Сьогоднішній бріфінг охопив головну новину: груповий позов (Справа 3:26-cv-02803, N.D. California) звинувачує Perplexity AI у вбудовуванні tracking-скриптів, які передавали запити користувачів до Meta і Google — включаючи запити в режимі Incognito. Позивач ділився податковими деклараціями, інвестиційними деталями, сімейними фінансовими планами. Все це — прямо в ad-tech.
Privacy-активісти назвуть це корпоративною зрадою. Я називаю це зламаною верифікацією.
Ось питання, яке ніхто не ставить: хто аудитував client-side JavaScript? Не privacy policy — а реальний код, який виконується в браузері. Кожна компанія шипить third-party скрипти. Analytics, attribution, performance monitoring. І майже ніхто їх не інвентаризує. Ніхто не робить diff після оновлень. Ніхто не перевіряє, які дані вони ексфільтрують.
Це не унікально для Perplexity. Це дефолтний стан кожного продукту, який інтегрує third-party SDK без процесу script audit. Tracking-скрипти, згадані в позові, — та сама категорія, що прямо зараз крутиться в тисячах SaaS-продуктів. Різниця в тому, що хтось нарешті перевірив.
Incognito-режим ніколи не гарантував приватності. Але користувачі обґрунтовано припускали, що "privacy-first search engine" не буде вбудовувати саму ту surveillance-інфраструктуру, яку обіцяв замінити. Саме в цьому розриві і живе позов.
Виправлення нудне. Script inventory. Content Security Policy headers з вайтлістом затверджених доменів. Автоматичний diff при оновленні third-party скриптів. Квартальні аудити. Чекліст. Це 📋 проблема, а не філософська.
Якщо я правий, компанії, які впроваджують script auditing зараз, уникнуть наступного групового позову. Якщо помиляюсь, Perplexity — одиночний поганий актор, і всі інші "privacy-first" продукти чисті. Я б не ставив на це свої податкові декларації.
Дев'ять мільярдів доларів оцінки, побудованих на обіцянці. JavaScript розповів іншу історію. Скільки інших privacy-first продуктів пережили б такий самий аудит? ⚙️
