最近在 Discord 的年齡驗證系統中發現了一個新漏洞,這使得公司在 2026 年的合規計劃面臨新一輪壓力。安全研究人員最近發現,與身份供應商 Persona 相關的前端組件在公開網絡上可被訪問,引發了有關該平台如何安全處理敏感年齡檢查的熱烈討論。這一發現最早是在社交媒體 X 上曝光,並迅速在網絡安全圈中傳播。雖然被曝光的內容並未自動授予用戶數據的訪問權限,但專家指出,這揭示了驗證流程運作的結構性細節。
前端代碼通常在用戶的瀏覽器中運行,開發者通常期望某種形式的可見性。然而,分析師認為,讓詳細的實現邏輯輕易可見可能會給攻擊者提供有價值的情報。研究人員在審查被曝光的文件時表示,他們能觀察到請求的格式、驗證的過程,以及在年齡檢查過程中不同服務之間的通信方式。最近,黑客通過發現其合作夥伴 Persona 的前端代碼在公開互聯網上可訪問,揭露了 Discord 年齡驗證系統的部分細節。
這些見解可能使惡意行為者能夠模擬合法的流量或測試系統的弱點。Discord 目前並未表示攻擊者利用了這一漏洞,但此事件發生在微妙的時期。美國監管機構對線上平台的監察日益加強,特別是那些受未成年人歡迎的服務。
根據 Discord 提出的系統,用戶可以通過面部年齡估計工具、上傳政府簽發的身份證明或算法年齡預測來確認其年齡。這一做法已讓許多用戶感到不安。在英國及其他市場,一些用戶報告收到通知,表示 Persona 可能會處理並臨時保留提交的數據長達七天。批評者認為,這一披露與之前強調的設備內處理和最小數據存儲的訊息相悖。
在美國,數據隱私法律因州而異,許多用戶對上傳身份證掃描或生物識別自拍以訪問遊戲服務器或社區小組持懷疑態度。隱私倡導者認為,任何關於存儲或刪除時間表的模糊性都削弱了公眾的信心。Discord 之前因 2025 年的一次供應商漏洞事件而受到影響,該事件曝光了約 70,000 張用於年齡申訴案件的政府簽發身份證圖片。這一事件在批評者心中仍然揮之不去,讓他們懷疑該公司是否能安全地將身份檢查擴展至數百萬用戶。
除了技術影響外,這一爭議還威脅到 Discord 的聲譽。該平台以開放、以社區為驅動的互動建立了品牌形象,而強制的年齡檢查標誌著文化上的轉變,特別是對於重視匿名性的長期用戶。觀察人士還質疑 Discord 為何在某些地區試點 Persona,而不是僅依賴推廣設備內驗證方法的另一個合作夥伴 k-ID。缺乏詳細解釋加劇了猜測和不信任。
Discord 表示,已啟動內部審查並加強了其驗證基礎設施的安全措施。該公司堅稱其在處理生物識別和身份數據時是安全的,並限制數據的保留。對於美國人來說,這一更廣泛的辯論反映出對兒童安全執法和數字隱私權之間日益增長的緊張關係。立法者繼續推動加強對未成年人在線的保護,平台現在必須在遵守規定和滿足用戶期望之間取得平衡。
