Co robi SOWA Privacy?

SOWA Privacy to rozszerzenie Chrome, które wykrywa i zastępuje wrażliwe dane w promptach AI lokalnie – w Twojej przeglądarce – zanim prompt dotrze do ChatGPT, Claude, Gemini lub innego narzędzia AI.

Czy SOWA Privacy jest bezpłatne?

Tak. Plan Starter jest bezpłatny na zawsze i obejmuje ponad 30 wzorców regex, podstawowe wykrywanie NER oraz skanowanie plików TXT. Plany Pro (4,99 EUR miesięcznie), Business (7,99 EUR na użytkownika miesięcznie) i Enterprise (cena indywidualna) odblokowują dodatkowe funkcje.

Z jakimi narzędziami AI współpracuje SOWA Privacy?

SOWA Privacy współpracuje z ChatGPT, Claude, Gemini, Microsoft Copilot, Grok, Perplexity, HuggingFace Chat oraz każdym własnym interfejsem zgodnym z OpenAI.

Czy SOWA Privacy spełnia wymogi RODO?

SOWA Privacy jest zaprojektowane z myślą o zgodności z RODO. Całe wykrywanie odbywa się lokalnie w przeglądarce, żadne dane promptów nie są przesyłane na serwery SOWA, a kod źródłowy jest opublikowany na licencji MIT w celu pełnej weryfikowalności.

Czy SOWA Privacy wysyła moje dane na jakiś serwer?

Nie. Wykrywanie odbywa się wyłącznie w Twojej przeglądarce przy użyciu lokalnych wyrażeń regex, modeli NER opartych na ONNX oraz opcjonalnych lokalnych LLM. Do dostawcy AI przesyłany jest wyłącznie prompt z zastąpionymi placeholderami.

Bezpieczeństwo | SOWA Privacy

Przepływ danych w skrócie

SOWA Privacy to rozszerzenie Chrome. Ścieżka, jaką przebywa Twój tekst podczas korzystania z obsługiwanego chatbota AI:

Wpisujesz tekst w pole wejściowe chatbota.Tekst na tym etapie nie opuszcza przeglądarki.
Skrypt treści rozszerzenia odczytuje dane wejściowe i uruchamia wykrywanie lokalnie.Regex + lokalny model NER wykonywany w Twojej przeglądarce przez WebAssembly / WebGPU.
Wykryte encje są zastępowane neutralnymi placeholderami (np. [PERSON_1]).Mapowanie oryginał–placeholder jest przechowywane w chrome.storage.local na Twoim urządzeniu.
Prompt z zastąpionymi placeholderami jest przesyłany do normalnego punktu końcowego chatbota.Dostawca AI widzi wyłącznie zanonimizowany tekst. SOWA Privacy nie pośredniczy między Tobą a dostawcą jako sieciowe proxy.
Gdy nadchodzi odpowiedź AI, rozszerzenie re-personalizuje placeholdery w Twojej przeglądarce na podstawie lokalnego mapowania.Czytasz odpowiedź z prawdziwymi nazwami; dostawca AI nigdy ich nie widział.

W przypadku opcjonalnego rejestrowania audytu w planach Business i Enterprise, rekordy działań są haszowane lokalnie i wysyłane wyłącznie na wskazany przez Ciebie serwer (własna infrastruktura lub najemca, który hostujemy dla Ciebie na mocy umowy). Nie są przesyłane do centralnego dziennika obsługiwanego przez SOWA.

Uprawnienia przeglądarki i uzasadnienie każdego z nich

Uprawnienia rozszerzenia Chrome zgodne z Manifest V3, wraz z uzasadnieniem dla każdego uprawnienia:

activeTab – odczyt treści aktualnie aktywnej karty, aby wykrywanie mogło działać w polu wejściowym, w którym piszesz.
scripting – wstrzykiwanie skryptu treści obserwującego pola wejściowe na obsługiwanych stronach chatbotów.
storage – lokalne zapisywanie ustawień, słownika mapowań oraz (opcjonalnie) wpisów dziennika audytu w przeglądarce.
tabs – identyfikacja strony chatbota, na której się znajdujesz, w celu załadowania właściwego adaptera.
contextMenus – udostępnienie opcji prawego przycisku myszy do doraźnej anonimizacji / re-personalizacji zaznaczonego tekstu.
downloads – umożliwienie eksportu zanonimizowanych dokumentów, wpisów słownika i dzienników audytu na Twoje urządzenie.
sidePanel – renderowanie panelu bocznego rozszerzenia (używanego przez opcjonalny wbudowany czat z własnymi kluczami API).
windows – zarządzanie cyklem życia okna podręcznego / panelu rozszerzenia.

Skrypt treści deklaruje <all_urls>, dzięki czemu wykrywanie jest dostępne dla każdego chatbota AI, z którego korzystasz, w tym przyszłych, dla których dodamy wsparcie. Uprawnienia są statyczne, zadeklarowane w publicznym pliku Manifest i widoczne w chrome://extensions/?id=….

Opcjonalne rejestrowanie audytu kontrolowane przez klienta

Rejestrowanie audytu jest opcjonalne w planach Business i Enterprise i śledzi działania, a nie treść czatu. Przykłady zawartości rekordu:

„skan przeprowadzony na chatbot.example.com"
„plik zredagowany (PDF, 12 encji)"
„wpis słownika wyeksportowany"

Czego nie zawiera: tekstu promptu, tekstu odpowiedzi AI, oryginalnych wrażliwych wartości ani mapowań placeholderów.

Rekordy są haszowane lokalnie przed przesłaniem na wskazany przez Ciebie serwer. Klienci Enterprise mogą hostować punkt końcowy dziennika audytu we własnym obrzeżu zgodności, dzięki czemu SOWA Privacy nigdy nie ma kontaktu ze ścieżką danych.

Znane ograniczenia

Wolimy być konkretni niż pewni siebie. Rzeczy, których SOWA Privacy nie robi lub nie może zagwarantować:

Fałszywe negatywy są możliwe. Żaden model NER nie osiąga 100% pokrycia dla każdego typu encji, języka ani wariantu formatowania. Dostrajamy się pod kątem precyzji i stale poprawiamy pokrycie; nie obiecujemy zerowych wycieków.
Fałszywe pozytywy się zdarzają. Agresywne wykrywanie czasem maskuje wartości, które nie są wrażliwe. Użytkownik ma ręczne nadpisywanie i listę wyjątków; administratorzy w planach Business / Enterprise mogą centralnie je dostrajać.
Tylko przeglądarka. SOWA Privacy działa wewnątrz przeglądarki Chrome. Aplikacje desktopowe dla ChatGPT, Claude, Gemini itd. nie są objęte.
Tylko Chrome przy starcie. Testowanie na Edge i Brave (opartych na Chromium) jest w toku; Firefox jest w planie.
Nie jest pakietem DLP. SOWA Privacy to warstwa prywatności w czasie rzeczywistym dla przepływów pracy z czatami AI. Działa obok Microsoft Purview, Zscaler, Nightfall i innych narzędzi DLP / CASB – nie jako ich zamiennik.
Granica bezpieczeństwa przeglądarki. Zabezpieczenia lokalnego magazynu są ograniczone przez przeglądarkę i system operacyjny. Kompromitacja urządzenia oznacza kompromitację słownika.

Otwarte źródło i możliwość audytu

Rdzeń wykrywania jest opublikowany na github.com/Sowa-Privacy. Każdy może przeczytać kod przetwarzający prompty, potwierdzić, że nie zapisuje on niczego na dysku poza jawnie udokumentowanymi lokalnymi magazynami, i zweryfikować, że żadna telemetria nie jest gromadzona. Traktujemy repozytorium jako autorytatywne odniesienie dla twierdzeń na tej stronie.

Zgłaszanie podatności

Jeśli uważasz, że znalazłeś problem z bezpieczeństwem, skontaktuj się z nami przed publicznym ujawnieniem. Dążymy do potwierdzenia w ciągu dwóch dni roboczych i do udzielenia wstępnej oceny w ciągu pięciu.

E-mail: security@sowaprivacy.ai (monitorowana skrzynka; publikacja klucza PGP oczekuje – zostanie dodana przed publicznym uruchomieniem)

Nie prowadzimy obecnie płatnego programu bug bounty. Na życzenie publicznie wymieniamy zgłaszających w informacjach o wydaniu.

Pakiet dokumentacji zgodności

Na potrzeby przeglądów zakupowych i DPO następujące dokumenty są dostępne na życzenie przez formularz kontaktowy:

Umowa o przetwarzanie danych (DPA)
Lista podprzetwarzających
Notatki dotyczące architektury dziennika audytu
Podsumowanie testów penetracyjnych (gdy dostępne)

Nie posiadamy obecnie certyfikatów SOC 2, ISO 27001 ani innych formalnych certyfikatów i nie będziemy się na nie powoływać do czasu ich uzyskania.