anonym.legal

By · Last updated 2026-06-05

Itzuli BlogeraAI Segurtasuna

AI Kodeketa Laguntzaileek Ekoizpen PII Ihes Egiten Dute

Benetako bezero-erregistroekin unitate-proba tinko-balioak. Arazketa egiteko ekoizpen-datuak dituzten log-fitxategiak. GitHubek 2024an 39 milioi sekretu ihes zirela aurkitu zuen.

June 5, 20268 min irakurri
AI coding assistantproduction PIIdeveloper securityMCP ServerGitHub Copilot

Zergatik AI Kodeketa Tresnek Benetako Bezero Erregistroak Ihes Egiten Duten

Garapen-taldeetatik PII ihes gehienak ez dira urraketak. Eguneroko lanaren albo-efektuak dira.

Ekoizpen-datuak probak-inguruneetan sartzen dira. Handik, AI kodeketa-tresnetara iristen dira - eta haiek exekutatzen dituzten saltzaileengana.

GitHub-en 2025eko ikerketak hau baieztatu zuen. Garatzaileek 39 milioi sekretu ihes egin zituzten 2024an errep. publiko. API gakoak eta datu pertsonalak agertu ziren. Gehienak proba-tinko-balioetik eta arazketa-logetatik etorri ziren. Ikusi gure segurtasun-babeseko ikuspegia taldeek arrisku hori nola jorratzen duten jakiteko.

2026rako eguneratua: AI kodeketa-tresna hartzea azkar hazi da. Esposizio-gainazala ere bai.

Nola Sartzen diren Benetako Erregistroak Garapen-Inguruneetan

Bideak arruntak eta iragargarriak dira.

Proba-tinko-balio fitxategiak: Unitate-probek sarrera errealista behar dute. Bidea azkena ekoizpeneko errenkadak kopiatuz. Garatzaileak "geroago" ordezkatzeko asmoa du. Geroagoa gutxitan heldu ohi da. Benetako posta elektronikoak eta kontu IDak dozena commit bidez gelditzen dira.

Arazketa-logak: Akats bat ezin da lokalki erreproduzitu. Garatzaile batek log bat ateratzen du sistema bizitik. Log horrek bezero-posta elektronikoak, IP helbideak eta saio-tokenak ditu. Fitxategia proiektuko erroan dago eta konpromezua hartzen du.

Migrazio-scriptak: Eskema-aldaketek proba-inguruneetarako lagin-errenkadak dituzte. DBA batek benetako errenkadak kopiatzen ditu lagin gisa. Scriptak - benetako bezero-sarrerarekin - bertsio-kontrolera sartzen da.

Dokumentazio eta README fitxategiak: Erabilera-adibideek sarrera "errealista" erabiltzen dute. Errealista benetako erabiltzaileetatik kopiatua esan nahi du maiz. README benetako eskaera IDak eta kontu-helbideekin bukatzen da.

Konfigurazio-fitxategiak: Garapen-konfigurazioak benetako bezero-datuen staging-gakoak daramate. Fitxategi hauek barruan sekretuak dituzten konpromezua hartzen dute.

AI Laguntzaileek Zehazki Zer Jasotzen Duten

Garatzaileek AI kodeketa-tresnak erabiltzen dituztenean, hainbat kanalek informazio pribatua bidaltzen dute.

Fitxategi-testuinguru osoa: Tresnak fitxategi osoak jaso ditzake. Hori benetako sarrerak dituzten proba-tinko-balioak, log-laburpenak edo gakoak dituzten konfigurazio-fitxategiak dakar.

Arbeleko itsaspena: Garatzaileek kodea txat berrikuspenerako itsasten dute. Inguruko testuingurua maiz bezero xehetasunak dauzka.

IDE indizatzea: Cursor eta GitHub Copilot testuingururako fitxategi lokalak indizatzen dituzte. Benetako errenkadak dituzten proiektuko fitxategi bat indize horren parte bihurtzen da.

Errore-mezuak: Garatzaileek arazketa egitean piladak AI txatean itsasten dituzte. Piladek bezero IDak eraman ditzakete.

Kanal bakoitzak AI saltzailearen APIra informazio pribatua bidaltzen du. Honek GDPR eta HIPAA arriskua sortzen du. Ikusi gure betetze-ikuspegia arau hauek garapen-tresnetara nola aplikatzen diren jakiteko.

GDPR eta HIPAA: Garapen-Taldeen Gako-Datuak

Arau hauek AI kodeketa-tresna erabilerari aplikatzen zaizkie.

GDPR 28. artikulua - Prozesatzailea: Informazio pertsonala AI saltzaile bati bidaltzeak saltzaile hori datu-prozesatzaile bihurtzen du. Datuen Prozesatze Hitzarmena beharrezkoa da. Saltzaile gehienek DPAak eskaintzen dituzte. Erosketa formal baten kanpotik AI tresnak erabiltzen dituzten garatzaileek baliteke sinatutako DPArik ez edukitzea.

GDPR 6. artikulua - Oinarri Legitimoa: Proba-testatzeak oinarri legitimoa behar du informazio pertsonala prozesatzeko. Interes legitimoa aplika daiteke - baina oreka-proba behar du. Faltsuzko errenkadak funtzionatu zutenean benetako bezero-errenkadak erabiltzeak proba hori huts egiten du.

HIPAA - BAA: Osasungintzako garatzaileek Negozio Elkartze Hitzarmena (BAA) behar dute AI saltzailearekin. OpenAI, Anthropic eta GitHub Copilot-ek BAAak eskaintzen dituzte enpresa-erabiltzaileentzat. Enpresa-plan baten kanpoko banako erabilera baliteke ez egotea estalirik.

Minimizazioa: Proba-tinko-balioetan benetako bezero-sarrerek minimizazio-araua hausten dute. Faltsuzko errenkadek helburu bera betetzen dute pribatutasun-kosturik gabe.

Gure FAQak galdera arruntak arau hauen inguruan estaltzen ditu.

Garapen-Taldeen Praktika Urratsak

Hasi ikuskaritza azkar batekin. Talde gehienek lehen orduan arazoak aurkitzen dituzte.

Berehalako ekintzak:

  1. Proba-tinko-balioak ikuskaritu - bilatu posta elektroniko, telefono eta ID ereduak.
  2. Egiaztatu proiektuko direktorioetatik ekoizpen-log fitxategiak bezero IDengatik.
  3. Eguneratu .gitignore log-fitxategiak eta inguruneko datu-fitxategiak kanpoan uzteko.
  4. Ordezkatu benetako sarrerak Faker edo Mimesis bezalako sintesi-sorgailuekin.

Ikuskaritzak berak maiz metatutako esposizio urteak agerian uzten ditu. Talde batek bezero-posta elektronikorik aurkitu zuen hiru urtetan sei garatzaile ezberdinak sortutako 14 proba-fitxategietan. Garatzaileetatik bat ere ez zen han uzteko asmorik.

AI laguntzaile saio ororen aurretik:

  • Exekutatu PII detekzioa fitxategien gainean partekatu aurretik.
  • IDE tresnetarako Cursor bezalako: kanpoan utzi proba direktorioak indizatzetik.
  • Txat-oinarritutako tresnetarako: berrikusi itsatsitako kodea informazio pertsonal baten bila.

MCP Zerbitzari gehigarria:

anonym.legal MCP Zerbitzariak PII detekzioa Claude Desktop eta Cursor-era konektatzen du. Urratsak sinpleak dira:

  1. Ireki fitxategia editore batean.
  2. Deitu MCP Zerbitzaria: detektatu PII fitxategian.
  3. Berrikusi markatutako elementuak.
  4. Ezabatu lekuan.
  5. Partekatu fitxategi garbia AI tresnekin.

Honek fitxategi bakoitzeko 30 segundo baino gutxiago gehitzen du. "PII egiaztatu" eskuzko karga kentzen du. Ikusi gure prezioko planak MCP Zerbitzariko sarbidea zure taldeari gehitzeko.

Sarrera sintetikoak - konponketa iraunkorra:

Inoiz ez erabili benetako errenkadak proba-tinko-balioetan. Liburutegi sintetikoek sarrera errealista sortzen dute benetako erabiltzaileak esposatu gabe. Faker (Python/Node.js), Factory Boy (Python) eta Bogus (.NET) edozein eskemarako sarrera baliogarriak sortzen dituzte. Liburutegi bakoitzak hizkuntza-lekua ereiteko eta izen, posta elektroniko eta telefono-zenbaki errealisten irteerak sortzeko aukera ematen dizu - guztiak faltsuak.

Kasu Azterketa: SaaS Taldeak Benetako Sarrerak Cursoren

Aurkikuntza GDPR ikuskaritza batean zetorren. Cursor erabiltzen zuen SaaS taldeak benetako bezero-posta elektronikoak aurkitu zituen unitate-proba tinko-balioetan. Garatzaile batek 50 bezero-errenkada kopiatu zituen ekoizpenetik 18 hilabete lehenago. Errenkada horiek bertsio-kontrolean konpromezua hartu zuten eta Cursor-ek indizatu zituen.

18 hilabetetan, Cursorrek tinko-balio fitxategiak 8 garatzaile IDEren saioan zehar gutxi gorabehera 11.000 aldiz sartu zen. Saio bakoitzak tinko-balio edukia Cursor APIra bidali ahal zuen.

Taldeak egin zuena:

  1. 50 benetako errenkada guztiak Faker-oinarritutako sarrera faltsuekin ordezkatu.
  2. .gitignore eguneratu log-fitxategiak kanpoan uzteko.
  3. MCP Zerbitzaria gehitu kodea partekatu aurretik PII detekzio bai-eskaerako.
  4. Arau bat ezarri: ekoizpen-sarrerak ez konpromezuturik fitxategi batean.

MCP Zerbitzaria aldaketa nagusia izan zen. Garatzaileek orain detekzioa exekutatzen dute Cursor saio aurretik bezero-kodearen gainean. Zero ahalegin gehigarri MCP dei baino gain.

Irakurri gehiago gure kasu azterketen atalean.

Iturburuak

GitHub Segurtasun Ikerketa 2024.

GDPR 28. artikulua.

HIPAA BAA Gidaliburua.

Lotutako Artikuluak

AI Segurtasuna

Internal Wiki PII: Confluence Customer Data

Support teams document processes with screenshots of customer accounts. Over 3 years, that's thousands of GDPR data minimization violations in your.

AI Segurtasuna

Screenshot PII: Leaks in Internal Tools

Slack, Teams, Jira, and email regularly receive screenshots containing customer PII. This access-control violation bypasses every DLP tool.

AI Segurtasuna

PII Highlighting vs Compliance Training

62% of employees who use AI tools for customer data work 'sometimes' forget to remove PII first. Here's why automatic highlighting removes the compliance.

Prest zure datuak babesteko?

Hasi PII anonimizatzen 285+ entitate mota 48 hizkuntzatan.

Hasi Probako BertsioaIkusi Ezaugarriak

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.