernews: 2026-02-19. https://cybernews.com/privacy/persona-leak-exposes-global-surveillance-capabilities/ .
  5. Alajaji, R and S. Baldwin.
  6. Alajaji, R and S. Baldwin.(2026). Discord 自願推動強制年齡驗證,儘管最近發生資料外洩事件。 2026-02-12. https://www.eff.org/deeplinks/2026/02/discord-voluntarily-pushes-mandatory-age-verification-despite-recent-data-breach
    7. .
  7. L0la L33tz.
  8. L0la L33tz.(2026). Hackers Expose Age-Verification Software Powering Surveillance Web. 2026-02-19. https://www.therage.co/persona-age-verification/
    9. . ISO/IEC 27566-1.(2025). Information security, cybersecurity and privacy protection – Age assurance systems – Part 1: Framework. 2025-12. https://www.iso.org/standard/88143.html

分享此文: