anonym.legal

By · Last updated 2026-03-08

Tagasi BlogisseAI Turvalisus

Turvalised tehisintellekti privaatsuslaiendused 2026. aastal

2026. aasta jaanuaris avastati kaks pahatahtlikku Chrome'i laiendust üle 900 000 kasutajaga, mis saatsid ChatGPT ja DeepSeeki vestlusi iga 30 minuti järel välja.

March 8, 20268 min lugemist
Chrome extension securitymalicious extensionChatGPT privacyAI data protection

2026. aasta jaanuari intsident

Uuendatud 2026. aastaks. 2026. aasta jaanuaris leidsid turvauurijad kaks pahatahtlikku Chrome'i laiendust, millel oli üle 900 000 kasutaja.

Nimed valiti selleks, et meenutada päris tehisintellekti tööriistu:

  • "Chat GPT for Chrome with GPT-5, Claude Sonnet & DeepSeek AI" - üle 600 000 kasutaja
  • "AI Sidebar with Deepseek, ChatGPT, Claude and more" - üle 300 000 kasutaja

Mõlemad tegid sama asja. Nad saatsid täielikud ChatGPT ja DeepSeeki vestlused kaugserverisse iga 30 minuti järel.

Varastatud andmed sisaldasid lähtekoodi, isiklikke andmeid, õiguslikke arutelusid, äriplaane ja rahandusandmeid. Iga kasutajate sisestatud sõnum - sisu, mida nad pidasid privaatseks - läks tundmatutele isikutele.

Kuidas laiendused usaldusmärgid mööda hiilisid

Tööriistad palusid "koguda anonüümseid, mitte-identifitseeritavaid analüütilisi andmeid." See sõnastus kõlab turvaliselt.

Tegelikkuses haarasid need kogu tehisintellekti vestlussisu. Analüütika päring oli kate. Vestluste vargus oli tegelik eesmärk.

See trikk selgitab, miks see oht kasvab pidevalt. Kasutajad, kes ei klikiks andmepüügi lingil, installisid need tööriistad tahtlikult. Need pärinesid Chrome Web Store'ist. Need nägid välja nagu päris tehisintellekti tööriistad.

Laiem muster: 67% tehisintellekti laiendusest kogub sinu andmeid

  1. aasta jaanuari juhtum polnud ainulaadne. Incogni uuring leidis, et 67% tehisintellekti Chrome'i laiendusest kogub aktiivselt kasutajate andmeid. Mitmed sõltumatud uuringud kinnitavad seda arvu.

See on põhiprobleem. Kasutajad installisid tööriistu oma tehisintellekti privaatsuse kaitsmiseks. Kuid enamik neist tööriistadest kogub andmeid, mida nad väidavad kaitsvat.

Turg lõi kategooria - tehisintellekti privaatsustööriistad brauseritele. See ei loonud kasutajatele viisi neid väiteid kontrollida. Tulemus: "kaitsevahend" on oht ise.

Lisateave meie turvalisuse sõnastikus ja vastavuse dokumentides. Saad ka vaadata, kuidas me kategoriseerime tehisintellekti riski meie üksuste andmejuhendis.

Turvaline vs. ebaturvaline arhitektuur

  1. aasta jaanuari juhtum näitab võtmetähtsusega tehnilist lünka. Tea seda enne tehisintellekti brauseri tööriista installimist.

Ebaturvaline - suunatud arendaja serverite kaudu:

  1. Kasutaja kirjutab ChatGPT-sse
  2. Tööriist püüab teksti kinni
  3. Tööriist saadab teksti oma serverisse "töötlemiseks"
  4. Server tagastab töödeldud teksti
  5. Tööriist saadab ChatGPT-sse

Iga päring läbib arendaja süsteemid. Kui tööriist on pahatahtlik, on kogu see sisu ohus.

Turvaline - ainult kohalik töötlemine:

  1. Kasutaja kirjutab ChatGPT-sse
  2. Tööriist püüab teksti kinni
  3. Tööriist töötleb teksti lokaalselt brauseris
  4. Töödeldud tekst läheb otse ChatGPT-sse

Brauserist ei lahku midagi peale lõpliku teksti tehisintellekti teenusele. Arendaja serverid ei ole kunagi teel.

Esita üks küsimus: kus toimub töötlemine? Kui vastus on arendaja enda serverid, lähevad sinu andmed kolmanda osapoole kaudu.

Vaata, kuidas anonym.legal sellega tegeleb meie turvalisuse ülevaates.

Viis küsimust enne tehisintellekti brauseri tööriista installimist

67% tehisintellekti laiendusest kogub kasutajate andmeid. Pahad osalejad saavad avaldada tööriistu Chrome Web Store'is suure installiarvuga. Ülevaatuse protsess on oluline. Need viis küsimust aitavad teha parema valiku.

1. Kus töödeldakse isikuandmete tuvastamist? Kontrolli privaatsuspoliitikat. Kas tuvastamine toimub brauseris või läheb tekst serverisse? Kohalik tähendab, et arendaja ei näe sinu teksti kunagi.

2. Mis juhtub vestlussisuga? Tööriistad, mis "kaitsevad" oma puhveri kaudu suunates, loevad kõike, mida kirjutad. Tööriistad, mis töötlevad teksti lokaalselt, ei tee seda.

3. Kes on kinnitatud avaldaja? 2026. aasta jaanuari tööriistad läbisid Web Store kontrollid. Sellegipoolest on avaldaja selge nimega ja reaalse äriga usaldusväärsem kui anonüümne avaldaja tasuta tööriista ja ilma tuluta.

4. Kas on sõltumatu turvasertifikaat? ISO 27001 katab seda, kuidas tarnija tarkvara ehitab ja tarnib. Sõltumatud auditid kinnitavad väiteid, mida turundus ei suuda.

5. Mis on ärimudel? Selgeim signaal: kuidas tasuta tööriist raha teenib? Kui tuluallikat pole, on sinu andmed tõenäoliselt toode. Tasulise teenusega seotud tööriistal on vähem põhjust andmeid salaja koguda.

Vaata meie KKK-d tavapäraste tehisintellekti brauseri turvalisuse küsimuste jaoks.

Mida intsident paljastab tehisintellekti turvalisuse kohta

Üle 900 000 kasutaja polnud hoolimatud. Need olid spetsialistid, kes tahtsid tehisintellekti tööriistu ja privaatsust. Nad installisid midagi, mis nägi välja nagu päris tooted Chrome Web Store'ist.

Rünnak toimis neljal põhjusel.

Tööriistadel olid päris funktsioonid. Need polnud puhtalt pahatahtlikud. Nad pakkusid tehisintellekti funktsioone koos andmete vargusega. See pani neid tavalise kasutuse ajal välja nägema nagu päris tooteid.

Usaldusmärgid olid võltsitud. Sadade tuhandete kasutajate arv loob sotsiaalse tõestuse. 600 000 installatsiooni nähes installisid rohkem inimesed, mitte vähem.

Loaluba näis turvaline. "Anonüümsed, mitte-identifitseeritavad analüütikad" on keel, mida kasutajad aktsepteerivad lugemata.

Vargus toimus taimeriga. Kolmekümne minuti intervallid püüavad kinni kõik vestlused. Need on ka piisavalt haruldased, et vältida anomaaliapõhiseid turvahoiatusi.

Intsidentijärgne usaldusnurgas

Pärast 2026. aasta jaanuari vajavad ettevõtete IT-meeskonnad rangemat ülevaatust tehisintellekti brauseri tööriistadele.

Minimaalsed nõutavad üksused:

  • Kohalik töötlemine - auditiga kinnitatud, mitte ainult turunduses väidetud
  • Avaldaja identiteet - teadaolev ettevõte reaalse ärimudeli ja ajalooga
  • Sõltumatu turvasertifikaat - ISO 27001 või samaväärne
  • Selge privaatsuspoliitika - mida kogutakse, kuhu see läheb ja millal
  • Ei marsruutimist arendaja serverite kaudu põhiliste privaatsusfunktsioonide jaoks

Suurtele töötajaskondadele tehisintellekti tööriistu juurutavad meeskonnad peaksid ka kaaluma:

  • Auditeerida installitud brauseri laiendused andmete väljafiltreerimise osas
  • Jälgida ootamatuid väliseid ühendusi brauserprotsessidest
  • Hallata heakskiidetud tööriistu Chrome Enterprise poliitika kaudu
  1. aasta jaanuari juhtum oli hoiatus. 67% kogumine tehisintellekti brauseri tööriistades näitab, et hoiatus oli teenitud.

Ettevõtte juhiste saamiseks vaata meie vastavuse keskust ja juhtumiuuringuid. Meie asutaja avaldus selgitab, kuidas ehitasime anonym.legal kohalikku töötlemist silmas pidades algusest peale. Ettevõtte hinnaplaani teabe saamiseks külasta hinnastamislehte.

anonym.legal Chrome tööriist töötleb isikuandmete tuvastamist lokaalselt. Isikuandmete tuvastamise ajal ei jõua vestlussisu anonym.legal serveritesse. Anonümiseerimine toimub brauseris enne muudetud päringu saatmist tehisintellekti teenusele. Avaldanud anonym.legal, ISO 27001 sertifitseeritud.

Allikad

Seotud Artiklid

AI Turvalisus

AI Coding Assistants Leak Production PII

Unit test fixtures with real customer records. Log files with production data for debugging. GitHub found 39 million secrets leaked in 2024.

AI Turvalisus

Internal Wiki PII: Confluence Customer Data

Support teams document processes with screenshots of customer accounts. Over 3 years, that's thousands of GDPR data minimization violations in your.

AI Turvalisus

Screenshot PII: Leaks in Internal Tools

Slack, Teams, Jira, and email regularly receive screenshots containing customer PII. This access-control violation bypasses every DLP tool.

Kas olete valmis oma andmeid kaitsma?

Alustage PII anonüümitamist 285+ üksustüübi abil 48 keeles.

Alusta Tasuta KatsetVaata Funktsioone

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.