विश्वास का उलटा
दिसंबर 2025 और जनवरी 2026 के क्रोम एक्सटेंशन घटनाओं ने एआई गोपनीयता एक्सटेंशन बाजार में एक विश्वास संकट पैदा किया। एक्सटेंशन जो अपने आप को एआई बातचीत के लिए गोपनीयता संरक्षण उपकरण के रूप में प्रस्तुत करते थे - उनका प्राथमिक विपणन दावा उपयोगकर्ता डेटा की सुरक्षा था - पता चला कि वे निगरानी उपकरण के रूप में कार्य कर रहे थे, पूरी बातचीत के इतिहास को कैप्चर कर रहे थे और उन्हें हमलावर-नियंत्रित सर्वरों पर भेज रहे थे।
Caviard.ai के विश्लेषण में पाया गया कि 67% एआई क्रोम एक्सटेंशन सक्रिय रूप से उपयोगकर्ता डेटा एकत्र करते हैं। इस आंकड़े में दोनों प्रकार के विश्लेषण संग्रह शामिल हैं (वे एक्सटेंशन जो अपनी गोपनीयता नीतियों में डेटा संग्रह का उल्लेख करते हैं) और अप्रकाशित संग्रह (वे एक्सटेंशन जो डेटा एकत्र नहीं करने का दावा करते हैं लेकिन करते हैं)। उपयोगकर्ताओं के लिए जो विशेष रूप से गोपनीयता संरक्षण के लिए इन एक्सटेंशनों को स्थापित करते हैं, महत्वपूर्ण अंतर यह नहीं है कि क्या यह खुलासा है - यह है कि क्या एक्सटेंशन की वास्तुकला डेटा निष्कासन को संरचनात्मक रूप से असंभव बनाती है, या केवल नीति-प्रतिबंधित।
DLA Piper की 2025 की GDPR वार्षिक रिपोर्ट ने 2024 में 2023 की तुलना में औसत GDPR जुर्माना राशि में 34% की वृद्धि का दस्तावेजीकरण किया। प्रवर्तन वातावरण DPOs के लिए वित्तीय दांव पैदा करता है जो ब्राउज़र एक्सटेंशन तैनाती को मंजूरी देते हैं: एक एक्सटेंशन जो ग्राहक डेटा वाले कर्मचारी एआई बातचीत के इतिहास को निष्कासित करता है, संगठन को किसी अन्य अनधिकृत व्यक्तिगत डेटा स्थानांतरण के समान प्रवर्तन पथ पर उजागर करता है।
मूल्यांकन ढांचा
किसी भी एआई गोपनीयता एक्सटेंशन के लिए सत्यापन प्रश्न यह नहीं है कि "क्या प्रकाशक मेरे डेटा की सुरक्षा का वादा करता है?" बल्कि "क्या मैं सत्यापित कर सकता हूं कि एक्सटेंशन की वास्तुकला डेटा निष्कासन को संरचनात्मक रूप से असंभव बनाती है?"
नेटवर्क निगरानी परीक्षण: एक्सटेंशन को एक निगरानी नेटवर्क वातावरण में तैनात करें। प्रतिनिधि ट्रैफ़िक उत्पन्न करें - एक परीक्षण ChatGPT खाते में अनुकरणीय PII वाला सामग्री पेस्ट करें। पेस्ट इवेंट के चारों ओर 30 सेकंड के दौरान सभी आउटबाउंड नेटवर्क कनेक्शनों की निगरानी करें। यदि एआई प्लेटफ़ॉर्म और एक्सटेंशन प्रकाशक के अपडेट सर्वरों के अलावा किसी अन्य डोमेन के लिए कोई नेटवर्क कनेक्शन होता है, तो एक्सटेंशन ट्रैफ़िक को तीसरे पक्ष के माध्यम से रूट कर रहा है।
स्रोत कोड सत्यापन: क्रोम एक्सटेंशन जावास्क्रिप्ट बंडल होते हैं जिन्हें डिकंपाइल किया जा सकता है। एक एक्सटेंशन जो स्थानीय प्रोसेसिंग का दावा करता है, उसके PII पहचान कोड पथ में कोई नेटवर्क कॉल नहीं होना चाहिए। पहचान मॉड्यूल में XMLHttpRequest, fetch, या WebSocket कॉल की अनुपस्थिति एक सकारात्मक संकेत है; उनकी उपस्थिति एक अयोग्य संकेत है।
अनुमति विश्लेषण: क्रोम मैनिफेस्ट V3 स्पष्ट अनुमति घोषणाओं की आवश्यकता होती है। एक एक्सटेंशन जो स्थानीय प्रोसेसिंग का दावा करता है, उसे बाहरी सर्वरों पर डेटा भेजने के लिए पहुंच की अनुमति नहीं मांगनी चाहिए। क्लिपबोर्ड पहुंच और बाहरी नेटवर्क अनुमतियों का संयोजन बिना स्पष्ट औचित्य के एक लाल झंडा है।
प्रकाशक सत्यापन: क्रोम वेब स्टोर "सत्यापित प्रकाशक" स्थिति के लिए डोमेन सत्यापन और पहचान दस्तावेज़ीकरण की आवश्यकता होती है। हाल ही में पंजीकृत डोमेन के साथ सत्यापित प्रकाशक जो एआई गोपनीयता उपकरण प्रकाशित करते हैं, उन्हें बढ़ी हुई जांच की आवश्यकता होती है क्योंकि दुर्भावनापूर्ण एक्सटेंशनों के द्वारा छोटे समय के प्रकाशक पहचान के उपयोग का दस्तावेजीकरण किया गया है।
स्थानीय प्रोसेसिंग का वास्तव में क्या अर्थ है
एक एक्सटेंशन जिसमें वास्तविक स्थानीय प्रोसेसिंग वास्तुकला होती है, PII पहचान मॉडल को पूरी तरह से ब्राउज़र के जावास्क्रिप्ट रनटाइम के भीतर या स्थानीय बाइनरी के माध्यम से चलाता है जिसे नेटिव मैसेजिंग के माध्यम से कॉल किया जाता है। मॉडल के वेट्स एक्सटेंशन के साथ बंडल होते हैं (इंस्टॉल आकार बढ़ाते हैं) या इंस्टॉलेशन के समय एक बार डाउनलोड होते हैं। संचालन के दौरान, पहचान या एनोनिमाइजेशन पाइपलाइन के किसी भी बिंदु पर प्रकाशक के सर्वरों पर कोई सामग्री नहीं भेजी जाती है।
एक वास्तविक स्थानीय-प्रोसेसिंग एक्सटेंशन में केवल आउटबाउंड ट्रैफ़िक एनोनिमाइज्ड प्रॉम्प्ट होता है जो एआई प्लेटफ़ॉर्म के लिए जाता है और मानक ब्राउज़र अनुरोध (अपडेट जांच, वेब स्टोर विश्लेषण)। सामग्री कभी भी प्रकाशक की अवसंरचना को पार नहीं करती है।
यह वास्तुकला दस्तावेजित, सत्यापित और ऑडिट की जा सकती है। यह वास्तुशिल्प संपत्ति है जो गोपनीयता के दावों को स्वतंत्र रूप से सत्यापित करने योग्य बनाती है न कि प्रकाशक की आश्वासनों पर भरोसा करने की आवश्यकता होती है - जिसे दिसंबर 2025 और जनवरी 2026 की घटनाओं ने प्रदर्शित किया है कि इस श्रेणी में विश्वास के लिए अपर्याप्त आधार है।
स्रोत: