Cos'era I-XRAY
Nel settembre 2024, gli studenti del terzo anno di Harvard AnhPhu Nguyen e Caine Ardayfio hanno costruito un sistema chiamato I-XRAY che collegava occhiali smart per consumatori, un motore di ricerca inversa per volti e siti pubblici di data broker per identificare sconosciuti in tempo reale. Lo hanno dimostrato sui trasporti pubblici di Boston — guardando qualcuno e, in circa 90 secondi, vedendo nome, indirizzo di casa, numero di telefono e datore di lavoro su uno schermo di telefono.
Hanno pubblicato un video dimostrativo su X il 30 settembre 2024, con il tagline: "Are we ready for a world where our data is exposed at a glance?" A metà ottobre, il video era stato visto più di 20 milioni di volte. 404 Media, The Verge, Ars Technica, Forbes e l'Harvard Crimson hanno tutti coperto la storia.
Gli studenti hanno dichiarato esplicitamente che non avrebbero mai rilasciato il codice. Era un progetto dimostrativo pensato per mostrare cosa era già possibile con strumenti pubblicamente disponibili — e per spingere le persone a disiscriversi dai database che lo rendono possibile.
Come funzionava tecnicamente
I-XRAY non era un singolo software. Era una pipeline di servizi esistenti, nessuno dei quali era stato costruito per questo scopo:
Passo 1 — Acquisizione. I Ray-Ban Meta (Gen 2) trasmettevano in diretta video su Instagram Live. Un programma su laptop monitorava lo stream live ed estraeva immagini di volti dal feed video.
Passo 2 — Ricerca inversa del volto. Le immagini del volto venivano caricate su PimEyes, un motore di ricerca inversa per volti con sede a Tbilisi, Georgia. PimEyes restituiva URL di foto indicizzate pubblicamente che corrispondevano al volto — non un nome, ma link a pagine web dove quel volto appariva.
Passo 3 — Estrazione dell'identità. Un large language model estraeva testo da quegli URL per dedurre nome, occupazione, scuola e altri dettagli da pagine web non strutturate.
Passo 4 — Consultazione data broker. Con un nome identificato, il sistema interrogava siti pubblici di ricerca persone — FastPeopleSearch, CheckThem, Instant Checkmate — per recuperare indirizzo di casa, numero di telefono, età e parenti.
Passo 5 — Consultazione più approfondita opzionale. Con un numero di telefono, il sistema poteva interrogare servizi come Cloaked.com per recuperare cifre parziali del Social Security Number.
Tutta l'elaborazione avveniva su un computer esterno, non sugli occhiali. Gli occhiali erano solo una fotocamera che sembrava occhiali normali — che era proprio il punto. Nguyen ha detto a Business Insider che la stessa pipeline funzionerebbe con qualsiasi fotocamera, incluso uno smartphone. Gli occhiali la rendevano nascosta.
Cosa rendeva centrali gli occhiali
Gli studenti hanno scelto i Ray-Ban Meta Gen 2 specificamente perché "sembrano quasi indistinguibili da occhiali normali". Una fotocamera di telefono puntata verso qualcuno su un treno è evidente. Occhiali che sembrano occhiali no.
Hanno anche coperto il LED indicatore di registrazione per rendere la scansione completamente invisibile — un dettaglio che anticipava l'inchiesta sulla manomissione del LED di Joanna Stern 20 mesi dopo.
Come ha risposto Meta
La dichiarazione di Meta, ripetuta su più testate:
"To be clear, Ray-Ban Meta glasses do not have facial recognition technology. From what we can see, these students are simply using publicly available facial recognition software on a computer that would work with photos taken on any camera, phone, or recording device."
Meta ha sottolineato tre punti: gli occhiali non eseguono riconoscimento facciale on-device; esiste un LED di acquisizione che l'utente non può disabilitare; e i termini di servizio vietano la manomissione del LED. Gli studenti, ovviamente, avevano semplicemente coperto il LED.
Come ha risposto PimEyes
Nel gennaio 2025, il CEO di PimEyes Giorgi Gobronidze ha detto a Snopes che l'azienda "non era coinvolta" in I-XRAY e "non supporta tali esperimenti". PimEyes ha dichiarato che otto account potenzialmente collegati al progetto sono stati chiusi e che gli studenti avevano usato account personali — l'azienda non aveva concesso accesso API.
PimEyes ha anche sostenuto che il suo servizio non "identifica" le persone. Restituisce link a pagine web dove appare un volto corrispondente. La distinzione è tecnicamente accurata e praticamente irrilevante — i link portano a pagine che contengono nomi.
Cosa è successo dopo
Nessun codice è stato rilasciato. Gli studenti hanno rifiutato tutte le richieste. Snopes ha confermato nel gennaio 2025 che lo strumento non era attivamente mantenuto ed era stato completamente funzionante l'ultima volta nel novembre 2024.
Nessun copycat documentato. Nonostante l'attenzione virale, nessuna reimplementazione pubblica di I-XRAY è stata trovata in alcun report fino a luglio 2026.
Coinvolgimento accademico. Il Library Innovation Lab della Harvard Law School ha ospitato un pranzo con il professor Jonathan Zittrain nel gennaio 2025 per discutere il progetto e le indicazioni per la disiscrizione.
Slancio legislativo. Nessuna legge statunitense nomina esplicitamente I-XRAY, ma la dimostrazione è diventata un punto di riferimento per la legislazione sulla privacy degli occhiali smart nel 2026. La SB 1130 della California (introdotta a febbraio 2026) criminalizza le riprese nascoste con dispositivi indossabili nelle attività commerciali e punisce l'hardware che disabilita le luci di registrazione. L'HB 2603 della Pennsylvania (introdotta a giugno 2026) richiede indicatori di registrazione visibili sugli occhiali smart.
Il collegamento con NameTag
Nel giugno 2026 — 20 mesi dopo I-XRAY — WIRED ha scoperto codice dormiente di riconoscimento facciale chiamato "NameTag" nell'app Meta AI, che ha 50 milioni di download. Il codice includeva rilevamento del volto, generazione di faceprint e un sistema di corrispondenza che poteva riconoscere persone incontrate in precedenza dal portatore.
I-XRAY e NameTag sono sistemi tecnicamente diversi. I-XRAY usava la ricerca inversa del volto di terze parti per identificare sconosciuti. NameTag usava faceprint biometrici on-device per riconoscere persone che il portatore aveva già incontrato. Ma l'arco narrativo è lo stesso: il form factor che rende utili gli occhiali smart per fotografia e assistenza AI è lo stesso che abilita la sorveglianza senza consenso.
Meta ha rimosso quasi tutto il codice NameTag dall'app entro 24 ore dal report WIRED, dopo l'indignazione pubblica e una lettera di coalizione guidata dall'ACLU firmata da 75 organizzazioni.
Perché I-XRAY conta per il rilevamento
La pipeline I-XRAY richiedeva che gli occhiali trasmettessero in diretta su Instagram — il che significa che gli occhiali trasmettevano attivamente su Wi-Fi e Bluetooth. L'intera pipeline dipendeva dalla comunicazione wireless tra occhiali e telefono associato.
Questo è esattamente il segnale che legge il rilevamento basato su radio. Glasses Radar non cerca di determinare se sul lato opposto è in esecuzione il riconoscimento facciale. Rileva che occhiali con fotocamera sono nelle vicinanze e stanno comunicando — la precondizione per ogni attacco in stile I-XRAY.
La raccomazione di disiscrizione degli studenti era di rimuoversi da PimEyes e dai siti data broker. È un buon consiglio e vale la pena farlo. Ma è una difesa a posteriori — riduce il danno da un tentativo di identificazione ma non ti dice che ne sta avvenendo uno. La consapevolezza che occhiali con fotocamera sono presenti è la prima linea di difesa.
Come disiscriversi dai database usati da I-XRAY
Gli studenti hanno pubblicato un Google Doc con istruzioni per la disiscrizione. I passaggi principali:
- PimEyes — Richiedi la rimozione del tuo volto dal loro indice su pimeyes.com/en/opt-out-request-form
- FaceCheck.ID — Invia una richiesta di rimozione
- FastPeopleSearch — Visita fastpeoplesearch.com/removal e segui il modulo
- CheckThem — Richiedi la rimozione su checkthem.com/optout
- Instant Checkmate — Usa instantcheckmate.com/opt-out
Queste rimozioni riducono la tua esposizione ma non sono permanenti. I data broker reindicizzano i registri pubblici. La disiscrizione è un compito ricorrente, non una soluzione una tantum.
In sintesi
I-XRAY ha dimostrato nel 2024 ciò che molti ricercatori sulla privacy avevano avvertito per anni: occhiali smart per consumatori che sembrano occhiali normali, combinati con strumenti di riconoscimento facciale liberamente disponibili e data broker non regolamentati, rendono possibile l'identificazione in tempo reale di sconosciuti per chiunque sia abbastanza motivato a collegare gli strumenti insieme.
Il codice non è mai stato rilasciato. La pipeline non è più mantenuta. Ma ogni componente esiste ancora ed è ancora accessibile pubblicamente. PimEyes è ancora operativo. I data broker vendono ancora registri. E gli occhiali ora si vendono in volumi maggiori rispetto a quando la demo è diventata virale.
Il modello di minaccia stabilito da I-XRAY non è ipotetico. È stato dimostrato su un treno, ripreso in video e visto da decine di milioni di persone.