Discord 與彼得·蒂爾支持的驗證軟體切斷合作，因其代碼被發現與美國監控行動有關

通訊平台 Discord 在其身份驗證軟體 Persona Identities 被發現其前端程式碼可在公開網路和政府伺服器上存取後，陷入爭議。

推薦影片

研究人員在 X 上指出，近 2,500 個可存取的檔案位於一個美國政府授權的端點上。這些檔案顯示 Persona 進行了臉部辨識比對監控名單，並對用戶進行政治曝露人士名單的篩查。

除了驗證用戶年齡外，研究人員發現 Persona 執行 269 種不同的驗證檢查，包括篩查“負面媒體”在內的 14 個類別，如恐怖主義和間諜活動。它會為用戶資訊分配風險和相似度分數。

而這些資訊是公開可得的。“我們甚至不需要撰寫或執行任何漏洞利用，整個架構就擺在門口，”研究人員在部落格中寫道，並補充他們在一個聯邦風險與授權管理計畫（FedRAMP）政府端點上找到 53 兆位元組的資料，該端點還“用代號標記來自活躍情報計畫的報告”。

Discord 隨後宣布將與 Persona 斷絕合作。這款由 Palantir 聯合創始人彼得·蒂爾的風險投資公司 Founders Fund 部分資助的 AI 軟體，仍為 OpenAI、Lime 和 Roblox 提供年齡驗證服務。

Persona 和 Discord 都向 Fortune 確認，他們的合作不到一個月便已結束。根據 Discord 的說法，只有少數用戶參與了這次測試，提交的任何資訊最多會被存放七天，之後將被刪除。

Discord 的安全整頓失誤

這並非第一次有第三方供應商因處理敏感用戶資料不當而受到審查，Discord 在遊戲玩家、學生、意見領袖、科技專業人士及其他社群中都很受歡迎。

去年，駭客存取了超過 70,000 名符合年齡驗證要求用戶的政府身分證資料。

在 2025 年 10 月 9 日的聲明中，公司表示這次攻擊“並非 Discord 的資料外洩，而是第三方服務供應商 5CA 的資料外洩。” Discord 表示，這次資料外洩僅影響與公司客服或信任與安全團隊溝通的用戶。

“在 Discord，保護用戶的隱私與安全是我們的首要任務。這也是為什麼我們認為對用戶透明，讓他們了解影響其個人資訊的事件非常重要，”聲明中補充。若用戶的政府身分證、IP 位址或有限的帳單與公司資料被洩露，受影響的用戶會收到電子郵件通知。

本月初，Discord 在宣布所有帳戶預設為青少年安全設定後，幾乎立即遭到反彈。想要使用額外功能的用戶，必須透過 Persona 進行年齡驗證。

“全球推行青少年預設設定，建立在 Discord 現有的安全架構之上，” Discord 的產品政策主管 Savannah Badalich 在聲明中表示。該公司“將繼續與安全專家、政策制定者及 Discord 用戶合作，支持有意義的長期福祉。”

但在用戶迅速指出十月資料外洩事件後，Discord 隔天修正聲明，澄清除非用戶願意存取受年齡限制的伺服器和頻道，否則年齡驗證將為選擇性。

Discord 表示，它可以利用“我們已經掌握的資訊”來判斷大多數用戶的年齡。大多數用戶不需上傳政府身分證，而是可以選擇影片自拍。

“我們提供多個注重隱私的選項，透過可信任的合作夥伴，”補充說明，並指出“臉部掃描資料永遠不會離開你的裝置。Discord 和我們的供應商合作夥伴絕不會接收這些資料。”

上傳到 Discord 的任何身分證明文件都會提交給平台的第三方供應商，並迅速刪除。“在大多數情況下，驗證年齡後立即刪除，”聲明中寫道。

“身分證僅用於確認你的年齡，然後刪除，”它繼續說。“Discord 只會收到你的年齡——僅此而已。你的身份從未與你的帳戶相關聯。”

然而，一個已刪除的 Discord 年齡驗證政策 FAQ 版本似乎與公司關於第三方供應商 Persona 存放政府身分證資料時間的說法相矛盾。

“重要：如果你位於英國，你可能參與一個實驗，你的資訊將由年齡保證供應商 Persona 處理，”該網站的存檔版本顯示。“你提交的資訊將暫時存放最多 7 天，然後刪除。身分證驗證所有細節都會模糊，除了你的照片和出生日期，僅使用真正需要的資訊來進行年齡驗證。”

Persona 變得個人化

Persona 的 CEO 兼聯合創始人 Rick Song 告訴 Fortune，這些檔案並非漏洞，而是公開存取的前端資訊。“找到的是已經在每個人裝置上的前端未壓縮檔案，”他說，並補充這些資訊可以在公司幫助中心和 API 文件中找到。“我不認為將未壓縮檔案放在網路上是好事，”Song 接著說，但他補充，研究人員找到的資訊是公司壓縮源映射的未壓縮版本。

“我認為這個內容看起來更可怕，但……內部我們甚至不認為這是重大漏洞。”

Song 仍認為 Persona 與 Discord 的合作是成功的。“我認為產品的表現非常出色，”這位 CEO 告訴 Fortune。“我們能說所有資料都已立即被遮蔽，是因為資料在處理時就已被遮蔽。這並不是因為合約終止後才刪除資料。資料在驗證個人後立即被刪除。”

他否認與 Palantir、ICE 或政府有任何關聯，但表示公司正進行 FedRAMP 認證。“我們正努力取得 FedRAMP 認證，其目標是為員工安全做大量工作，”這與用戶在社交媒體平台驗證年齡所用的資訊完全不同。

對於 269 種驗證方式，Song 表示這些都是 Persona 提供的選項，但不一定每個客戶都需要全部。社交媒體平台的年齡驗證需求與雇主進行背景調查的需求不同。

週末期間，Song 否認 Persona（也提供 KYC 和 AML 解決方案）將臉部生物識別與金融記錄或執法資料庫連結。並貼出與研究人員“Celeste”在 X 上的電子郵件交流截圖，聲稱研究人員暗示 Persona、Palantir 和 ICE 之間存在某種聯繫，導致公司成員受到威脅。

“我們與 ICE、Palantir 完全沒有任何關係，”該電子郵件交流的截圖顯示。CEO 補充，受到反彈的公司成員多為新畢業生或剛加入的人。“我認為這些人不應該成為公眾憤怒的對象，如果要責怪的話，也應該是我。”

他也因為在網路上沒有個人可識別資訊而受到攻擊。一位在 X 上的用戶貼出 CEO 的 LinkedIn 頭像截圖，顯示 Song 有驗證徽章但沒有個人照片。Persona 也管理 LinkedIn 的身份驗證請求。

對此，Song 回應：“我已驗證。這就是全部。讓人們面對自己、在網路上保持真實，這是反烏托邦的。諷刺的是，談論隱私的人卻希望我公開面對自己。”