Nástroj ochrany soukromí, který krade data
V prosinci 2025 byla rozšíření pro Chrome propagovaná jako nástroje na ochranu soukromí při práci s umělou inteligencí přistižena při špionáži. Zachycovala kompletní historii konverzací a odesílala tento obsah na servery kontrolované útočníky.
To je základní paradox: nástroj ochrany soukromí se stal hrozbou.
Společnost Caviard.ai zjistila, že 67 % rozšíření Chrome pro umělou inteligenci sbírá uživatelská data. Některá to uvádí, jiná nikoli. Zveřejnění však není skutečným problémem. Skutečným problémem je to, zda design nástroje dělá krádež dat strukturálně nemožnou — nebo pouze zakázanou pravidly.
Zpráva DLA Piper o GDPR z roku 2025 zaznamenala 34% nárůst průměrné výše pokut v roce 2024 oproti roku 2023. Tento trend zvyšuje sázky pro každého pověřence pro ochranu dat schvalujícího nástroje pro prohlížeče zaměstnanců.
Jak vypadá skutečné lokální zpracování
Skutečný nástroj s lokálním zpracováním spouští svůj detekční model přímo v prohlížeči. Model je součástí instalačního balíčku nebo se stáhne jednorázově. Poté žádný obsah nikdy neopustí servery vydavatele.
Jediný odchozí provoz tvoří anonymizovaný prompt pro službu umělé inteligence a standardní požadavky prohlížeče, jako jsou kontroly aktualizací. Obsah nikdy nepřechází přes síť vydavatele.
Tento design lze testovat a ověřit. Slibům vydavatele nelze důvěřovat bez ověření. Incidenty z prosince 2025 to jasně ukázaly.
Jak zkontrolovat jakýkoli nástroj ochrany soukromí
Neptejte se, zda vydavatel slibuje ochranu soukromí. Ptejte se, zda design dělá krádež dat nemožnou.
Síťový test: Nainstalujte nástroj v monitorované síti. Vložte falešné osobní identifikátory do testovacího účtu umělé inteligence. Po dobu 30 sekund sledujte veškerá odchozí připojení. Pokud jakýkoli provoz směřuje na doménu, která není platformou umělé inteligence ani aktualizačním serverem nástroje, váš obsah je přesměrováván jinam.
Kontrola kódu: Rozšíření Chrome jsou balíčky JavaScriptu. Lze je dekompilovat. Skutečný nástroj s lokálním zpracováním neobsahuje žádná síťová volání v detekčním kódu. Absence fetch, XMLHttpRequest ani WebSocket v detekčním modulu je dobrým znamením. Jejich přítomnost je důvodem k zamítnutí.
Kontrola oprávnění: Chrome Manifest V3 vyžaduje explicitní oprávnění. Nástroj s lokálním zpracováním nepotřebuje oprávnění k odesílání obsahu mimo prohlížeč. Přístup ke schránce v kombinaci s rozsáhlými síťovými oprávněními — bez jasného důvodu — je varovným signálem.
Kontrola vydavatele: Status ověřeného vydavatele v Chrome Web Store vyžaduje doložení domény a identifikačních dokumentů. Noví vydavatelé s novými doménami prodávající nástroje AI pro ochranu soukromí vyžadují zvýšenou pozornost. Útočníci v prosinci 2025 používali krátkodobé identity, aby se vyhnuli odhalení.
900 000 zasažených uživatelů
Analýza Astrix Security z prosince 2025 odhalila, že 900 000 uživatelů bylo zasaženo rozšířeními vydávajícími se za nástroje ochrany soukromí. Tito uživatelé si vybrali tyto nástroje, aby chránili svá sezení s umělou inteligencí. Nástroje dosáhly opaku.
Jeden kompromitovaný pracovní účet může odhalit záznamy zákazníků, právní dokumenty a interní plány. Přehled zabezpečení a souladu s předpisy vysvětluje, jak tento řetězec rizik funguje.
Výběr ověřitelného nástroje
Rozšíření Chrome anonym.legal provádí detekci osobních údajů výhradně v prohlížeči. Na servery anonym.legal není odesíláno nic.
| Škodlivá rozšíření | anonym.legal | |
|---|---|---|
| Zpracování | Vzdálené servery | Pouze prohlížeč |
| Rozsah přístupu | Zachycení celého sezení | Pouze při aktivitě |
| Ověřitelné uživatelem | Ne | Ano — otestujte síť |
Jak to funguje:
- Vložíte text s osobními identifikátory
- Detekce probíhá lokálně ve vašem prohlížeči
- Jména a identifikátory se stanou tokeny — „Jan Novák“ se změní na
[PERSON_1] - Vyčištěný text odchází do umělé inteligence
- Odpověď umělé inteligence je lokálně obnovena pro vás
Centrum souladu s předpisy obsahuje kompletní seznam entit a podrobnosti pro podnikové audity.