anonym.legal

By · Last updated 2026-04-19

Späť na blogBezpečnosť AI

Kradne váš AI nástroj na ochranu súkromia vaše dáta?

67 % AI rozšírení pre Chrome zbiera používateľské dáta. Incidenty z decembra 2025 zasiahli 900 000 používateľov rozšíreniami vydávajúcimi sa za nástroje na ochranu súkromia.

April 19, 20268 min čítania
privacy extension verificationlocal processing trustextension data collection auditAI privacy tool evaluationChrome extension security checklist

Nástroj na ochranu súkromia, ktorý kradne dáta

V decembri 2025 boli nástroje pre Chrome predávané ako AI chrániče súkromia prichytené pri špionáži. Zachytávali kompletné histórie konverzácií. Odosielali tento obsah na servery kontrolované útočníkmi.

To je základný paradox: nástroj na ochranu súkromia sa stal hrozbou.

Caviard.ai zistil, že 67 % AI doplnkov pre Chrome zbiera používateľské dáta. Niektoré to uvádzajú. Iné nie. Ale zverejnenie nie je skutočným problémom. Skutočný problém je, či je dizajn nástroja taký, že krádež dát je štrukturálne nemožná -- alebo len zakázaná politikou.

Správa DLA Piper o GDPR z roku 2025 zaznamenala 34% nárast priemerných výšok pokút v roku 2024 oproti 2023. Tento trend zvyšuje stávky pre každého zodpovedného za ochranu dát, ktorý schvaľuje nástroje pre prehliadač pre zamestnancov.

Ako vyzerá skutočné lokálne spracovanie

Skutočný nástroj s lokálnym spracovaním spúšťa detekčný model priamo v prehliadači. Model je súčasťou inštalácie alebo sa stiahne raz. Potom už žiadny obsah nikdy nejde na servery vydavateľa.

Jediná odchádzajúca premávka je anonymizovaná výzva pre AI službu a bežné požiadavky prehliadača, ako sú kontroly aktualizácií. Obsah nikdy neprechádza sieťou vydavateľa.

Tento dizajn možno otestovať a overiť. Sľubom vydavateľov nemožno dôverovať samy o sebe. Incidenty z decembra 2025 to dokázali.

Ako skontrolovať akýkoľvek nástroj na ochranu súkromia

Nepýtajte sa, či vydavateľ sľubuje súkromie. Pýtajte sa, či dizajn robí krádež dát nemožnou.

Sieťový test: Nainštalujte nástroj v sledovanej sieti. Vložte falošné osobné identifikátory do testovacieho AI účtu. Sledujte všetky odchádzajúce spojenia počas 30 sekúnd. Ak akákoľvek premávka smeruje na doménu, ktorá nie je AI platforma alebo aktualizačný server nástroja, váš obsah je presmerovaný inam.

Kontrola kódu: Doplnky pre Chrome sú JavaScript balíky. Dajú sa dekompilovať. Skutočný nástroj s lokálnym spracovaním nemá sieťové volania v detekčnom kóde. Žiadny fetch, XMLHttpRequest ani WebSocket v detekčnom module je dobrým znakom. Ich prítomnosť je vylučujúcim kritériom.

Kontrola oprávnení: Chrome Manifest V3 vyžaduje explicitné oprávnenia. Nástroj s lokálnym spracovaním nepotrebuje oprávnenia na odosielanie obsahu mimo prehliadača. Prístup k schránke plus rozsiahle sieťové oprávnenia -- bez jasného dôvodu -- je červená vlajka.

Kontrola vydavateľa: Overený status vydavateľa v Chrome Web Store vyžaduje overenie domény a identifikačné dokumenty. Noví vydavatelia s novými doménami predávajúci AI nástroje na ochranu súkromia potrebujú zvýšenú kontrolu. Útočníci z decembra 2025 používali krátkodobé identity, aby sa vyhli odhaleniu.

900 000 zasiahnutých používateľov

Analýza Astrix Security z decembra 2025 zistila, že 900 000 používateľov zasiahli doplnky vydávajúce sa za nástroje na ochranu súkromia. Títo používatelia si tieto nástroje vybrali, aby chránili svoje AI relácie. Nástroje urobili opak.

Jedna napadnutá zamestnanecká relácia môže odhaliť zákaznícke záznamy, právne súbory a interné plány. Prehľad bezpečnosti a súladu vysvetľuje, ako funguje tento reťazec rizika.

Výber nástroja, ktorý môžete overiť

Rozšírenie anonym.legal pre Chrome spúšťa detekciu osobných údajov plne v prehliadači. Nič sa neposiela na servery anonym.legal v žiadnom momente.

Škodlivé doplnkyanonym.legal
SpracovanieVzdialené serveryIba prehliadač
Rozsah prístupuZachytenie celej relácieIba keď je aktívny
Overiteľné používateľomNieÁno -- otestujte sieť

Postup fungovania:

  1. Vložíte text s osobnými identifikátormi
  2. Detekcia prebehne lokálne vo vašom prehliadači
  3. Mená a identifikátory sa nahradia tokenmi -- "Jana Nováková" sa stane [PERSON_1]
  4. Vyčistený text ide do AI
  5. Odpoveď AI sa lokálne obnoví pre vás

Centrum súladu pokrýva kompletný zoznam entít a detaily podnikového auditu.

Zdroje

Súvisiace články

Bezpečnosť AI

AI Coding Assistants Leak Production PII

Unit test fixtures with real customer records. Log files with production data for debugging. GitHub found 39 million secrets leaked in 2024.

Bezpečnosť AI

Internal Wiki PII: Confluence Customer Data

Support teams document processes with screenshots of customer accounts. Over 3 years, that's thousands of GDPR data minimization violations in your.

Bezpečnosť AI

Screenshot PII: Leaks in Internal Tools

Slack, Teams, Jira, and email regularly receive screenshots containing customer PII. This access-control violation bypasses every DLP tool.

Pripravení chrániť vaše údaje?

Začnite anonymizovať PII s 285+ typmi entít v 48 jazykoch.

Začať bezplatnú skúšobnú verziuZobraziť funkcie

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.