anonym.legal

By · Last updated 2026-03-08

Terug na BlogKI-sekuriteit

Veilige KI-Privaatheidsinstrumente in 2026

In Januarie 2026 is twee kwaadwillige Chrome-uitbreidings met 900 000+ gebruikers betrap terwyl hulle ChatGPT- en DeepSeek-geselsies elke 30 minute uitstreel.

March 8, 20268 min lees
Chrome extension securitymalicious extensionChatGPT privacyAI data protection

Die Januarie 2026-Insident

Opgedateer vir 2026. In Januarie 2026 het sekuriteitsnavorsers twee kwaadwillige Chrome-byvoegings met 900 000+ gebruikers gevind.

Die name was gekies om soos werklike KI-instrumente te lyk:

  • "Chat GPT for Chrome with GPT-5, Claude Sonnet & DeepSeek AI" - 600 000+ gebruikers
  • "AI Sidebar with Deepseek, ChatGPT, Claude and more" - 300 000+ gebruikers

Albei het dieselfde gedoen. Hulle het volledige ChatGPT- en DeepSeek-geselsies elke 30 minute na 'n afgeleoe bediener gestuur.

Die gesteelde data het bronkode, persoonlike besonderhede, regsgespreke, sakeplannie en geldrekords ingesluit. Elke boodskap wat gebruikers getik het - inhoud waarvan hulle gedink het dit is privaat - het na onbekende partye gegaan.

Hoe die Byvoegings Vertrouenseine Omgaan Het

Die instrumente het gevra om "anonieme, nie-identifiseerbare analitiese data" te versamel. Daardie bewoording klink veilig.

In werklikheid het hulle volledige KI-geselsisinhoud gegryp. Die analitiese versoek was die dekmantel. Geselsisdiefstal was die werklike doel.

Hierdie truuk verduidelik waarom hierdie bedreiging aanhou groei. Gebruikers wat nie 'n uitvissingkoppeling sou klik nie, het hierdie instrumente opsetlik geinstalleer. Hulle het van die Chrome Webwinkel gekom. Hulle het soos werklike KI-instrumente gelyk.

Die Breere Patroon: 67% van KI-Byvoegings Versamel Jou Data

Die Januarie 2026-geval was nie uniek nie. Navorsing deur Incogni het bevind dat 67% van KI Chrome-byvoegings aktief gebruikersdata versamel. Verskeie onafhanklike studies bevestig hierdie syfer.

Dit is die kernprobleem. Gebruikers installeer instrumente om hul KI-privaatheid te beskerm. Maar die meeste van diegene selfde instrumente versamel die data wat hulle beweer om te beskerm.

Die mark het 'n kategorie geskep - KI-privaatheidsinstrumente vir blaaiers. Dit het nie 'n manier gebou vir gebruikers om daeide aansprake te kontroleer nie. Die resultaat: die "beskermings"-instrument is die bedreiging.

Leer meer in ons sekuriteitswoordelys en nakoming-dokumentasie. Jy kan ook hersien hoe ons KI-risiko in ons entiteitsdataLeiding kategoriseer.

Veilige vs. Onveilige Argitektuur

Die Januarie 2026-geval toon 'n sleuteltegniese gaping. Ken dit voor om enige KI-blaaierinstrument te installeer.

Onveilig - deur ontwikkelaar se bedieners gelei:

  1. Gebruiker tik in ChatGPT
  2. Instrument vang die teks
  3. Instrument stuur teks na sy eie bediener vir "verwerking"
  4. Bediener gee verwerkte teks terug
  5. Instrument stuur na ChatGPT

Elke aanduiding gaan deur die ontwikkelaar se stelsels. As die instrument kwaadwillig is, is al daeide inhoud in gevaar.

Veilig - slegs plaaslike verwerking:

  1. Gebruiker tik in ChatGPT
  2. Instrument vang die teks
  3. Instrument verwerk die teks plaaslik in die blaaier
  4. Verwerkte teks gaan direk na ChatGPT

Niks verlaat die blaaier behalwe die finale teks na die KI-diens nie. Die ontwikkelaar se bedieners is nooit in die pad nie.

Stel een vraag: waar vind die verwerking plaas? As die antwoord die ontwikkelaar se eie bedieners is, gaan jou data deur 'n derde party.

Sien hoe anonym.legal dit hanteer in ons sekuriteitsoorsig.

Vyf Vrae Om Te Stel Voor Jy 'n KI-Blaaierinstrument Installeer

67% van KI-byvoegings versamel gebruikersdata. Slegdoeners kan instrumente op die Chrome Webwinkel publiseer met baie installasie-tellings. Die hersieningsproses is belangrik. Hierdie vyf vrae help jou om 'n beter keuse te maak.

1. Waar word PII-opsporing verwerk? Kontroleer die privaatbeleid. Word opsporing in die blaaier gedoen, of gaan teks na 'n bediener? Plaaslik beteken die ontwikkelaar sien jou teks nooit.

2. Wat gebeur met geselsisinhoud? Instrumente wat "beskerm" deur deur hul eie proxi te lei, lees alles wat jy tik. Instrumente wat teks plaaslik verwerk, doen dit nie.

3. Wie is die geverifieerde uitgewer? Die Januarie 2026-instrumente het Webwinkel-kontroles geslaag. Nogtans is 'n uitgewer met 'n duidelike naam en 'n werklike besigheid meer betroubaar as 'n anonieme een met 'n gratis instrument en geen inkomste.

4. Is daar onafhanklike sekuriteitssertifisering? ISO 27001 dek hoe 'n verskaffer sagteware bou en versend. Onafhanklike oudits bevestig aansprake wat bemarking nie kan nie.

5. Wat is die besigheidsmodel? Die duidelikste sein: hoe verdien 'n gratis instrument geld? As daar geen inkomstebron is nie, is jou data waarskynlik die produk. 'n Instrument gekoppel aan 'n betaalde diens het minder rede om data in die geheim te versamel.

Sien ons Gereelde Vrae vir gewone KI-blaaiersekuriteitsvrae.

Wat die Insident oor KI-Sekuriteit Onthul

Die 900 000+ gebruikers was nie onversigtig nie. Hulle was professionele persone wat KI-instrumente en privaatheid wou he. Hulle het geinstalleer wat soos werklike produkte van die Chrome Webwinkel gelyk het.

Die aanval het vir vier redes gewerk.

Die instrumente het werklike kenmerke gehad. Hulle was nie suiwer sleg nie. Hulle het KI-funksies aangebied langs die datadiefstal. Dit het hulle soos werklike produkte tydens normale gebruik laat lyk.

Vertrouenseine was nagemaak. Honderde duisende gebruikers skep sosiale bewys. Om 600 000 installasies te sien, het meer mense laat installeer, nie minder nie.

Die toestemmingsversoek het veilig gelyk. "Anonieme, nie-identifiseerbare analitiek" is die soort taal wat gebruikers aanvaar sonder om te lees.

Die diefstal het op 'n tydhouer geloop. Dertig-minuut-intervalle vang elke gesels. Hulle is ook selde genoeg om anomalie-gebaseerde sekuriteitswaarskuwings te vermy.

Die Post-Insident-Vertrouensraamwerk

Na Januarie 2026 benodig ondernemings-IT-spanne 'n strenger hersiening vir KI-blaaierinstrumente.

Die minimum vereiste items:

  • Plaaslike verwerking - geverifieer deur oudit, nie net in bemarking beweer nie
  • Uitgeweridentiteit - bekende maatskappy met 'n werklike besigheidsmodel en geskiedenes
  • Onafhanklike sekuriteitssertifisering - ISO 27001 of gelykstaande
  • Duidelike privaatbeleid - wat versamel word, waar dit heen gaan, en wanneer
  • Geen roeting deur ontwikkelaar se bedieners vir kern-privaatheidskenmerke

Spanne wat KI-instrumente na groot werksmagte ontplooi, moet ook oorweeg:

  • Oudit geinstalleerde blaaierinstrumente vir data-uitstreling
  • Monitor vir onverwagte eksterne verbindings van blaaierprocesse
  • Bestuur goedgekeurde instrumente via Chrome Onderneming-beleid

Die Januarie 2026-geval was 'n waarskuwing. Die 67% versamelingkoers oor KI-blaaierinstrumente toon dat die waarskuwing verdien was.

Vir ondernemingsleiding, sien ons nakomingsentrum en gevallestudies. Ons stigterverklaring verduidelik hoe ons anonym.legal rondom plaaslike verwerking van die begin af gebou het. Vir prisinligting oor ons ondernemingsplan, besoek prysing.

anonym.legal se Chrome-instrument verwerk PII-opsporing plaaslik. Geen geselsisinhoud bereik anonym.legal-bedieners tydens PII-opsporing nie. Anonimisering vind in die blaaier plaas voor die gewysigde aanduiding na die KI-diens gestuur word. Gepubliseer deur anonym.legal, ISO 27001-gesertifiseer.

Bronne

Verwante Artikels

KI-sekuriteit

AI Coding Assistants Leak Production PII

Unit test fixtures with real customer records. Log files with production data for debugging. GitHub found 39 million secrets leaked in 2024.

KI-sekuriteit

Internal Wiki PII: Confluence Customer Data

Support teams document processes with screenshots of customer accounts. Over 3 years, that's thousands of GDPR data minimization violations in your.

KI-sekuriteit

Screenshot PII: Leaks in Internal Tools

Slack, Teams, Jira, and email regularly receive screenshots containing customer PII. This access-control violation bypasses every DLP tool.

Gereed om u data te beskerm?

Begin om PII te anonimiseer met 285+ entiteitstipes in 48 tale.

Begin Gratis ProeflopieBesoek Kenmerke

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.