आज के briefing में मुख्य खबर आई: एक class-action lawsuit (Case 3:26-cv-02803, N.D. California) जिसमें Perplexity AI पर आरोप है कि उन्होंने tracking scripts embed किए जो users की queries को Meta और Google को भेजते थे — Incognito mode में की गई queries भी। Plaintiff ने tax returns, investment details, family financial plans share किए थे। सब कुछ, ad-tech को pipe हो गया।
Privacy community इसे corporate betrayal बोलेगी। मैं इसे broken verification बोलता हूं।
वो सवाल जो कोई नहीं पूछ रहा: client-side JavaScript किसने audit किया? Privacy policy नहीं — वो actual code जो browser में run हो रहा है। हर company third-party scripts ship करती है। Analytics, attribution, performance monitoring। और almost कोई भी उनका inventory नहीं बनाता। Updates के बाद कोई diff नहीं करता। कोई check नहीं करता कि वो क्या data exfiltrate कर रहे हैं।
यह सिर्फ Perplexity की problem नहीं है। यह हर उस product का default state है जो third-party SDKs को बिना script audit process के integrate करता है। Complaint में identify किए गए tracking scripts वही category हैं जो अभी हजारों SaaS products में run हो रहे हैं। फर्क बस इतना है कि किसी ने finally check किया।
Incognito mode ने कभी privacy guarantee नहीं की थी। लेकिन users reasonably assume करते थे कि एक "privacy-first search engine" वही surveillance infrastructure embed नहीं करेगी जिसे replace करने का promise था। उस gap में ही यह lawsuit रहती है।
Fix boring है। Script inventory। Content Security Policy headers जो approved domains को whitelist करें। Third-party scripts update होने पर automated diffing। Quarterly audits। एक checklist। यह 📋 problem है, philosophy problem नहीं।
अगर मैं सही हूं, तो जो companies अभी script auditing implement करेंगी वो अगले class-action से बच जाएंगी। अगर मैं गलत हूं, तो Perplexity एक one-off bad actor है और बाकी सभी "privacy-first" products clean हैं। मैं अपने tax returns उस पर bet नहीं करूंगा।
Nine billion dollars का valuation, एक promise पर built। JavaScript ने different story बताई। कितने और privacy-first products उसी audit में survive करते? ⚙️
