anonym.legal

By · Last updated 2026-04-19

Povratak na blogBezbednost veštačke inteligencije

Da li vas AI alat za privatnost krade podatke?

67% AI Chrome ekstenzija prikuplja korisnicke podatke. U incidentima iz decembra 2025. ugrozeno je 900K korisnika ekstenzijama koje su se predstavljale kao alati za privatnost.

April 19, 20268 min čitanja
privacy extension verificationlocal processing trustextension data collection auditAI privacy tool evaluationChrome extension security checklist

Alat za privatnost koji krade podatke

U decembru 2025. Chrome alati koji su se reklamirali kao AI zastitinici privatnosti uhvaceni su u spijunazi. Hvatali su kompletne istorije cajta. Slali su taj sadrzaj na servere koje su kontrolisali napadaci.

To je kljucni paradoks: alat za privatnost je postao pretnja.

Caviard.ai je otkrio da 67% AI Chrome dodataka prikuplja korisnicke podatke. Neki to otkrivaju. Drugi ne. Ali otkrivanje nije pravi problem. Pravi problem je da li dizajn alata cini kradu podataka strukturalno nemogucnom - ili samo zabranjenom politikom.

DLA Piper-ov GDPR izvestaj za 2025. pokazao je rast od 34% prosecnih iznosa kazni u 2024. u poredjenju sa 2023. Taj trend povecava uloge za svakog sluzbenika za zastitu podataka koji odobrava alate za pregledac za osoblje.

Kako izgleda pravo lokalno procesiranje

Pravi alat za lokalno procesiranje pokrece model detekcije unutar pregledaca. Model je upakovn uz instalaciju ili se preuzima jednom. Nakon toga, nikakav sadrzaj nikada ne ide na izdavaceve servere.

Jedini odlazni saobracaj je anonimizirani prompt ka AI servisu i rutinski zahtevi pregledaca kao sto su provere azuriranja. Sadrzaj nikada ne prelazi izdavacevu mrezu.

Ovaj dizajn moze se testirati i proveriti. Obecanja izdavaca sama po sebi se ne mogu smatrati pouzdanim. Incidenti iz decembra 2025. dokazali su tu tacku.

Kako proveriti bilo koji alat za privatnost

Ne pitajte da li izdavac obecava privatnost. Pitajte da li dizajn cini kradu podataka nemogucnom.

Mrezni test: Instalirajte alat u nadziranoj mrezi. Zalepite lazne licne identifikatore u testni AI nalog. Posmatrajte sve odlazne veze 30 sekundi. Ako bilo koji saobracaj ide ka domenu koji nije AI platforma ili server azuriranja alata, vas sadrzaj se usmerava negde drugde.

Pregled koda: Chrome dodaci su JavaScript paketi. Mogu se dekompajlirati. Pravi alat za lokalno procesiranje nema mreznih poziva u svom kodu za detekciju. Nema fetch, nema XMLHttpRequest, nema WebSocket u modulu za detekciju je dobar znak. Njihovo prisustvo je diskvalifikujuce.

Provera dozvola: Chrome Manifest V3 zahteva eksplicitne dozvole. Alat za lokalno procesiranje ne treba dozvole za slanje sadrzaja van pregledaca. Pristup ostavi plus sirokim mreznim dozvolama - bez jasnog razloga - je crvena zastava.

Provera izdavaca: Status verifikovanog izdavaca na Chrome Web Store-u zahteva dokaz domene i identifikacione dokumente. Novi izdavaci sa novim domenima koji prodaju AI alate za privatnost zahtevaju dodatni nadzor. Napadaci iz decembra 2025. koristili su kratkotrajne identitete da izbegnu detekciju.

900.000 korisnika pogodeno

Analiza Astrix Security-ja iz decembra 2025. pokazala je da je 900.000 korisnika pogodeno dodacima koji su se predstavljali kao alati za privatnost. Ti korisnici su odabrali te alate da zastite svoje AI sesije. Alati su radili suprotno.

Jedna ugrozena sesija osoblja moze izloziti korisnicke zapise, pravne fajlove i interne planove. Pregled bezbednosti i uskladjenosti objasnjava kako taj lanac rizika funkcionise.

Izbor alata koji mozete proveriti

anonym.legal Chrome ekstenzija pokrece PII detekciju potpuno unutar pregledaca. Nista se ne salje na anonym.legal servere ni u kom trenutku.

Maliciozni dodacianonym.legal
ProcesiranjeUdaljeni serveriSamo pregledac
Obim pristupaHvatanje cele sesijeSamo kada je aktivan
Proverljivo od strane korisnikaNeDa - testirajte mrezu

Kako to funkcionise:

  1. Zalepite tekst sa licnim identifikatorima
  2. Detekcija se odvija lokalno u vasem pregledacu
  3. Imena i ID-ovi postaju tokeni - "Marko Markovic" postaje [PERSON_1]
  4. Ocisceni tekst ide ka AI-u
  5. AI odgovor se lokalno restaurira za vas

Centar za uskladjenost pokriva kompletan spisak entiteta i detalje enterprise revizije.

Izvori

Povezani članci

Bezbednost veštačke inteligencije

AI Coding Assistants Leak Production PII

Unit test fixtures with real customer records. Log files with production data for debugging. GitHub found 39 million secrets leaked in 2024.

Bezbednost veštačke inteligencije

Internal Wiki PII: Confluence Customer Data

Support teams document processes with screenshots of customer accounts. Over 3 years, that's thousands of GDPR data minimization violations in your.

Bezbednost veštačke inteligencije

Screenshot PII: Leaks in Internal Tools

Slack, Teams, Jira, and email regularly receive screenshots containing customer PII. This access-control violation bypasses every DLP tool.

Spremni da zaštitite svoje podatke?

Počnite sa anonimizacijom PII sa 285+ tipova entiteta na 48 jezika.

Započnite besplatnu probuPogledajte funkcije

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.