Prompts anonymisieren mit der Browser-Extension des DFKI
Das Deutsche Forschungszentrum für Künstliche Intelligenz (DFKI) hat eine Erweiterung für den Chrome-Browser entwickelt, mit der sich über die Copy-&-Paste-Funktion alle Prompts in einem Chat automatisch anonymisieren lassen. Dies bedeutet, dass sensible Daten wie Name, Adresse und E-Mail nicht an die Server der KI-Anbieter übertragen werden.
Zum DFKI-Blogbeitrag geht es hier
Da es sich bei der Erweiterung Privacy Guardrail aktuell ausschließlich um eine Chrome-Extension handelt, wird der Chrome-Browser benötigt, damit das Tool eingefügte Prompts verschlüsseln kann. Im Chrome-Webstore lässt sich die offene Anwendung kostenlos herunterladen. Es ist wichtig zu beachten, dass die Erweiterung wirklich aktiv ist. Die untere Abbildung zeigt, wie ich oben an der Browserleiste über das angepinnte Icon die Tool-Settings geöffnet habe. Der obere Button befindet sich im blauen Bereich und die Chrome-Extension ist somit aktiviert.
Die Anwendung funktioniert ausschließlich für die Chatangebote von Gemini, Claude und ChatGPT (Stand: 27.05.2026). Dies lässt sich auf GitHub einsehen, wo ich die Erweiterung mit dem gesamten Code frei verwenden kann.
Um die DFKI-Extension testen zu können, wird ein geeigneter Prompt mit einer bestimmten Anzahl an persönlichen Daten formuliert, die das Tool umgehend verschlüsseln soll. Den Prompt habe ich über den Gemini-Chat verfasst und anschließend per Copy und Paste in ChatGPT eingefügt. Wichtig: Nutzt man nicht die Copy-and-Paste-Funktion, so klappt die Anonymisierung des Textes auch nicht.
Prompt: Mein Name ist Dr. Thomas Meier, ich wurde am 14. März 1984 in Hamburg geboren und arbeite derzeit als leitender Softwareentwickler bei der TechFuture GmbH in München. Unter der Woche bin ich meistens über meine geschäftliche E-Mail-Adresse t.meier@techfuture.de oder mobil unter +49 172 1234567 zu erreichen. Für meine tägliche Pendelstrecke von meiner Wohnung in der Goethestraße 48 zum Büro nutze ich mein Auto mit dem Kennzeichen M-TM 1984. Am Wochenende verbringe ich viel Zeit mit meiner Frau Sabrina und unseren beiden Kindern, Lukas (6) und Emma (3), oder kümmere mich um die Finanzen für unser Haus, das wir über die Sparkasse München mit der IBAN DE45 3705 0198 1234 5678 90 finanzieren.Nachdem ich den generierten Beispieltext aus Gemini in ChatGPT hineinkopiert habe, öffnet sich direkt ein Fenster mit der Bezeichnung „Sensitive data detected“. Im unteren Screenshot wurden 13 sensible Daten gefunden und farbig markiert. Auf den ersten Blick ist die Einordnung sehr übersichtlich und man erkennt direkt, welche Informationen wichtig erscheinen.
Der gesamte Prompt ist im großen linken Bereich farbig unterteilt dargestellt. Auf der rechten Seite sind die sicherheitsrelevanten Prompt-Bestandteile gelistet. Diese lassen sich jederzeit anpassen, falls das Tool eine falsche Einordnung vorgenommen und zum Beispiel den Personennamen mit der E-Mail-Adresse verwechselt hat. Dies kann durchaus vorkommen. Hier muss immer kontrolliert werden!
Zu den markierten Prompt-Komponenten gehören unter anderem der Name der fiktiven Person Thomas Meier, der Arbeitgeber TechFuture GmbH und die geschäftliche Mail-Adresse t.meier@techfuture.de sowie die Vornamen seiner Frau Sabrina und der beiden Kinder Emma und Lukas. Solche Daten möchte man in der Regel nicht an die Server der KI-Anbieter übermitteln, ganz egal, ob sich diese in der Europäischen Union oder den USA befinden.
Über den Reiter „Anonymized“ wird der verschlüsselte Prompt mit Elementen wie [PERSON_10] oder [PHONE_3] angezeigt. Der verschlüsselte Prompt lässt sich rechts unten über den Button „Anonymize & paste“ in die ChatGPT-Promptleiste einfügen. Ein Sprachmodell kann auf der Grundlage solch allgemeiner Informationen kaum Rückschlüsse auf sensible Daten vornehmen. Dies ist die Kernfunktion der Chrome-Erweiterung Privacy Guardrail. Über den Reiter „Original“ geht es dann wieder zurück zum ursprünglichen, unverschlüsselten Textinput.
Möchte ich gezielt Änderungen an einer Prompt-Komponente wie der Person vornehmen, da es sich hierbei womöglich um eine E-Mail-Adresse handelt, die vom Tool nicht korrekt deklariert wurde, so nutze ich neben dem ausgewählten „Item“ das Drop-Down-Menü und wechsle von Person auf E-Mail oder Ähnliches. Der untere Screenshot zeigt dies innerhalb der unterstützten KI-Umgebung ChatGPT.
Da ich mir die Einteilung des DFKI-Tools etwas genauer angeschaut habe, fiel mir auf, dass der Ausdruck „Unter“ farbig markiert ist und somit zu den sensiblen Daten gehört. Dies würde ich so nicht einordnen und nehme individuell eine Änderung vor. Es klappt nicht immer alles zu 100 %. Daher können User gezielt Änderungen vornehmen. Um das Wort „Unter“ nicht mehr mit einer Verschlüsselung zu versehen, scrolle ich auf der rechten Seite zu „Unter“ und entferne links neben dem Ausdruck das Häkchen.
Zusätzlich fällt mir auf, dass der Geburtstag von Thomas Meier und sein Autokennzeichen nicht als vertraulich gelabelt sind. Dies passe ich ebenfalls an. Auch hier wieder: Es gilt zu kontrollieren, ob die Anwendung den Textinput vollständig zu 100 % korrekt verschlüsselt hat und nicht womöglich eine sensible Komponente fehlt.
Mit der Maus markiere ich nun Geburtstag & Autokennzeichen und füge diese über die rechte Navigation nach einem Klick auf den Pfeil neben der Bezeichnung „10 more types“ als „Date“ und „Misc (Sonstiges)“ hinzu. Die offene Extension lässt sich sehr flexibel anpassen. Super! Änderungen können umgehend wieder rückgängig gemacht werden.
Die untere Abbildung zeigt, dass die Anpassung erfolgreich war. Die beiden Prompt-Bausteine tauchen ganz unten auf der rechten Seite mit grüner Markierung auf unter den Einordnungen „DATE“ und „MISC“. Rechts daneben wird zusätzlich die Bezeichnung „manuell“ dargestellt, da ich dies selbständig geändert habe. So kann ich stets den Überblick behalten, welche Verschlüsselungen das Tool Privacy Guardrail vorgenommen hat und wie viele Bestandteile ich in Eigenregie anonymisiert habe.
Nun ist der Prompt aus meiner Sicht „gut“ verschlüsselt. Daher klicke ich rechts unten auf den blauen Button „Anonymize & paste“ und füge den verschlüsselten Prompt in ChatGPT ein. Zusätzlich ergänze ich unterhalb des Inputs den User-Prompt
***Liste aller persönlichen Informationen***,
um zu überprüfen, ob die Chrome-Extension auch hinsichtlich einer korrekten Wiedergabe des anonymisierten Contents innerhalb des Chats reibungslos funktioniert.
Prompt-Anonymisierung (Anpassung erfolgreich): Mein Name ist Dr. [PERSON_10], ich wurde am [DATE_1] in [LOCATION_11] geboren und arbeite derzeit als leitender Softwareentwickler bei der [ORGANIZATION_5] in [LOCATION_12]. Unter der Woche bin ich meistens über meine geschäftliche E-Mail-Adresse [EMAIL_5] oder mobil unter [PHONE_3] zu erreichen. Für meine tägliche Pendelstrecke von meiner Wohnung in der [LOCATION_13] zum Büro nutze ich mein Auto mit dem Kennzeichen [MISC_1]. Am Wochenende verbringe ich viel Zeit mit meiner Frau [PERSON_11] und unseren beiden Kindern, [PERSON_12] (6) und [PERSON_13] (3), oder kümmere mich um die Finanzen für unser Haus, das wir über die [ORGANIZATION_6] mit der IBAN DE45 [CREDIT_CARD_1] 90 finanzieren.Im Anschluss gibt ChatGPT eine Auflistung der sensiblen Daten aus, mit den einzelnen Verschlüsselungen. Je nach eigener Beurteilung hinsichtlich sicherheitsrelevanter Informationen hätte man wohl auch die Tätigkeit als leitender Softwareentwickler anonymisieren können und die genauen Alterszahlen der beiden Kinder. Es wäre gar nicht so verkehrt, die Anwendung im Vorfeld tiefergehend auszuprobieren, bevor die Chrome-Erweiterung in der Praxis eingesetzt wird.
Die schwarze Leiste zwischen dem User-Prompt und dem KI-Output wird vom Verschlüsselungstool innerhalb von ChatGPT angezeigt und bietet rechts über den Button „Reveal originals“ die Möglichkeit, zwischenzeitlich die ursprünglichen Daten einzusehen, ohne dass diese an die Server von OpenAI nach San Francisco übertragen werden.
Nach einem Klick auf „Hide originals“ wird dann wieder die Anonymisierung der vertraulichen Daten dargestellt. Ein Switch ist jederzeit möglich. Schaut euch das Tool gerne etwas genauer an. Es gibt noch weitere Funktionen hinsichtlich der Feinabstimmung und ähnlicher Feature. Viel Erfolg bei euren Prompt-Verschlüsselungen.
Autor
