DFKI veröffentlicht Privacy Guardrail: Eine Schutzschicht für KI-Prompts direkt im Browser

Generative KI ist längst im Arbeitsalltag angekommen – in E-Mails, Support-Tickets, Protokollen, Forschungsnotizen oder internen Dokumenten. Genau dort entsteht jedoch eine neue Schutzlücke: Wer KI produktiv nutzen will, muss häufig Texte verarbeiten, die eigentlich nicht ohne Weiteres an externe Dienste weitergegeben werden sollten. Privacy Guardrail setzt deshalb genau an dem Moment an, in dem aus vertraulichem Text ein KI-Prompt wird. 

Die Erweiterung prüft eingefügte Inhalte automatisch lokal, markiert erkannte sensible Stellen und ersetzt sie vor dem Absenden durch typisierte Platzhalter wie [EMAIL_1] oder [PERSON_1]. Nutzerinnen und Nutzer können die Erkennung vor dem Versand prüfen, anpassen oder einzelne Treffer bewusst ignorieren. Nach der Antwort des KI-Systems lassen sich bekannte Platzhalter lokal wieder durch die ursprünglichen Werte ersetzen, sodass der inhaltliche Zusammenhang erhalten bleibt.

Der zentrale Unterschied zu vielen anderen Ansätzen liegt im local-first-Ansatz: Erkennung, Platzhalterzuordnung, Anonymisierung und Wiederherstellung erfolgen vollständig im Browser. Eingefügte Texte werden nicht an einen externen Inferenzdienst gesendet. Privacy Guardrail macht den Browser damit selbst zum Ort des Datenschutzes – direkt dort, wo aus sensiblen Inhalten ein Prompt entsteht. 

Alle relevanten Daten verbleiben im lokalen Chrome-Profil des jeweiligen Browsers. Dazu gehören je nach Nutzung Einstellungen, Platzhalterzuordnungen, Identity-Vault-Einträge sowie lokale Korrektur- und Feedbackdaten; eine Speicherung in Chrome Sync erfolgt nicht. So bleibt die Kontrolle über sensible Informationen bei den Nutzerinnen und Nutzern.

Technisch kombiniert Privacy Guardrail zwei lokale Erkennungslayer. Deterministische Pattern-Recognizer erfassen strukturierte Inhalte wie E-Mail-Adressen, Kreditkartennummern, IBANs oder IP-Adressen. Ergänzend kann die lokale KI-Komponente kontextabhängige Begriffe wie Personen, Organisationen, Adressen, Orte oder Passwörter erkennen. Wenn WebGPU verfügbar ist, läuft die Inferenz lokal über die Grafikkarte; andernfalls nutzt das System einen langsameren CPU/WASM-Pfad. Für Geräte mit begrenzten Ressourcen kann die Erweiterung zudem in einen Pattern-only-Modus wechseln, bei dem strukturierte Formate weiterhin erkannt werden, die Abdeckung freier Textstellen aber geringer ausfällt.

Low-Signal-Kategorien wie URL, DATE und MISC. Das DFKI kommuniziert dabei bewusst offen über die Grenzen des Systems: Sensible Inhalte können übersehen, harmlose Inhalte fälschlich markiert und ungewöhnlich formatierte Texte schlechter erkannt werden. Privacy Guardrail versteht sich deshalb ausdrücklich als assistive Schutzschicht und nicht als Garantie für perfekte Anonymisierung, vollständige Verhinderung von Offenlegung oder regulatorische Compliance. Gerade diese Transparenz ist Teil des Konzepts: Vertrauenswürdige KI entsteht nicht durch pauschale Versprechen, sondern durch nachvollziehbare Verfahren, offene Dokumentation und echte Nutzerkontrolle.

Privacy Guardrail wird als Open-Source-Projekt auf GitHub veröffentlicht und steht unter der Apache-2.0-Lizenz. Der offene Quellcode, dokumentierte Erkennungsregeln und die lokale Verarbeitung machen das System auditierbar und überprüfbar. Für die erste öffentliche Beta unterstützt die Erweiterung offiziell Chrome auf dem Desktop sowie die Plattformen chatgpt.com, chat.openai.com, claude.ai und gemini.google.com. 

Andere Chromium-basierte Browser können grundsätzlich funktionieren, werden derzeit aber nicht vollständig getestet. Perspektivisch arbeitet das Team an einer besseren Erkennungsqualität, kleineren und effizienteren lokalen Modellen, weiteren Plattformen und möglichen mobilen Szenarien.