Discord与彼得·蒂尔支持的验证软件断绝关系，此前其代码被发现与美国监控行动有关

通信平台Discord在其身份验证软件Persona Identities被发现其前端代码可在互联网和政府服务器上访问后，陷入争议。

推荐视频

研究人员在X上指出，近2,500个可访问文件存放在美国政府授权的端点上。这些文件显示Persona对监控名单进行了面部识别检查，并筛查用户是否在政治敏感人士名单中。

除了验证用户年龄外，研究人员发现Persona执行269项不同的验证检查，包括筛查“负面媒体”，涵盖恐怖主义、间谍等14个类别。然后为用户信息分配风险和相似度评分。

这些信息是公开可用的。“我们甚至不用编写或执行任何漏洞利用，整个架构就摆在门口，”研究人员在博客中写道，并补充说他们在一个联邦风险与授权管理计划（FedRAMP）政府端点上发现了53兆字节的数据，还“用活跃情报项目的代号标记报告”。

自此，Discord宣布将与Persona断绝合作关系。该AI软件由Palantir联合创始人彼得·蒂尔的风险投资公司Founders Fund部分出资，仍为OpenAI、Lime和Roblox提供年龄验证服务。

Persona和Discord都向《财富》确认，他们的合作不到一个月就结束了。根据Discord的说法，只有少数用户参与了此次测试，提交的任何信息最多会被存储七天，然后删除。

Discord安全升级的失误

这并非第一次有第三方供应商因处理敏感用户信息不当而受到审查。Discord在游戏玩家、学生、网红、科技专业人士及其他社区中都很受欢迎。

去年，黑客访问了超过70,000个符合年龄验证要求的用户的政府身份证。

公司在2025年10月9日的声明中表示，此次攻击“并非Discord的漏洞，而是第三方服务提供商5CA的漏洞。”Discord指出，此次漏洞仅影响与公司客户支持或信任与安全团队沟通的用户。

“在Discord，保护用户的隐私和安全是我们的首要任务。这也是为什么我们要对影响用户个人信息的事件保持透明，”声明中补充。如果用户的政府身份证、IP地址或有限的账单和公司数据被泄露，受影响的用户会收到电子邮件。

本月早些时候，Discord在宣布所有账户默认启用青少年安全设置后，立即遭到强烈反对。希望访问更多功能的用户必须通过Persona验证年龄。

“全球范围内推出青少年默认设置，建立在Discord现有安全架构之上，”Discord产品政策负责人萨凡纳·巴达利奇在声明中表示。公司“将继续与安全专家、政策制定者和Discord用户合作，支持有意义的、长期的福祉。”

但在用户迅速指出10月的数据泄露后，Discord第二天修正声明，澄清除非用户希望访问受年龄限制的服务器和频道，否则年龄验证将保持可选。

Discord表示，它可以通过“我们已有的信息”判断大多数用户的年龄。大部分用户无需上传政府身份证，而可以选择视频自拍。

“我们通过可信合作伙伴提供多种注重隐私的选项，”补充声明中写道，“面部扫描永远不会离开你的设备。Discord和我们的供应商合作伙伴永远不会接收这些数据。”

上传到Discord的任何身份证明文件都将提交给平台的第三方供应商，并迅速删除。“在大多数情况下，验证年龄后立即删除，”声明中写道。

“身份证仅用于确认你的年龄，然后删除，”它继续说。“Discord只会收到你的年龄——仅此而已。你的身份信息从未与账户关联。”

然而，一份已删除的Discord关于年龄验证政策的常见问题解答似乎与公司关于第三方供应商（即Persona）存储政府身份证的时间的声明相矛盾。

“重要提示：如果你位于英国，你可能会参与一项由年龄保障供应商Persona处理你信息的试验，”存档版本显示。“你提交的信息将被临时存储最多7天，然后删除。身份证验证时，除照片和出生日期外的所有细节都将被模糊处理，只使用真正需要的年龄验证信息。”

Persona获取个人信息

Persona的CEO兼联合创始人宋瑞告诉《财富》，这些文件不是漏洞，而是公开可访问的前端信息。“发现的内容是已经在每个人设备上的前端未压缩文件，”他说，并补充这些信息可以在公司帮助中心和API文档中找到。“我不认为将未压缩文件放在网上是好事，”宋瑞继续说，但他补充说，研究人员发现的内容是公司压缩源映射的未压缩版本。

“我认为这其中的内容看起来更吓人，但……从内部来看，我们甚至不认为这是一个重大漏洞。”

宋瑞仍然认为Persona与Discord的合作是成功的。“我认为产品的表现非常出色，”他告诉《财富》。“我们能说所有数据都已立即被编辑掉，是因为数据在处理时就已被编辑。不是因为合同终止后才删除数据。验证完成后，数据会立即被删除。”

宋瑞否认与Palantir、ICE或政府有任何关系，但表示公司正在进行FedRAMP授权。“我们正在争取获得FedRAMP认证，其目标是加强我们的员工安全工作，”这涉及用一套不同的信息确认员工身份，而不是像社交媒体平台验证年龄那样。

关于269项验证检查，宋瑞表示，这些都是Persona提供的选项，但不一定所有客户都需要全部使用。社交平台的年龄验证需求与雇主进行背景调查的需求不同。

周末，宋瑞否认Persona（还提供“了解你的客户（KYC）”和反洗钱（AML）解决方案）将面部生物识别与财务记录或执法数据库关联。宋瑞在X上发布了与研究员“Celeste”的电子邮件截图，称研究员暗示Persona、Palantir和ICE之间存在某种联系，导致公司成员受到威胁。

“我们与ICE、Palantir完全没有关系，”截图中的邮件内容显示。CEO补充说，受到反对的公司成员中有新毕业生或最近加入的人。“我认为这些人不应该成为公众愤怒的对象，如果要指责，也应该指我。”

宋瑞还因其在线缺乏个人身份信息而受到攻击。一位X用户发布了CEO的LinkedIn资料截图，显示宋瑞带有验证徽章但没有个人照片。Persona负责处理LinkedIn的身份验证请求。

对此，宋瑞写道：“我已验证。这就是全部。让人面对自己、在网上真实存在的反乌托邦。讽刺的是，关注隐私的人却希望我面对自己、向所有人展示真实身份。”

加入我们，参加《财富》职场创新峰会 2026年5月19-20日在亚特兰大举行。新时代的职场创新已然到来——旧的策略正在被重写。在这个独家的高能盛会中，全球最具创新精神的领导者将聚集一堂，探讨人工智能、人性与战略如何再次融合，重新定义未来的工作。立即注册。