Discord 停用 Persona：黑客曝光监控代码引发身份验证危机

总部位于旧金山的身份验证公司 Persona，为 Discord、Roblox 和 Reddit 等平台提供年龄验证服务，在安全研究人员公布调查结果后正面临越来越多的审查。调查揭示了隐藏在该公司暴露源代码中的广泛监控系统。

由 vmfunc.re 的安全分析师 Celeste 领导的研究人员，在一个经 FedRAMP 授权的政府端点上发现了 53 MB 未受保护的 TypeScript 源映射文件——任何拥有网络浏览器的人都可以访问。该代码现已被删除，但其中揭示了 269 项不同的验证检查、保留期长达三年的生物识别面部数据库、直接向 FinCEN（美国金融犯罪执法网络）提交可疑活动报告的模块，以及包括“SHADOW 项目”和“LEGION 项目”在内的情报计划代号。

代码揭示了什么

根据研究人员于 2 月 15 日发布的报告，泄露的代码显示该平台使用人脸识别技术将用户自拍照与监控名单照片进行比对，根据从恐怖主义到间谍活动等 14 类负面媒体信息对个人进行筛查，并仅基于面部分析就将用户标记为“可疑实体”。据报道，该系统还通过 13 种类型的标识符追踪用户——从浏览器指纹、地理位置到政府身份证号码——并通过区块链分析公司 Chainalysis 筛查加密货币钱包。

研究人员表示没有涉及黑客攻击。他们仅使用 Shodan、证书透明度日志和 DNS 查询等公开可用的工具，就访问到了暴露在实时服务器上的生产配置。此次发现还揭示了 Persona 面向政府的平台与其消费者平台共享同一底层代码库，这一点通过匹配代码提交记录得到了证实。

Persona 于 2025 年 10 月获得了 FedRAMP 授权，然而在研究人员调查时，源映射文件仍可公开访问，这引发了关于此泄露事件如何通过联邦安全审查的质疑。

Discord 与 Persona 撇清关系

这些曝光使围绕 Discord 年龄验证方式的紧张争论进一步加剧。2 月 9 日，Discord 宣布将从 2026 年 3 月开始在全球推出“青少年默认”设置，要求用户通过面部识别或政府身份证件验证年龄以解锁完整访问权限。此后不久，英国用户报告称他们被引导至 Persona 进行验证，而非 Discord 公开声明的合作伙伴 k-ID。

当被要求置评时，Discord 告诉 Kotaku，其与 Persona 的合作是“有限测试”的一部分，该测试“现已结束”，其主要年龄验证合作伙伴仍是 k-ID。周一，The Rage 报道称 Discord 表示不会继续使用 Persona 进行身份验证。Discord 此前曾表示，在 Persona 测试期间提交的数据仅保留七天。

这场争议还将注意力引向了 Persona 的金融支持者。彼得·蒂尔（Peter Thiel）的 Founders Fund 领投了 Persona 的 1.5 亿美元 C 轮和 2 亿美元 D 轮融资，后者对该公司的估值达到 20 亿美元。蒂尔是 Palantir 的联合创始人，这家数据分析公司与美国政府签有大量监控合同。英国开放权利组织（Open Rights Group）发表声明，呼吁提高透明度并提供非生物识别替代方案，项目经理詹姆斯·贝克（James Baker）表示：“人们对于仅仅为了访问在线平台就必须将面部生物识别扫描提交给海外公司感到担忧和愤怒”。

CEO 回应，疑问仍存

根据 vmfunc 的调查，Persona 公司 CEO Rick Song 已与研究人员直接取得联系，并同意为计划中的后续报告回答 18 个问题。2 月 19 日，PiunikaWeb 报道称 Song 公开发布了他与研究人员之间的完整电子邮件往来。据报道，Song 否认 Persona 将面部生物识别信息关联到执法部门数据库，但他并未否认代码本身的存在。

此事件发生时距离 Discord 披露约 7 万名用户的政府身份证照片可能在与第三方供应商相关的数据泄露事件中遭到泄露还不到五个月——这一背景只会加深用户对身份验证系统的不信任。