Ang Problema
77% ng mga empleyado ay nagpapasok ng sensitibong data sa AI chatbots (LayerX 2025). Ang tradisyonal na DLP ay hindi makakahigit sa mga prompt na batay sa browser para sa AI.
Ito ang problema na dapat lutasin: ang mga manggagawa ay gumagamit ng ChatGPT, Claude, Gemini, at DeepSeek araw-araw, at nagpapasok sila ng customer data, financial figures, codebases, at internal strategy. Kahit kasama ang MDM at device management, hindi makikita ng mga IT leader kung ano ang ipinagpasok sa mga tool na ito.
Diskarte 1 - Blocking (Nightfall)
Ang browser security product ng Nightfall (inilabas noong Marso 2026) ay nagsasara ng PII bago ito umalis sa organisasyon.
Paano Ito Gumagana
Ang Nightfall ay nakakahigit:
- Pag-upload ng file sa mga AI tool
- Clipboard pastes (copy-paste)
- Screenshots na ipinadala sa mga serbisyo
- Form submissions (mga search field, text areas, atbp.)
Saklaw ng browser: Chrome, Edge, Firefox, Safari + Slack, GitHub, Google Drive, Salesforce, Zendesk, M365
Endpoint coverage: USB devices, clipboard, Git/CLI
Mga Lakas
- Zero data transmission — ang data ay hindi kailanman umalis sa organisasyon
- Policy enforcement — ang IT ay maaaring magpahigpit ng mga kontrol
- Multi-channel coverage — browser + SaaS + endpoint
Mga Limitasyon
- Nakakagambala sa workflow — "hindi, hindi mo makakagawa nito" ay nakakainis sa mga gumagamit
- Nag-udyok sa shadow AI — 71.6% ng enterprise AI ay tumatakbo sa personal na mga account sa labas ng MDM (LayerX 2025)
- Nangangailangan ng IT deployment — MDM-dependent, hindi self-serve
- Enterprise pricing — hindi accessible sa mga maliliit na negosyo o indibidwal
Diskarte 2 - Anonymization (anonym.legal)
Ang anonym.legal Chrome Extension (Manifest V3) ay nagtukoy at nagbabago ng PII bago ito umbot sa AI.
Paano Ito Gumagana
-
Detection: Nagtukoy ng 285+ entity types sa 48 languages
- Mga pangalan: "Maria Schmidt"
- Mga email: "john@example.com"
- Mga numero ng telepono: "+47 123 45 678"
- Mga numero ng credit card, social security number, atbp.
-
Anonymization: Pinapalitan ang PII ng mga token 3. Encryption: Ang reversible na AES-256-GCM encryption ay nag-iimbak ng mga orihinal na halaga
-
Response: Ang mga tugon ng AI ay de-anonymized bago ipakita sa user
Mga Lakas
- Uninterrupted workflow — ang user ay hindi nakakakita ng kahit ano
- Gumagana sa unmanaged devices — walang kailangang IT deployment
- Reversible — hindi irreversible tulad ng blocking
- GDPR Recital 26 compliant — pseudonymization, hindi anonymization
- EU servers — Hetzner, Germany, walang US transfer
- Chrome Web Store — self-serve, 2-minute install
Mga Limitasyon
- Detection accuracy — ang spaCy + Stanza + XLM-RoBERTa ay may maliit na error rates (NER laging ~85-95%)
- Chrome-only — Manifest V3 limitado sa Chrome (Edge supported)
- Pakikipag-ugnayan ng user — dapat na manu-mano na i-install (o i-deploy sa pamamagian ng MDM)
Paghahambing: Blocking vs. Anonymization
| Aspeto | Nightfall (Blocking) | anonym.legal (Anonymization) |
|---|---|---|
| Data handling | Nagsasara, walang pagpapadala | Anonymizes, nagpapadala ng sanitized, reversible |
| Workflow | Nakakagambala ("no" dialogs) | Walang putol (transparent) |
| Unmanaged devices | Hindi (nangangailangan ng MDM) | Oo (self-serve) |
| Browser coverage | Chrome, Edge, Firefox, Safari | Chrome, Edge (Manifest V3) |
| SaaS monitoring | Oo (Slack, Drive, atbp.) | Chrome-focused, AI tools |
| Admin/IT required | Oo | Hindi |
| Starting price | Enterprise (unverified) | €0 free, €3/mo pro |
| Data location | Hindi specified | EU (Hetzner, Germany) |
| Entity types | Unknown | 285+ sa 48 languages |
| Wika | Hindi specified | 48 (kasama ang Arabic, Chinese, Hebrew) |
| Reversibility | Hindi (irreversible) | Oo (AES-256-GCM) |
| GDPR model | Control blocking | Pseudonymization (Recital 26) |
| Response decryption | N/A | Oo (nakikita ng user ang orihinal na konteksto) |
Mga Kaso ng Paggamit
Gamitin ang blocking kapag
- Zero leakage ay kritikal — legal operations, patents, M&A
- Ang patakaran ng organisasyon ay nagpapahintulot nito — ang IT ay maaaring magpatupad sa pamamagian ng MDM
- Ang workforce ay maliit at ang data governance ay kritikal
Gamitin ang anonymization kapag
- Ang workflow disruption ay hindi katanggap-tanggap — customer support, developers, researchers
- BYOD/personal devices — shadow AI ay saklaw
- Ang reversibility ay kinakailangan — "Ano ang pangalan ng customer na iyon?" dapat gumana
- Ang mga user ay hindi makakatanggap ng IT-managed devices — SMBs, freelancers, startups
Shadow AI: 71.6% ng Enterprise Napupunta sa Ibang Lugar
Ang LayerX 2025 report ay naglalantad ng isang malungkot na katotohanan: kahit kapag sinisikap ng mga kumpanya na hadlangan ang ChatGPT sa pamamagian ng proxy at MDM, gumagamit ang mga empleyado nito sa personal na mga account sa bahay.
- Personal device AI — 71.6% ng enterprise AI sa personal na mga account
- Unmanaged endpoints — 82% ng AI submissions ay nangyayari sa labas ng organizational control
- Blocking drives Shadow IT — Kapag sinabi ng mga kumpanya "walang ChatGPT," gumagawa ang mga empleyado ng paraan
Ang anonymization ay nagsasagawa ng problemang ito — gumagana ito sa lahat ng device at hindi nangangailangan ng IT deployment.
Konklusyon: Complementary Tools
Ang blocking at anonymization ay nalulutas ang parehong problema sa iba't ibang paraan:
- Nightfall = "hindi mo dapat ipadala yan"
- anonym.legal = "maaari mong ipadala ito, ngunit hindi ang PII"
Ang pinakamahusay na estratehiya ay pinagsasama ang pareho:
- Organisasyon: Gamitin ang Nightfall para sa mahigpit na patakaran + anonym.legal para sa BYOD/shadow AI
- Indibidwal: anonym.legal para sa trabaho sa personal na ChatGPT accounts
- Mga abogado/doktor: Nightfall para sa client data + anonym.legal para sa sariling pananaliksik
Para sa detalyadong paghahambing ng anonym.legal sa ibang DLP solutions, tingnan ang /compare/nightfall-dlp.