OpenAI e Persona coletam dados de biometria facial para alimentar a máquina de espionagem norte-americana

Relatório original publicado em blog. Reprodução: Site vmfunc.re.

Por pão

Em relatório publicado no dia 16, um grupo de pesquisadores de segurança expuseram como a startup Persona alimenta um sistema de espionagem do Governo dos EUA através de seu produto de reconhecimento facial - utilizado por empresas como Roblox, Discord, Linkedin e OpenAI. Enquanto inicialmente tentavam apenas formular um meio para burlar a nova política de “segurança” anunciada pelo Discord, que envolve o reconhecimento facial de todos seus usuários como forma de verificação de idade, acabaram encontrando um sistema da Persona rodando em um servidor autorizado do governo americano com seu código fonte exposto. A análise desses arquivos permitiu com que os pesquisadores confirmassem suspeitas pré-existentes da real motivação por trás de soluções de escaneamento facial promovidas por big techs.

A falha encontrada pelos pesquisadores resultou em acesso direto a 2.456 arquivos de código desprotegidos e expostos à internet sem qualquer medida de segurança. Os arquivos revelaram um extenso processamento de dados e análise por parte do sistema da Persona ao receber uma nova foto de um usuário. Para além do intuito oficial de verificação de idade, o programa realiza um total de 269 checagens distintas buscando correspondências na internet e em fontes de dados governamentais, divididas em 14 categorias distintas de análise como, por exemplo, terrorismo e espionagem.

Dados pessoais como endereços IP, geolocalização, impressões digitais do navegador e dispositivos móveis, números de identificação governamentais, números de telefone, nomes, rostos e até o fundo das fotos são analisados e mantidos na base de dados particular por até três anos - sem qualquer notificação ao usuário.

Lista de checagens feitas a partir das selfies. Reprodução: Site vmfunc.re. Tradução: Jornal O Futuro.

O programa pode marcar o usuário como “suspeito” a partir apenas do seu rosto. Os pesquisadores alertam para o perigo dessa associação, visto que o algoritmo da Persona já provou-se falho até mesmo em sua função básica: estimando crianças como adultos no Roblox.

Não bastando o reconhecimento facial, o sistema também realiza checagens de dados financeiros associadas à pessoa, cruzando informações de listas de sanções governamentais e atividades de criptomoedas. Com os dados coletados e análise feita, relatórios de atividades suspeitas oficiais são preenchidos, emitidos e enviados de maneira automatizada para a Agência do Departamento do Tesouro dos Estados Unidos (FinCEN) e para Agência Nacional de Inteligência Financeira do Canadá (FINTRAC).  

Em resumo, ao realizar uma simples etapa de login com análise facial em plataformas como o ChatGPT ou Roblox, seus dados são processados em uma pipeline massiva de vigilância, cruzando diversas fontes de dados e gerando inteligência para atender os interesses imperialistas.

Ademais, os pesquisadores também apontaram uma similaridade de nome entre um subdomínio da Persona para com o nome do sistema de vigilância contratado pelo ICE. Um endpoint de API da Persona (que não era para estar exposto à internet) aponta para “onyx.withpersona-gov.com” enquanto a plataforma de vigilância movida a IA comprada pela agência de imigração americana por 4,2 milhões de dólares chama-se Fivecast ONYX. O CEO da Persona, Rick Song, apontou que trata-se de mera coincidência e que na realidade o codinome do projeto faz referência a um Pokemón. Em contrapartida, o primeiro registro de certificado (dado público) do subdomínio encontrado ocorreu na data de 2023 - mesmo ano em que a contratação da plataforma foi feita por parte do ICE.

O Fivecast ONYX oferece coleta automatizada de dados multimídia das redes sociais e da dark web, constrói "pegadas digitais" a partir de dados biográficos, e pode acompanhar mudanças de sentimento e emoção, atribuir pontuações de risco, e identificar pessoas com "tendências violentas." Apesar da correlação aparente, o relatório afirma que não encontraram provas substanciais de uma conexão direta entre o sistema da Persona e a agência de imigração.

Por fim, o documento evidencia a presença do chatbot da OpenAI rodando na mesma plataforma governamental que emite relatórios de atividade suspeita, armazena dados de biometria facial e faz triagens de vigilância. Ou seja, os clientes do serviço estão usando assistentes de IA enquanto revisam os dados gerados de “suspeitos”. Uma das pessoas pesquisadoras, Celeste, concluiu em entrevista ao portal The Rage: "O estado quer ver tudo. As corporações querem ver tudo. E aprenderam a trabalhar juntos".

Print de tela de acesso do sistema governamental exposto incorretamente à internet. Reprodução: Site vmfunc.re.

Soberania digital: Quem lucra com a máquina de espionagem?

A Persona Identity, Inc. é uma startup de São Francisco, financiada por Peter Thiel, que oferece soluções de Know Your Costumer (KYC) e Anti-Money Laundering (AML), utilizando verificações biométricas de identidade para estimar a idade do usuário, com o suposto propósito de distinguir entre pessoas reais e identidades geradas por IA.

Peter Thiel é também o fundador da Palantir Technologies, empresa que desenvolve infraestrutura digital para o ICE, exército dos EUA e programas de vigilância e espionagem. A empresa possui relações estreitas com o governo do Brasil, visto que parlamentares do grupo de trabalho sobre regulamentação da IA no Brasil viajaram ao EUA para conhecer a sede da empresa, como reportado pelo InterceptBR em outubro do ano passado.

Como exposto pelo canal Tecnologia e Classe (TeClas) em dezembro, a estatal nacional de tecnologia, SERPRO, abriu as portas para o domínio estrangeiro dos nossos dados pela Palantir através da “Nuvem de Governo”. A dita nuvem soberana é, em síntese, um instrumento do colonialismo digital que opera com toda liberdade (e incentivos) no nosso país, em artigo recente nossa redação evidenciou o caráter rebaixado da tecnologia.

Infográfico de empresas e políticos conectados a Peter Thiel. Reprodução: site The Authoritarian Stack.

A contradição entre o discurso de país soberano tecnologicamente promovido pelo Governo Federal e a realidade dos contratos das estatais para com as big techs é clara. Não há país independente com empresas de inteligência militar e espionagem estrangeiras atuando em nossos servidores que detém e hospedam os serviços públicos essenciais do povo - recentemente, a Empresa Nacional de Inteligência em Governo Digital e Tecnologia da Informação (SERPRO) anunciou que a modernização digital do SUS passará a depender ainda mais da Nuvem de Governo.

O ministro de Saúde em exercício, Adriano Massuda, afirma que “O sistema de saúde produz um volume imenso de dados.”, dados estes que estarão a disposição de entes externos, seja através da Cloud Act ou do próprio mecanismo que permite empresas como Palantir atuarem conectadas a essas soluções.

Sergio Amadeu da Silveira e Jeff Xiong, em artigo intitulado “Índice de soberania digital: o caso do Brasil”, definem que: “Dados são o insumo fundamental da economia digital e constituem a matéria-prima da inteligência artificial (IA) atual. Podem ser definidos como capital. [...] A partir de dados e sistemas algorítmicos, são gerados novos dados, bens e serviços.”. Hoje este capital é todo exportado para fora do país como se não possuísse valor, demonstram os autores. Além disso, é crucial que “O valor gerado pelos dados deva beneficiar a população do país, em vez de ser monopolizado por empresas privadas”.

Entretanto, a realidade das políticas promovidas pelo governo Lula são de subserviência aos interesses das big techs, como o caso do Plano Brasileiro de Inteligência Artificial que irá fazer dois anos de existência em julho sem qualquer avanço significativo na temática. A não ser, claro, um evento promovido em 10 de setembro do ano passado para discuti-lo e que serviu como balcão de negócios para a OpenAI se consolidar como fornecedora de IA generativa da Administração Pública Federal.

Ou seja, o Brasil aprofunda sua posição de colônia no globo ao mesmo tempo em que agravamos a crise climática entregando nossos biomas para a instalação de massivos centros de dados que irão, em última instância, servir para aumentar a capacidade de processamento (e espionagem) de dados que não são, de fato, nossos. A qualquer momento de cisão ou atritos entre os países, os EUA podem bloquear (e roubar) nosso acesso à infraestrutura digital de serviços essenciais. Privacidade digital não é meramente uma questão de preferência individual, mas, sim, necessidade coletiva de um país verdadeiramente independente - e é para este lugar que devemos rumar de maneira intransigente. Como apontam os autores, é preciso enfrentar os lobbies das big techs e a doutrina neoliberal que paralisam a implementação de políticas tecnológicas soberanas e que impedem um Estado autônomo.