anonym.legal

By · Last updated 2026-03-08

Bumalik sa BlogSeguridad ng AI

Mga Ligtas na AI Privacy Extension sa 2026

Noong Enero 2026, dalawang mapanganib na Chrome extension na may 900,000+ na mga gumagamit ay nahuli na nagpapadala ng mga usapan sa ChatGPT at DeepSeek bawat 30 minuto.

March 8, 20268 min basahin
Chrome extension securitymalicious extensionChatGPT privacyAI data protection

Ang Insidente noong Enero 2026

Na-update para sa 2026. Noong Enero 2026, natuklasan ng mga security researcher ang dalawang mapanganib na Chrome add-on na may 900,000+ na mga gumagamit.

Pinili ang mga pangalan upang magmukhang tunay na mga AI tool:

  • "Chat GPT for Chrome with GPT-5, Claude Sonnet & DeepSeek AI" -- 600,000+ na gumagamit
  • "AI Sidebar with Deepseek, ChatGPT, Claude and more" -- 300,000+ na gumagamit

Pareho ang ginagawa ng dalawa. Nagpadala sila ng buong mga chat ng ChatGPT at DeepSeek sa isang remote na server bawat 30 minuto.

Kasama sa ninakaw na data ang source code, mga personal na detalye, mga legal na usapan, mga plano sa negosyo, at mga rekord ng pera. Bawat mensaheng nai-type ng mga gumagamit -- nilalaman na sa palagay nila ay pribado -- napunta sa mga hindi kilalang partido.

Paano Nalampasan ng mga Add-On ang mga Signal ng Tiwala

Humingi ang mga tool na "mangolekta ng anonymous, hindi na-identify na analytics data." Ang salitang iyon ay mukhang ligtas.

Sa katotohanan, hinakaw nila ang buong nilalaman ng AI chat. Ang kahilingan sa analytics ay ang takip. Ang pagnanakaw ng chat ang tunay na layunin.

Ipinapaliwanag ng trick na ito kung bakit patuloy na lumalaki ang banta na ito. Ang mga gumagamit na hindi mag-click ng isang phishing link ay sinasadyang nag-install ng mga tool na ito. Nagmula sila sa Chrome Web Store. Mukhang tunay na mga AI tool sila.

Ang Mas Malawak na Pattern: 67% ng mga AI Add-On ay Nangongolekta ng Iyong Data

Ang kaso noong Enero 2026 ay hindi natatangi. Natuklasan ng pananaliksik ng Incogni na 67% ng mga AI Chrome add-on ay aktibong nangongolekta ng data ng gumagamit. Kinukumpirma ng ilang mga independiyenteng pag-aaral ang numerong ito.

Ito ang pangunahing problema. Nag-i-install ang mga gumagamit ng mga tool upang pangalagaan ang kanilang privacy sa AI. Ngunit karamihan sa parehong mga tool ay nangongolekta ng data na inaangkin nilang protektahan.

Gumawa ang merkado ng isang kategorya -- mga AI privacy tool para sa mga browser. Hindi nito itinayo ang isang paraan para sa mga gumagamit upang suriin ang mga claim na iyon. Ang resulta: ang tool ng "proteksyon" ay ang banta.

Matuto pa sa aming security glossary at mga dokumento ng pagsunod. Maaari ka ring suriin kung paano namin inikategorya ang AI risk sa aming gabay sa entity data.

Ligtas kumpara sa Hindi Ligtas na Arkitektura

Ipinakita ng kaso noong Enero 2026 ang isang pangunahing teknikal na agwat. Alamin ito bago mag-install ng anumang AI browser tool.

Hindi ligtas -- niro-route sa pamamagitan ng mga server ng developer:

  1. Nag-type ang gumagamit sa ChatGPT
  2. Kinukuha ng tool ang teksto
  3. Nagpadala ang tool ng teksto sa sarili nitong server para sa "pagpoproseso"
  4. Nagbabalik ng processed na teksto ang server
  5. Nagpadala ang tool sa ChatGPT

Bawat prompt ay dumadaan sa mga sistema ng developer. Kung ang tool ay mapanganib, ang lahat ng nilalamang iyon ay nasa panganib.

Ligtas -- lokal na pagpoproseso lamang:

  1. Nag-type ang gumagamit sa ChatGPT
  2. Kinukuha ng tool ang teksto
  3. Pinoproseso ng tool ang teksto nang lokal sa browser
  4. Ang processed na teksto ay direktang napupunta sa ChatGPT

Wala na lumalabas sa browser maliban sa panghuling teksto sa serbisyo ng AI. Ang mga server ng developer ay hindi kailanman nasa landas.

Magtanong ng isang tanong: saan nangyayari ang pagpoproseso? Kung ang sagot ay sa sariling mga server ng developer, ang iyong data ay dumadaan sa isang third party.

Tingnan kung paano pinangangasiwaan ito ng anonym.legal sa aming pangkalahatang-ideya ng seguridad.

Limang Tanong na Dapat Itanong Bago Mag-install ng AI Browser Tool

67% ng mga AI add-on ay nangongolekta ng data ng gumagamit. Maaaring mag-publish ang mga masasamang aktor ng mga tool sa Chrome Web Store na may napakaraming bilang ng pag-install. Mahalaga ang proseso ng pagsusuri. Tinutulungan ka ng limang tanong na ito na gumawa ng mas mahusay na pagpili.

1. Saan pinoproseso ang pagtuklas ng PII? Suriin ang patakaran sa privacy. Ang pagtuklas ba ay ginagawa sa browser, o ang teksto ba ay pumupunta sa isang server? Lokal na nangangahulugang hindi kailanman nakikita ng developer ang iyong teksto.

2. Ano ang nangyayari sa nilalaman ng chat? Ang mga tool na "nagpoprotekta" sa pamamagitan ng pag-route sa pamamagitan ng kanilang sariling proxy ay nagbabasa ng lahat ng iyong nai-type. Ang mga tool na nagpoproseso ng teksto nang lokal ay hindi.

3. Sino ang na-verify na publisher? Ang mga tool noong Enero 2026 ay pumasa sa mga tseke ng Web Store. Gayunpaman, ang isang publisher na may malinaw na pangalan at isang tunay na negosyo ay mas mapagkakatiwalaan kaysa sa isang anonymous na may libreng tool at walang kita.

4. Mayroon bang independiyenteng sertipikasyon ng seguridad? Saklaw ng ISO 27001 kung paano nagtatayo at nagpapadala ang isang vendor ng software. Bini-verify ng mga independiyenteng audit ang mga claim na hindi kayang gawin ng marketing.

5. Ano ang modelo ng negosyo? Ang pinaka-malinaw na signal: paano kumikita ang isang libreng tool? Kung walang pinagkukunan ng kita, ang iyong data ay malamang na ang produkto. Ang isang tool na nakatali sa isang bayad na serbisyo ay may mas kaunting dahilan upang mangolekta ng data nang palihim.

Tingnan ang aming FAQ para sa mga karaniwang tanong sa seguridad ng AI browser.

Ano ang Ibubunyag ng Insidente Tungkol sa Seguridad ng AI

Ang 900,000+ na mga gumagamit ay hindi pabaya. Sila ay mga propesyonal na nagnanais ng mga AI tool at privacy. Nag-install sila ng kung ano ang mukhang tunay na mga produkto mula sa Chrome Web Store.

Nagtrabaho ang atake para sa apat na dahilan.

Ang mga tool ay may tunay na mga tampok. Hindi sila purong masama. Nag-aalok sila ng mga AI function kasabay ng pagnanakaw ng data. Dahil dito, sila ay mukhang tunay na mga produkto sa panahon ng normal na paggamit.

Ang mga signal ng tiwala ay pinalso. Ang daan-daang libong gumagamit ay lumilikha ng social proof. Ang pagkita ng 600,000 na pag-install ay nagpapag-install ng mas maraming tao, hindi mas kaunti.

Ang kahilingan sa pahintulot ay mukhang ligtas. Ang "Anonymous, hindi na-identify na analytics" ay ang uri ng wika na tinatanggap ng mga gumagamit nang hindi nagbabasa.

Ang pagnanakaw ay tumatakbo sa isang timer. Ang mga agwat na tatlumpung minuto ay kumukuha ng bawat chat. Bihira rin sila upang maiwasan ang mga anomaly-based na security alert.

Ang Post-Incident Trust Framework

Pagkatapos ng Enero 2026, ang mga enterprise IT team ay nangangailangan ng mas mahigpit na pagsusuri para sa mga AI browser tool.

Ang mga minimum na kinakailangang item:

  • Lokal na pagpoproseso -- na-verify sa pamamagitan ng audit, hindi lamang sinasabi sa marketing
  • Pagkakakilanlan ng publisher -- kilalang kumpanya na may tunay na modelo ng negosyo at kasaysayan
  • Independiyenteng sertipikasyon ng seguridad -- ISO 27001 o katumbas
  • Malinaw na patakaran sa privacy -- kung ano ang kinokolekta, kung saan ito napupunta, at kailan
  • Walang pag-route sa pamamagitan ng mga server ng developer para sa mga pangunahing tampok ng privacy

Ang mga team na nagde-deploy ng mga AI tool sa malalaking workforce ay dapat ding isaalang-alang:

  • I-audit ang mga naka-install na browser tool para sa exfiltration ng data
  • Subaybayan ang mga hindi inaasahang panlabas na koneksyon mula sa mga proseso ng browser
  • Pamahalaan ang mga aprobadong tool sa pamamagitan ng patakaran ng Chrome Enterprise

Ang kaso noong Enero 2026 ay isang babala. Ang 67% na rate ng koleksyon sa mga AI browser tool ay nagpapakita na ang babala ay nararapat.

Para sa gabay ng enterprise, tingnan ang aming compliance center at mga case study. Ang aming pahayag ng tagapagtatag ay nagpapaliwanag kung paano namin itinayo ang anonym.legal sa paligid ng lokal na pagpoproseso mula sa simula. Para sa impormasyon sa pagpepresyo sa aming enterprise plan, bisitahin ang pricing.

Ang Chrome tool ng anonym.legal ay nagpoproseso ng pagtuklas ng PII nang lokal. Walang nilalaman ng usapan ang umaabot sa mga server ng anonym.legal sa panahon ng pagtuklas ng PII. Ang anonymization ay nangyayari sa browser bago maipadala ang binagong prompt sa serbisyo ng AI. Inilathala ng anonym.legal, ISO 27001 certified.

Mga Pinagmulan

Mga Kaugnay na Artikulo

Seguridad ng AI

AI Coding Assistants Leak Production PII

Unit test fixtures with real customer records. Log files with production data for debugging. GitHub found 39 million secrets leaked in 2024.

Seguridad ng AI

Internal Wiki PII: Confluence Customer Data

Support teams document processes with screenshots of customer accounts. Over 3 years, that's thousands of GDPR data minimization violations in your.

Seguridad ng AI

Screenshot PII: Leaks in Internal Tools

Slack, Teams, Jira, and email regularly receive screenshots containing customer PII. This access-control violation bypasses every DLP tool.

Handa nang protektahan ang iyong data?

Simulan ang anonymization ng PII gamit ang 285+ uri ng entidad sa 48 wika.

Simulan ang Libreng PagsubokTingnan ang Mga Tampok

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.