Was I-XRAY war
Im September 2024 bauten die Harvard-Studenten im dritten Studienjahr AnhPhu Nguyen und Caine Ardayfio ein System namens I-XRAY, das Consumer-Smart-Glasses, eine Reverse-Face-Search-Engine und öffentliche Datenbroker-Websites zu einer Echtzeit-Identifikation von Fremden verknüpfte. Sie demonstrierten es in der Bostoner U-Bahn — ein Blick auf jemanden, und innerhalb von etwa 90 Sekunden erschienen Name, Wohnadresse, Telefonnummer und Arbeitgeber auf einem Smartphone-Bildschirm.
Sie veröffentlichten am 30. September 2024 ein Demo-Video auf X mit dem Slogan: „Are we ready for a world where our data is exposed at a glance?" Bis Mitte Oktober war das Video über 20 Millionen Mal angesehen worden. 404 Media, The Verge, Ars Technica, Forbes und die Harvard Crimson berichteten über die Geschichte.
Die Studenten erklärten ausdrücklich, dass sie den Code niemals veröffentlichen würden. Es handelte sich um ein Demonstrationsprojekt, das zeigen sollte, was bereits mit öffentlich verfügbaren Tools möglich ist — und Menschen dazu anregen sollte, sich aus den Datenbanken abzumelden, die das System erst ermöglichen.
Wie es technisch funktionierte
I-XRAY war keine einzelne Software. Es war eine Pipeline bestehender Dienste, von denen keiner für diesen Zweck entwickelt worden war:
Schritt 1 — Aufnahme. Ray-Ban Meta-Brillen (Gen 2) streamten Video live zu Instagram Live. Ein Laptop-Programm überwachte den Livestream und extrahierte Gesichtsbilder aus dem Videofeed.
Schritt 2 — Reverse Face Search. Gesichtsbilder wurden zu PimEyes hochgeladen, einer Reverse-Face-Search-Engine mit Sitz in Tiflis, Georgien. PimEyes lieferte URLs öffentlich indexierter Fotos, die zum Gesicht passten — keinen Namen, aber Links zu Webseiten, auf denen dieses Gesicht erschien.
Schritt 3 — Identitätsextraktion. Ein großes Sprachmodell extrahierte Text aus diesen URLs, um aus unstrukturierten Webseiten einen Namen, Beruf, Schule und weitere Details abzuleiten.
Schritt 4 — Datenbroker-Abfrage. Mit einem identifizierten Namen fragte das System öffentliche People-Search-Websites ab — FastPeopleSearch, CheckThem, Instant Checkmate — um Wohnadresse, Telefonnummer, Alter und Verwandte abzurufen.
Schritt 5 — Optionale vertiefte Abfrage. Mit einer Telefonnummer konnte das System Dienste wie Cloaked.com abfragen, um teilweise Sozialversicherungsnummern abzurufen.
Die gesamte Verarbeitung erfolgte auf einem externen Computer, nicht auf der Brille. Die Brille war nur eine Kamera, die wie normale Brillen aussah — und genau das war der Punkt. Nguyen sagte gegenüber Business Insider, dieselbe Pipeline würde mit jeder Kamera funktionieren, einschließlich eines Smartphones. Die Brille machte es heimlich.
Warum die Brille zentral war
Die Studenten wählten Ray-Ban Meta Gen 2 speziell, weil sie „fast nicht von normalen Brillen zu unterscheiden" seien. Eine auf jemanden in einem Zug gerichtete Smartphone-Kamera fällt auf. Brillen, die wie Brillen aussehen, nicht.
Sie verdeckten außerdem die Aufnahme-LED, um den Scan vollständig unsichtbar zu machen — ein Detail, das die LED-Manipulations-Recherche von Joanna Stern 20 Monate später vorwegnahm.
Wie Meta reagierte
Metas Erklärung, in mehreren Medien wiederholt:
"To be clear, Ray-Ban Meta glasses do not have facial recognition technology. From what we can see, these students are simply using publicly available facial recognition software on a computer that would work with photos taken on any camera, phone, or recording device."
Meta betonte drei Punkte: Die Brille führt keine Gesichtserkennung auf dem Gerät aus; eine Aufnahme-LED existiert, die der Nutzer nicht deaktivieren kann; und die Nutzungsbedingungen verbieten LED-Manipulation. Die Studenten hatten die LED natürlich einfach verdeckt.
Wie PimEyes reagierte
Im Januar 2025 sagte PimEyes-CEO Giorgi Gobronidze gegenüber Snopes, das Unternehmen sei „nicht beteiligt" an I-XRAY und „unterstütze solche Experimente nicht". PimEyes erklärte, dass acht potenziell mit dem Projekt verknüpfte Accounts geschlossen wurden und die Studenten persönliche Accounts genutzt hatten — das Unternehmen hatte keinen API-Zugang gewährt.
PimEyes hielt außerdem fest, dass der Dienst Menschen nicht „identifiziere". Er liefere Links zu Webseiten, auf denen ein passendes Gesicht erscheint. Die Unterscheidung ist technisch korrekt und praktisch irrelevant — die Links führen zu Seiten, die Namen enthalten.
Was danach geschah
Kein Code wurde veröffentlicht. Die Studenten lehnten alle Anfragen ab. Snopes bestätigte im Januar 2025, dass das Tool nicht aktiv gepflegt wurde und zuletzt im November 2024 voll funktionsfähig war.
Keine dokumentierten Nachahmer. Trotz der viralen Aufmerksamkeit wurde in keiner Berichterstattung bis Juli 2026 eine öffentliche Neuimplementierung von I-XRAY gefunden.
Akademische Auseinandersetzung. Das Library Innovation Lab der Harvard Law School veranstaltete im Januar 2025 ein Mittagessen mit Professor Jonathan Zittrain, um das Projekt und Opt-out-Hinweise zu diskutieren.
Gesetzgebungsdynamik. Kein US-Gesetz nennt I-XRAY explizit, aber die Demonstration wurde 2026 zu einem Referenzpunkt für Smart-Glasses-Datenschutzgesetze. Californias SB 1130 (eingereicht Februar 2026) kriminalisiert heimliche Wearable-Aufnahmen in Geschäftsräumen und zielt auf Hardware ab, die Aufnahmelichter deaktiviert. Pennsylvanias HB 2603 (eingereicht Juni 2026) schreibt sichtbare Aufnahmeindikatoren bei Smart Glasses vor.
Die NameTag-Verbindung
Im Juni 2026 — 20 Monate nach I-XRAY — entdeckte WIRED inaktiven Gesichtserkennungscode namens „NameTag" in der Meta AI App, die 50 Millionen Downloads hat. Der Code umfasste Gesichtserkennung, Faceprint-Generierung und ein Abgleichsystem, das zuvor getroffene Personen wiedererkennen konnte.
I-XRAY und NameTag sind technisch unterschiedliche Systeme. I-XRAY nutzte Reverse Face Search von Drittanbietern zur Identifikation von Fremden. NameTag nutzte biometrische Faceprints auf dem Gerät, um Personen wiederzuerkennen, die der Träger zuvor getroffen hatte. Aber der Bogen ist derselbe: Die Form, die Smart Glasses für Fotografie und KI-Unterstützung nützlich macht, ist dieselbe Form, die Überwachung ohne Einwilligung ermöglicht.
Meta entfernte fast den gesamten NameTag-Code innerhalb von 24 Stunden nach dem WIRED-Bericht, nach öffentlichem Protest und einem von der ACLU geführten Koalitionsschreiben mit 75 Organisationen.
Warum I-XRAY für die Erkennung relevant ist
Die I-XRAY-Pipeline erforderte, dass die Brille zu Instagram livestreamte — die Brille sendete also aktiv über Wi-Fi und Bluetooth. Die gesamte Pipeline hing von der drahtlosen Kommunikation zwischen Brille und gekoppeltem Smartphone ab.
Genau dieses Signal liest funkbasierte Erkennung. Glasses Radar versucht nicht festzustellen, ob auf der anderen Seite Gesichtserkennung läuft. Es erkennt, dass kamerafähige Brillen in der Nähe sind und kommunizieren — die Voraussetzung für jeden I-XRAY-ähnlichen Angriff.
Die eigene Opt-out-Empfehlung der Studenten war, sich bei PimEyes und Datenbrokern abzumelden. Das ist guter Rat und lohnt sich. Aber es ist Verteidigung im Nachhinein — es reduziert den Schaden eines Identifikationsversuchs, sagt Ihnen aber nicht, dass einer stattfindet. Das Bewusstsein, dass Kamera-Brillen anwesend sind, ist die erste Verteidigungslinie.
Wie Sie sich aus den Datenbanken abmelden, die I-XRAY nutzte
Die Studenten veröffentlichten ein Google Doc mit Opt-out-Anleitungen. Die Kernschritte:
- PimEyes — Löschung Ihres Gesichts aus dem Index beantragen unter pimeyes.com/en/opt-out-request-form
- FaceCheck.ID — Takedown-Anfrage einreichen
- FastPeopleSearch — fastpeoplesearch.com/removal besuchen und das Formular ausfüllen
- CheckThem — Löschung beantragen unter checkthem.com/optout
- Instant Checkmate — instantcheckmate.com/opt-out nutzen
Diese Löschungen reduzieren Ihre Exposition, sind aber nicht dauerhaft. Datenbroker indexieren öffentliche Aufzeichnungen erneut. Opt-out ist eine wiederkehrende Aufgabe, kein einmaliger Fix.
Das Fazit
I-XRAY demonstrierte 2024, was viele Datenschutzforscher seit Jahren warnten: Consumer-Smart-Glasses, die wie normale Brillen aussehen, kombiniert mit frei verfügbaren Gesichtserkennungstools und unregulierten Datenbrokern, machen Echtzeit-Identifikation von Fremden für jeden möglich, der motiviert genug ist, die Tools zu verketten.
Der Code wurde nie veröffentlicht. Die Pipeline wird nicht mehr gepflegt. Aber jede Komponente existiert noch und ist öffentlich zugänglich. PimEyes ist noch in Betrieb. Datenbroker verkaufen weiterhin Aufzeichnungen. Und die Brillen werden inzwischen in größerer Stückzahl verkauft als zum Zeitpunkt der viralen Demo.
Das Bedrohungsmodell, das I-XRAY etablierte, ist nicht hypothetisch. Es wurde in einem Zug, vor laufender Kamera demonstriert und von Zehnmillionen Menschen gesehen.