データを盗むプライバシーツール
2025年12月、AIプライバシー保護ツールとして売り出されていたChromeツールがスパイ行為をしていたことが発覚しました。これらのツールはチャット履歴を丸ごと取得していました。そのコンテンツを攻撃者が管理するサーバーに送信していました。
これが核心的なパラドックスです。プライバシーツールが脅威そのものになったのです。
Caviard.aiの調査によると、**AIのChrome add-onの67%**がユーザーデータを収集しています。収集を開示しているものもあります。開示していないものもあります。しかし開示の有無は本当の問題ではありません。本当の問題は、ツールの設計がデータ盗難を構造的に不可能にしているか、それとも単にポリシーで禁止しているだけかという点です。
DLA Piperの2025年GDPR年次報告書では、2023年比で2024年の平均制裁金額が34%増加したことが記録されています。この傾向は、スタッフ向けにブラウザツールを承認するデータ保護責任者にとってのリスクを高めています。
真のローカル処理とは何か
本物のローカル処理ツールは、ブラウザ内で検出モデルを実行します。モデルはインストール時に同梱されるか、一度だけダウンロードされます。それ以降、コンテンツは発行者のサーバーに送られることはありません。
送信されるトラフィックは、AIサービスへの匿名化されたプロンプトと、アップデート確認などのブラウザの通常のリクエストのみです。コンテンツが発行者のネットワークを通過することは一切ありません。
この設計はテストと検証が可能です。発行者の約束だけでは信頼の根拠になりません。2025年12月の事件がその点を証明しました。
プライバシーツールの確認方法
発行者がプライバシーを約束しているかどうかを問わないでください。設計がデータ盗難を不可能にしているかどうかを問いましょう。
ネットワークテスト: 監視されたネットワークでツールをインストールします。テスト用AIアカウントに偽の個人識別子を貼り付けます。30秒間、すべての送信接続を監視します。AIプラットフォームまたはツールのアップデートサーバー以外のドメインへのトラフィックがあれば、コンテンツが外部に送られています。
コードレビュー: ChromeのAdd-onはJavaScriptバンドルです。デコンパイルできます。本物のローカル処理ツールは、検出コードにネットワーク呼び出しがありません。検出モジュールにfetchもXMLHttpRequestもWebSocketもないことは良いサインです。それらが存在すれば失格です。
権限確認: Chrome Manifest V3は明示的な権限を要求します。ローカル処理ツールは、ブラウザ外にコンテンツを送信する権限は必要ありません。クリップボードアクセスと広範なネットワーク権限の組み合わせ — 明確な理由なしに — は危険信号です。
発行者確認: Chrome Web Storeの認証済み発行者ステータスには、ドメイン証明と身元確認書類が必要です。新しいドメインを持つ新規発行者がAIプライバシーツールを販売している場合は、特別な精査が必要です。2025年12月の攻撃者は検出を避けるために短命のアイデンティティを使用しました。
900,000人のユーザーが被害を受けた
Astrix Securityの2025年12月の分析では、プライバシーツールを装ったAdd-onにより900,000人のユーザーが被害を受けたことが判明しました。これらのユーザーはAIセッションを守るためにこれらのツールを選んでいました。ツールは正反対のことをしたのです。
一人の従業員のセッションが侵害されると、顧客記録、法的ファイル、内部計画が漏洩する可能性があります。セキュリティとコンプライアンスの概要では、そのリスクの連鎖がどのように機能するかを説明しています。
検証できるツールを選ぶ
anonym.legal Chrome Extensionは、ブラウザ内でPII検出を完全に実行します。いかなる時点でもanonym.legalのサーバーには何も送信されません。
| 悪意のあるAdd-on | anonym.legal | |
|---|---|---|
| 処理場所 | リモートサーバー | ブラウザのみ |
| アクセス範囲 | セッション全体を取得 | アクティブ時のみ |
| ユーザーが検証可能 | いいえ | はい — ネットワークをテスト |
仕組み:
- 個人識別子を含むテキストを貼り付けます
- ブラウザ内でローカルに検出が実行されます
- 名前とIDがトークンになります — "Jane Smith"は
[PERSON_1]になります - クリーンなテキストがAIに送られます
- AIの返答がローカルで元に戻されます
コンプライアンスセンターでは、完全なエンティティリストと企業向け監査の詳細を確認できます。