anonym.legal

By · Last updated 2026-04-19

กลับไปที่บล็อกความปลอดภัยของ AI

เครื่องมือความเป็นส่วนตัว AI ของคุณกำลังขโมยข้อมูลหรือเปล่า?

67% ของ Chrome extension ด้าน AI รวบรวมข้อมูลผู้ใช้ เหตุการณ์ในเดือนธันวาคม 2025 เห็นผู้ใช้ 900K คนถูกโจมตีโดย extension ที่แอบอ้างเป็นเครื่องมือความเป็นส่วนตัว

April 19, 20268 อ่านประมาณ
privacy extension verificationlocal processing trustextension data collection auditAI privacy tool evaluationChrome extension security checklist

เครื่องมือความเป็นส่วนตัวที่ขโมยข้อมูล

ในเดือนธันวาคม 2025 เครื่องมือ Chrome ที่ทำตลาดเป็นผู้ป้องกันความเป็นส่วนตัว AI ถูกจับได้ว่าสอดส่อง พวกมันจับประวัติการสนทนาทั้งหมด ส่งเนื้อหานั้นไปยังเซิร์ฟเวอร์ที่ควบคุมโดยผู้โจมตี

นั่นคือความขัดแย้งหลัก คือเครื่องมือความเป็นส่วนตัวกลายเป็นภัยคุกคาม

Caviard.ai พบว่า 67% ของ Chrome add-on ด้าน AI รวบรวมข้อมูลผู้ใช้ บางตัวเปิดเผยสิ่งนี้ บางตัวไม่ แต่การเปิดเผยไม่ใช่ปัญหาจริงๆ ปัญหาจริงคือการออกแบบของเครื่องมือทำให้การขโมยข้อมูลเป็นไปไม่ได้ในเชิงโครงสร้าง หรือเพียงแค่ถูกห้ามตามนโยบาย

รายงาน GDPR ปี 2025 ของ DLA Piper พบว่า ค่าปรับเฉลี่ยเพิ่มขึ้น 34% ในปี 2024 เทียบกับปี 2023 แนวโน้มนั้นเพิ่มเดิมพันสำหรับเจ้าหน้าที่คุ้มครองข้อมูลที่อนุมัติเครื่องมือ browser สำหรับเจ้าหน้าที่

การประมวลผลในเครื่องที่แท้จริงมีลักษณะอย่างไร

เครื่องมือการประมวลผลในเครื่องที่แท้จริงจะรันโมเดลการตรวจจับภายใน browser โมเดลถูกรวมเข้ากับการติดตั้งหรือดาวน์โหลดครั้งเดียว หลังจากนั้น เนื้อหาไม่เคยไปยังเซิร์ฟเวอร์ของผู้เผยแพร่

traffic ขาออกเดียวคือ prompt ที่ทำให้ไม่ระบุตัวตนไปยังบริการ AI และคำขอ browser ตามปกติเช่นการตรวจสอบอัปเดต เนื้อหาไม่เคยข้ามเครือข่ายของผู้เผยแพร่

การออกแบบนี้สามารถทดสอบและตรวจสอบได้ คำสัญญาของผู้เผยแพร่ไม่สามารถเชื่อถือได้ด้วยตัวเอง เหตุการณ์เดือนธันวาคม 2025 พิสูจน์ประเด็นนั้น

วิธีตรวจสอบเครื่องมือความเป็นส่วนตัวใดๆ

อย่าถามว่าผู้เผยแพร่สัญญาว่าจะรักษาความเป็นส่วนตัวหรือไม่ ถามว่าการออกแบบทำให้การขโมยข้อมูลเป็นไปไม่ได้หรือเปล่า

การทดสอบเครือข่าย: ติดตั้งเครื่องมือในเครือข่ายที่ถูกติดตาม วางตัวระบุส่วนบุคคลปลอมลงในบัญชี AI ทดสอบ ดูการเชื่อมต่อขาออกทั้งหมดเป็นเวลา 30 วินาที หากมี traffic ไปยัง domain ที่ไม่ใช่แพลตฟอร์ม AI หรือเซิร์ฟเวอร์อัปเดตของเครื่องมือ เนื้อหาของคุณกำลังถูกส่งไปที่อื่น

การตรวจสอบโค้ด: Chrome add-on เป็น JavaScript bundle สามารถ decompile ได้ เครื่องมือการประมวลผลในเครื่องที่แท้จริงไม่มีการเรียกเครือข่ายในโค้ดการตรวจจับ ไม่มี fetch, ไม่มี XMLHttpRequest, ไม่มี WebSocket ในโมดูลการตรวจจับเป็นสัญญาณที่ดี การมีอยู่ของมันเป็นตัวทำลายข้อตกลง

การตรวจสอบสิทธิ์: Chrome Manifest V3 ต้องการสิทธิ์ที่ชัดเจน เครื่องมือการประมวลผลในเครื่องไม่จำเป็นต้องมีสิทธิ์ในการส่งเนื้อหานอก browser การเข้าถึง clipboard บวกกับสิทธิ์เครือข่ายที่กว้างขวางโดยไม่มีเหตุผลที่ชัดเจนเป็นสัญญาณเตือน

การตรวจสอบผู้เผยแพร่: สถานะ Verified publisher บน Chrome Web Store ต้องการการพิสูจน์ domain และเอกสารตัวตน ผู้เผยแพร่ใหม่ที่มี domain ใหม่ที่ขายเครื่องมือความเป็นส่วนตัว AI ต้องการการตรวจสอบพิเศษ ผู้โจมตีในเดือนธันวาคม 2025 ใช้ตัวตนที่มีอายุสั้นเพื่อหลีกเลี่ยงการตรวจจับ

ผู้ใช้ 900,000 คนได้รับผลกระทบ

การวิเคราะห์ของ Astrix Security ในเดือนธันวาคม 2025 พบว่า 900,000 คนถูกโจมตี โดย add-on ที่แอบอ้างเป็นเครื่องมือความเป็นส่วนตัว ผู้ใช้เหล่านั้นเลือกเครื่องมือเหล่านี้เพื่อปกป้อง AI session ของพวกเขา เครื่องมือทำตรงกันข้าม

เซสชันเจ้าหน้าที่ที่ถูกโจมตีหนึ่งครั้งสามารถเปิดเผยข้อมูลลูกค้า ไฟล์กฎหมาย และแผนภายใน ภาพรวมความปลอดภัยและการปฏิบัติตาม อธิบายว่าห่วงโซ่ความเสี่ยงนั้นทำงานอย่างไร

การเลือกเครื่องมือที่คุณสามารถยืนยันได้

Chrome Extension ของ anonym.legal รันการตรวจจับ PII ภายใน browser อย่างสมบูรณ์ ไม่มีอะไรถูกส่งไปยังเซิร์ฟเวอร์ anonym.legal ณ จุดใดจุดหนึ่ง

Add-on ที่เป็นอันตรายanonym.legal
การประมวลผลเซิร์ฟเวอร์ระยะไกลBrowser เท่านั้น
ขอบเขตการเข้าถึงจับเซสชันทั้งหมดเฉพาะเมื่อใช้งาน
ผู้ใช้สามารถยืนยันได้ไม่ใช่ — ทดสอบเครือข่าย

วิธีการทำงาน:

  1. คุณวางข้อความที่มีตัวระบุส่วนบุคคล
  2. การตรวจจับทำงานในเครื่องใน browser ของคุณ
  3. ชื่อและ ID กลายเป็น token เช่น "Jane Smith" กลายเป็น [PERSON_1]
  4. ข้อความที่สะอาดไปยัง AI
  5. การตอบสนองของ AI ถูกกู้คืนสำหรับคุณในเครื่อง

ศูนย์การปฏิบัติตาม ครอบคลุมรายการ entity ทั้งหมดและรายละเอียดการตรวจสอบองค์กร

แหล่งข้อมูล

บทความที่เกี่ยวข้อง

ความปลอดภัยของ AI

AI Coding Assistants Leak Production PII

Unit test fixtures with real customer records. Log files with production data for debugging. GitHub found 39 million secrets leaked in 2024.

ความปลอดภัยของ AI

Internal Wiki PII: Confluence Customer Data

Support teams document processes with screenshots of customer accounts. Over 3 years, that's thousands of GDPR data minimization violations in your.

ความปลอดภัยของ AI

Screenshot PII: Leaks in Internal Tools

Slack, Teams, Jira, and email regularly receive screenshots containing customer PII. This access-control violation bypasses every DLP tool.

พร้อมที่จะปกป้องข้อมูลของคุณหรือยัง?

เริ่มทำให้ PII เป็นนิรนามด้วยประเภทเอนทิตีมากกว่า 285 ประเภทใน 48 ภาษา.

เริ่มทดลองใช้ฟรีดูฟีเจอร์

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.