DLP مرورگر برای ChatGPT، Claude و Gemini
بهروزرسانی برای ۲۰۲۶.
۷۷٪ از کارمندان دادههای کاری حساس را در chatbotهای هوش مصنوعی paste میکنند. این رقم از گزارش امنیتی GenAI 2025 لایرX میآید. همان گزارش نشان داد که ۳۲٪ از تمام نشتهای داده شرکتی اکنون از طریق ابزارهای هوش مصنوعی انجام میشود. این تهدید یک هک زیرکانه نیست. یک نماینده پشتیبانی سابقه مشتری را در ChatGPT کپی میکند. یک توسعهدهنده متغیرهای محیطی را در Claude dump میکند تا یک باگ را برطرف کند. اینگونه است که داده خارج میشود.
ابزارهای سنتی Data Loss Prevention (DLP) برای این کار ساخته نشدهاند. آنها انتقال فایل، درایوهای USB و پیوستهای ایمیل را زیر نظر دارند. promptهای chatbot هوش مصنوعی در چند ماه یک نسل کامل از ابزارهای امنیتی را دور زدند.
این راهنما پیشگیری از از دست دادن داده هوش مصنوعی مبتنی بر مرورگر را پوشش میدهد. چیستی آن. کدام ابزارها در ۲۰۲۶ آن را برطرف میکنند. نحوه انتخاب مناسب.
چرا DLP سنتی در promptهای هوش مصنوعی شکست میخورد
ابزارهای DLP سازمانی بر اساس مدل تهدید ۲۰۱۵ ساخته شدهاند. داده از طریق ایمیل، انتقال فایل یا USB خارج میشود. ابزارها در شبکه یا endpoint بررسی میکنند، تخلفات را علامتگذاری میکنند، سپس مسدود یا هشدار میدهند.
workflowهای chatbot هوش مصنوعی هر فرضی در آن مدل را نقض میکنند.
Promptها تایپ میشوند، منتقل نمیشوند. DLP سنتی ضربههای کیبورد یا محتوای clipboard را در سطح مرورگر به صورت واقعی بررسی نمیکند.
کانال HTTPS است. DLP شبکه ترافیک رمزگذاریشده به chat.openai.com را میبیند. میتواند کل دامنه را مسدود کند، اما بدون overhead بازرسی SSL نمیتواند promptها را بخواند.
پاسخهای هوش مصنوعی حاوی داده مشتق هستند. حتی اگر آنچه وارد میشود را شناسایی کنید، هوش مصنوعی ممکن است PII را خلاصه یا قالببندی مجدد کند. DLP سنتی ممکن است این را در خروجی از دست بدهد.
workflow مشروع است. کارمندان از ChatGPT استفاده میکنند زیرا کارشان را سرعت میدهد. مسدود کردن آن adoption را میکشد. Samsung این را ثابت کرد: پس از ممنوعیت آنها، مهندسان به دستگاههای شخصی سوئیچ کردند.
DLP مرورگر برای هوش مصنوعی چیست
DLP مرورگر برای هوش مصنوعی درون مرورگر اجرا میشود. ابزارهای چت هوش مصنوعی را هدف قرار میدهد. متن را قبل از ارسال به هوش مصنوعی شناسایی میکند.
یک چرخه کامل اینگونه کار میکند:
- متنی را در ChatGPT، Claude، Gemini یا DeepSeek تایپ یا paste میکنید.
- DLP مرورگر آن را قبل از فعال شدن دکمه ارسال دریافت میکند.
- یک اسکن اجرا میشود — ۲۸۵+ نوع موجودیت، ۴۸ زبان.
- موارد پیداشده را تأیید میکنید و نحوه پنهان کردن آنها را انتخاب میکنید.
- متن پاک به هوش مصنوعی میرود. هوش مصنوعی هرگز PII واقعی را نمیبیند.
- هوش مصنوعی با استفاده از tokenهای کدگذاریشده پاسخ میدهد (مثلاً
<PERSON_1>نه «John Smith»). - افزونه tokenها را قبل از خواندن پاسخ برمیگرداند.
کارمندان آزادانه از ابزارهای هوش مصنوعی استفاده میکنند. داده واقعی هرگز به هوش مصنوعی نمیرسد. برای اطلاعات بیشتر درباره جلوگیری از نشت داده هوش مصنوعی در منبع، به پیشگیری از PII در لحظه واقعی: جلوگیری از نشت داده هوش مصنوعی مراجعه کنید.
ابزارهای DLP مرورگر برای هوش مصنوعی در ۲۰۲۶
۱. افزونه Chrome anonym.legal — رمزنگاری قابل بازگشت
پلتفرمها: ChatGPT، Claude، Gemini، DeepSeek، Perplexity، Abacus.ai
نحوه کارکرد: افزونه Chrome anonym.legal به عنوان یک content script روی هر platform هوش مصنوعی اجرا میشود. روی ارسال کلیک کنید و افزونه رویداد را دریافت میکند. متن شما را به API PII anonym.legal میفرستد — در EU میزبانی میشود، ISO 27001 گواهیشده، روی سرورهای Hetzner آلمان. یک صفحه preview PII پیداشده را فهرست میکند. نحوه پنهان کردن آن را انتخاب میکنید. متن پاک به هوش مصنوعی میرود. وقتی هوش مصنوعی پاسخ میدهد، افزونه رمزگشایی میکند و مقادیر اصلی را علامتگذاری میکند.
چه چیزی آن را متمایز میکند:
رمزنگاری قابل بازگشت (AES-256-GCM): هر ابزار DLP مرورگر دیگری PII را redact میکند. anonym.legal آن را با کلید شما رمزگذاری میکند. هوش مصنوعی tokenهای کدگذاریشده میبیند. شما مقادیر اصلی را میبینید که در مرورگرتان رمزگشایی شدهاند. هیچ چیز از دست نمیرود.
بازیابی پاسخ: افزونه پاسخهای هوش مصنوعی را در لحظه واقعی زیر نظر دارد. رمزگشایی را بعد از اینکه هوش مصنوعی تمام میکند اجرا میکند. مقادیر اصلی با رنگ سبز با badge، tooltip و دکمه کپی ظاهر میشوند.
نیازی به agent ندارد: افزونه Chrome را در کمتر از ۵ دقیقه نصب کنید. بدون agentهای endpoint. بدون تنظیم proxy. بدون تیکت IT.
۲۸۵+ نوع موجودیت، ۴۸ زبان: دو موتور با هم اسکن میکنند — قانونمحور به علاوه مدلهای AI/NLP. این تنها ابزار DLP مرورگر با پشتیبانی کامل از عربی، عبری، ژاپنی، چینی و کرهای است.
استقرار سازمانی: از طریق Group Policy، MDM یا مرورگرهای مدیریتشده مستقر کنید. presetها را اجرا کنید، کلیدها را قفل کنید و policyها را از یک admin مرکزی تنظیم کنید. بستهبندی سفارشی با برندینگ سازمانی در دسترس است.
قیمت: از €۳/ماه شروع میشود. تنها راهحل DLP هوش مصنوعی مرورگر با قیمتگذاری مناسب برای کاربران فردی و تیمهای کوچک.
۲. Nightfall AI — DLP سازمانی چند لایه
پلتفرمهای مرورگر: ChatGPT، Copilot، Gemini، DeepSeek، Grok، Claude — در Chrome، Edge، Firefox، Safari و مرورگرهای مخصوص هوش مصنوعی (Comet، Atlas، Arc، Brave)
پلتفرمهای SaaS: Slack، Google Drive، GitHub، Salesforce، Zendesk، Microsoft 365
پلتفرمهای Endpoint: انتقال USB، چاپ، clipboard، همگامسازی ابری، عملیات Git/CLI، برنامههای هوش مصنوعی دسکتاپ
نحوه کارکرد: Nightfall در مارس ۲۰۲۶ امنیت مرورگر را راهاندازی کرد. آپلود فایل، paste کلیپبورد، ارسال فرم و اسکرینشات را در تمام مرورگرهای اصلی شناسایی میکند. نیازی به proxy نیست. ارسالهایی که داده حساس دارند را قبل از خروج مسدود میکند. برای SaaS apps، Nightfall داده را در حین انتقال و در حال استراحت اسکن میکند. اصلاحات خودکار هستند. هوش مصنوعی زمینه کسبوکار را طبقهبندی میکند. بینایی کامپیوتری اسکرینشاتها را میخواند.
نقاط قوت: مسدودسازی در Chrome، Edge، Firefox، Safari و مرورگرهای هوش مصنوعی. SaaS، مرورگر و endpoint را در یک ابزار پوشش میدهد. طبقهبندی هوش مصنوعی. بینایی کامپیوتری به علاوه OCR. گزارشهای انطباق سازمانی. اصلاحات خودکار. لینکهای SIEM. ردیابی منشأ داده.
محدودیتها: مسدودسازی-محور — تمام ارسالهای حساس متوقف میشوند. این workflowهای هوش مصنوعی را مختل میکند و میتواند کارمندان را به دستگاههای شخصی هدایت کند. بازیابی پاسخ ندارد. رمزنگاری قابل بازگشت ندارد. قیمتگذاری فقط سازمانی. پوشش زبانی فهرست نشده. میزبانی داده در ایالات متحده. برای استفاده سراسری سازمان نیاز به استقرار IT دارد.
۳. Endpoint Protector (Netwrix) — DLP مرورگر به علاوه Agent Endpoint
پلتفرمها: ChatGPT، Copilot، Gemini، Claude
نحوه کارکرد: Endpoint Protector از agentهای endpoint استفاده میکند. آنها clipboard و انتقال فایل را زیر نظر دارند. یک حالت DLP مرورگر محتوا را در برنامههای وب از جمله ابزارهای چت هوش مصنوعی رهگیری میکند. کنترل دستگاه USB نیز شامل میشود.
نقاط قوت: پوشش کامل endpoint به علاوه مرورگر. کنترل دستگاه در کنار DLP هوش مصنوعی. فروشنده سازمانی با سابقه انطباق.
محدودیتها: نیاز به agent endpoint روی تمام دستگاهها دارد — هفتهها کار IT. فقط مسدودسازی — بدون پنهان کردن PII، بدون بازیابی پاسخ. قیمتگذاری سازمانی بالا. فقط شناسایی انگلیسی.
۴. Teramind — تحلیل رفتاری و نظارت بر هوش مصنوعی
پلتفرمها: ChatGPT، Gemini، Claude
نحوه کارکرد: Teramind رفتار کارمندان را در برنامههای وب از جمله ابزارهای چت هوش مصنوعی نظارت میکند. ردیابی میکند کاربران چه چیزی تایپ، کپی-paste و ارسال میکنند. تخلفات policy در لحظه واقعی علامتگذاری یا مسدود میشوند. جلسات برای بررسی بعدی ضبط میشوند.
نقاط قوت: تحلیل رفتاری عمیق. شناسایی تهدیدات داخلی. هشدار در لحظه واقعی. ضبط جلسه برای تحقیقات.
محدودیتها: نظارت بر کارمند نگرانیهای GDPR را در اتحادیه اروپا ایجاد میکند. PII را پنهان نمیکند — فقط نظارت و مسدود میکند. تنظیم سازمانی پیچیده. فقط انگلیسی.
۵. Microsoft Purview — DLP Endpoint سازمانی
پلتفرمها: سایتهای هوش مصنوعی با دسترسی مرورگر روی endpointهای Windows که در Purview ثبتنام شدهاند
نحوه کارکرد: endpointهای Windows را در Microsoft Purview ثبتنام کنید. سپس policyهای DLP endpoint را اعمال کنید. این policyها میتوانند کاربران را از paste کردن داده حساس در سایتهای هوش مصنوعی از طریق Chrome، Edge یا Firefox هشدار دهند یا مسدود کنند.
نقاط قوت: یکپارچهسازی بومی با stack Microsoft. گزارشگیری کامل. شامل M365 E5.
محدودیتها: فقط Windows. نیاز به M365 E5 دارد (۵۴ دلار/کاربر/ماه+). فقط مسدود، هشدار یا اعلان — بدون پنهان کردن PII. بدون بازیابی پاسخ.
مقایسه: DLP مرورگر برای هوش مصنوعی در ۲۰۲۶
| ویژگی | anonym.legal | Nightfall | Endpoint Protector | Teramind | Microsoft Purview |
|---|---|---|---|---|---|
| DLP ChatGPT | ✓ | ✓ | ✓ | ✓ | ✓ |
| DLP Claude | ✓ | ✓ | ✓ | ✓ | ✓ |
| DLP Gemini | ✓ | ✓ | ✓ | ✓ | ✓ |
| DLP DeepSeek | ✓ | ✓ | ✗ | ✗ | ✗ |
| DLP Perplexity | ✓ | ✗ | ✗ | ✗ | ✗ |
| De-anonymize پاسخ | ✓ | ✗ | ✗ | ✗ | ✗ |
| رمزنگاری قابل بازگشت | ✓ | ✗ | ✗ | ✗ | ✗ |
| استقرار بدون agent | ✓ | اختیاری | ✗ الزامی | ✗ الزامی | ✗ الزامی |
| زمان استقرار | ۵ دقیقه | روزها | هفتهها | هفتهها | هفتهها |
| زبانها | ۴۸ | انگلیسی | انگلیسی | انگلیسی | انگلیسی |
| طراحی منطبق با GDPR | ✓ | ✓ | ✓ | ⚠ | ✓ |
| قیمت شروع | €۳/ماه | ~۱۰۰۰ دلار/ماه | سازمانی | سازمانی | M365 E5 |
یادداشتهای پلتفرم: ChatGPT، Claude، Gemini، DeepSeek
DLP ChatGPT
ChatGPT روزانه بیش از ۱۰۰ میلیون پرسوجو پردازش میکند. کارمندان از آن برای نوشتن ایمیل استفاده میکنند. اسناد را خلاصه میکنند و پاسخهای پشتیبانی مینویسند. همه این وظایف به طور طبیعی شامل PII و داده محرمانه هستند. افزونه anonym.legal در عنصر #prompt-textarea ChatGPT قبل از فعال شدن دکمه ارسال رهگیری میکند. شناسایی در ۲۰۰ تا ۸۰۰ میلیثانیه اجرا میشود. رمزگشایی پس از stream یک و نیم ثانیه پس از آخرین token فعال میشود. این اطمینان میدهد که پاسخ کامل قبل از پردازش شناسایی شده باشد.
DLP Claude
Claude.ai از ProseMirror استفاده میکند. این یک ویرایشگر متن غنی است. وضعیت آن از DOM جدا است. دستکاری استاندارد DOM وضعیت ProseMirror را بهروزرسانی نمیکند. افزونه از document.execCommand('insertText') برای بهروزرسانی صحیح وضعیت ویرایشگر استفاده میکند. همچنین stopImmediatePropagation() را فراخوانی میکند تا handler keydown خود Claude را مسدود کند. ناوبری SPA Claude از /new به /chat/xxx پس از اولین پیام منتقل میشود. افزونه cache رمزگشایی را در طول reset کانکتور حفظ میکند تا این را پردازش کند.
DLP Gemini
Google Gemini از یک کامپوننت ویرایشگر سفارشی مبتنی بر Quill (rich-textarea) استفاده میکند. افزونه برای استخراج متن به عنصر داخلی .ql-editor دسترسی دارد. کانتینر پاسخ main.chat-app است، نه chat-history که sidebar است.
DLP DeepSeek
DeepSeek Chat به سرعت رشد کرده، به خصوص پس از انتشار DeepSeek-R1. اکنون در تیمهای مهندسی و تحقیقاتی رایج است. اکثر فروشندگان DLP قدیمی پشتیبانی از DeepSeek را اضافه نکردهاند. افزونه anonym.legal DeepSeek را در کنار پلتفرمهای هوش مصنوعی ثابت پوشش میدهد.
GDPR و HIPAA: قانون چه میخواهد
GDPR ماده ۲۵ — به حداقل رساندن داده
GDPR از شما میخواهد پردازش داده شخصی را به حداقل برسانید. ارسال PII به ارائهدهندگان هوش مصنوعی ماده ۲۵ را نقض میکند. سیستمهای هوش مصنوعی لاگهای تعامل را نگه میدارند. ممکن است از داده برای آموزش مدل استفاده کنند. این بدخواهی نیست. اینگونه است که این سیستمها کار میکنند.
Prompt را قبل از رسیدن به هوش مصنوعی پاک کنید. این رفع صحیح است.
PII را کاملاً حذف کنید (Replace، Redact، Mask): تمام راههای ارتباط داده با یک شخص را حذف کنید. خروجی ممکن است از حوزه GDPR طبق Recital 26 خارج شود. هوش مصنوعی دادهای دریافت میکند که دیگر داده شخصی نیست.
PII را رمزگذاری کنید (AES-256-GCM): این ماده ۴(۵) و ماده ۲۵ را برآورده میکند. هوش مصنوعی فقط tokenهای کدگذاریشده میبیند. فقط دارنده کلید مقادیر اصلی را پس میگیرد. برای بررسی عمیقتر نحوه کمک شناسایی PII چندزبانه به انطباق GDPR، به شناسایی PII چندزبانه برای انطباق GDPR مراجعه کنید.
Safe Harbor HIPAA برای هوش مصنوعی بالینی
تیمهای بهداشتی از هوش مصنوعی برای یادداشتهای بالینی، یادگیری بالینی و وظایف اداری استفاده میکنند. قبل از خروج داده از سازمان، تمام ۱۸ شناسه Safe Harbor HIPAA باید حذف شوند (45 CFR § 164.514(b)). این فهرست شامل نامها، تاریخها، شمارههای تلفن، آدرسهای ایمیل، SSNها و شمارههای پرونده پزشکی میشود. افزونه anonym.legal تمام ۱۸ را پوشش میدهد. workflowهای هوش مصنوعی بالینی میتوانند بدون مواجهه PHI اجرا شوند.
درس Samsung
در مه ۲۰۲۳، Samsung ChatGPT را ممنوع کرد. سه تیم مهندسی کد منبع، یادداشتهای جلسه داخلی و نقشههای سختافزاری را در یک ماه آپلود کرده بودند. تا زمانی که حوادث کشف شد، داده قبلاً به سرورهای OpenAI رسیده بود. مسدودسازی دیر آمد.
مدل صحیح برای DLP هوش مصنوعی: قبل از رسیدن داده به هوش مصنوعی ناشناسسازی کنید، پاسخ را de-anonymize کنید. کارمندان آزادانه از هوش مصنوعی استفاده میکنند. ارائهدهنده هوش مصنوعی فقط tokenها میبیند. افزونه مرورگر مقادیر اصلی را قبل از نمایش بازیابی میکند. این تفاوت بین مسدود کردن یک کانال و ایمن کردن کانال است.
نحوه تنظیم DLP مرورگر در ۵ دقیقه
برای تنظیم anonym.legal به عنوان DLP مرورگر برای ابزارهای هوش مصنوعی:
- در anonym.legal ثبتنام کنید — سطح رایگان شامل ۲۰۰ توکن تحلیل در ماه است.
- افزونه Chrome را از طریق صفحه تماس درخواست کنید (انتشار Chrome Web Store در حال پیشرفت است).
- از طریق Chrome Developer Mode نصب کنید — Load Unpacked، نیازی به wizard نیست.
- با اعتبارنامه حساب anonym.legal وارد شوید.
- حفاظت را روی هر سایت هوش مصنوعی از popup افزونه فعال کنید (ChatGPT، Claude، Gemini).
- یک preset انطباق انتخاب کنید — GDPR Standard، HIPAA Medical، Financial Services یا سفارشی.
- تمام — افزونه از پیام بعدی شما رهگیری میکند.
برای استقرار سازمانی، با anonym.legal تماس بگیرید. آنها یک نسخه بستهبندی سفارشی با Group Policy، MDM، presetهای اجباری و لاگگیری ممیزی ارائه میدهند. برای راهنمای فنی عمیقتر، راهنمای ما درباره پیشگیری از PII در لحظه واقعی برای workflowهای هوش مصنوعی را ببینید.
نتیجهگیری
DLP هوش مصنوعی بومی مرورگر رفع صحیح برای مواجهه داده مبتنی بر prompt است. ابزارهای سنتی DLP نمیتوانند این مشکل را حل کنند. از این پنج معیار برای ارزیابی هر ابزار DLP مرورگر برای هوش مصنوعی استفاده کنید:
- آیا در سطح مرورگر رهگیری میکند، نه فقط شبکه؟
- آیا promptها را ناشناس میکند، یا فقط مسدود و هشدار میدهد؟
- آیا پاسخهای هوش مصنوعی را de-anonymize میکند و زمینه اصلی را بازیابی میکند؟
- آیا پلتفرمهایی که تیم شما استفاده میکند را پوشش میدهد — از جمله ابزارهای جدیدتر مانند DeepSeek و Perplexity؟
- آیا میتواند در دقیقهها، نه هفتهها مستقر شود؟
افزونه Chrome anonym.legal هر پنج را برآورده میکند. این تنها ابزار DLP مرورگر با رمزنگاری قابل بازگشت و de-anonymize پاسخ است. تیم شما آزادانه از هوش مصنوعی استفاده میکند. هیچ دادهای مواجه نمیشود.
منابع
- گزارش امنیتی GenAI 2025 لایرX — ۷۷٪ از کارمندان داده حساس را در ابزارهای هوش مصنوعی paste میکنند؛ ۳۲٪ از سرقت داده از طریق هوش مصنوعی
- The Verge، مه ۲۰۲۳ — حادثه نشت کد منبع Samsung ChatGPT
- GDPR Recital 26 — معیارهای ناشناسسازی؛ ماده ۴(۵) — تعریف pseudonymization؛ ماده ۲۵ — به حداقل رساندن داده
- روش Safe Harbor HIPAA، 45 CFR § 164.514(b) — ۱۸ شناسه PHI لازم برای de-identification
- آزمایش شناسایی PII anonym.legal — دقت ۹۵.۵٪، ۴۲/۴۴ آزمون مستقل