כלי הפרטיות שגונב נתונים
בדצמבר 2025, כלי Chrome שהוצגו בשיווק ככלי הגנת פרטיות AI נתפסו מרגלים. הם לכדו היסטוריות שיחה מלאות. הם שלחו תוכן זה לשרתים שנשלטו על ידי תוקפים.
זהו הפרדוקס המרכזי: כלי הפרטיות הפך לאיום.
Caviard.ai מצאה כי 67% מתוספי Chrome לבינה מלאכותית אוספים נתוני משתמשים. חלקם מגלים זאת. אחרים לא. אך הגילוי אינו הבעיה האמיתית. הבעיה האמיתית היא האם עיצוב הכלי הופך את גניבת הנתונים לבלתי אפשרית מבחינה מבנית — או רק אסורה על פי מדיניות.
דוח GDPR 2025 של DLA Piper מצא עלייה של 34% בסכומי הקנסות הממוצעים ב-2024 לעומת 2023. מגמה זו מעלה את הסיכון עבור כל קצין הגנת מידע המאשר כלי דפדפן לצוות.
כיצד נראה עיבוד מקומי אמיתי
כלי עיבוד מקומי אמיתי מריץ את מודל הזיהוי שלו בתוך הדפדפן. המודל מצורף להתקנה או מורד פעם אחת. לאחר מכן, שום תוכן לעולם אינו הולך לשרתי המפרסם.
תעבורת הרשת היחידה היוצאת היא הבקשה המאונונמת לשירות ה-AI ובקשות דפדפן שגרתיות כמו בדיקות עדכון. תוכן לעולם אינו חוצה את הרשת של המפרסם.
עיצוב זה ניתן לבדיקה ואימות. הבטחות מפרסם לא ניתן לסמוך עליהן בפני עצמן. אירועי דצמבר 2025 הוכיחו נקודה זו.
כיצד לבדוק כל כלי פרטיות
אל תשאל האם המפרסם מבטיח פרטיות. שאל האם העיצוב הופך את גניבת הנתונים לבלתי אפשרית.
בדיקת רשת: התקן את הכלי ברשת נצפית. הדבק מזהים אישיים מזויפים לחשבון AI של בדיקה. צפה בכל החיבורים היוצאים למשך 30 שניות. אם כל תעבורה הולכת לדומיין שאינו פלטפורמת ה-AI או שרת העדכון של הכלי, התוכן שלך מנותב למקום אחר.
בדיקת קוד: תוספי Chrome הם חבילות JavaScript. ניתן לבצע עבורן הנדסה לאחור. כלי עיבוד מקומי אמיתי אין לו קריאות רשת בקוד הזיהוי שלו. אין fetch, אין XMLHttpRequest, אין WebSocket במודול הזיהוי — זה סימן טוב. נוכחותם היא סיבה לפסילה.
בדיקת הרשאות: Chrome Manifest V3 מחייב הרשאות מפורשות. כלי עיבוד מקומי אינו זקוק להרשאות לשליחת תוכן מחוץ לדפדפן. גישה ללוח הגזירים בצירוף הרשאות רשת רחבות — ללא סיבה ברורה — הוא דגל אדום.
בדיקת מפרסם: מעמד מפרסם מאומת ב-Chrome Web Store מחייב הוכחת דומיין ומסמכי זהות. מפרסמים חדשים עם דומיינים חדשים המוכרים כלי פרטיות AI דורשים בדיקה יתרה. התוקפים מדצמבר 2025 השתמשו בזהויות קצרות טווח כדי להימנע מגילוי.
900,000 משתמשים נפגעו
ניתוח Astrix Security מדצמבר 2025 מצא 900,000 משתמשים שנפגעו מתוספים שהתחזו לכלי פרטיות. אותם משתמשים בחרו בכלים אלה כדי להגן על הפגישות ה-AI שלהם. הכלים עשו את ההפך.
פגישת עובד אחת שנפגעה יכולה לחשוף רשומות לקוחות, קבצים משפטיים ותוכניות פנימיות. סקירת האבטחה והציות מסבירה כיצד שרשרת הסיכון הזו עובדת.
בחירת כלי שניתן לאמת
תוסף ה-Chrome של anonym.legal מריץ זיהוי PII לחלוטין בתוך הדפדפן. שום דבר אינו נשלח לשרתי anonym.legal בשום שלב.
| תוספים זדוניים | anonym.legal | |
|---|---|---|
| עיבוד | שרתים מרוחקים | דפדפן בלבד |
| היקף גישה | לכידת פגישה מלאה | רק כאשר פעיל |
| ניתן לאימות על ידי המשתמש | לא | כן — בדוק את הרשת |
כיצד זה עובד:
- אתה מדביק טקסט עם מזהים אישיים
- הזיהוי רץ באופן מקומי בדפדפן שלך
- שמות ומזהים הופכים לאסימונים — "ישראל ישראלי" הופך ל-
[PERSON_1] - הטקסט הנקי הולך ל-AI
- תשובת ה-AI משוחזרת עבורך באופן מקומי
מרכז הציות מכסה את רשימת הישויות המלאה ופרטי ביקורת ארגוניים.