OpenAI veröffentlicht Privacy Filter, ein quelloffenes Modell, das personenbezogene Daten lokal entfernt, bevor sie das Gerät verlassen
Am 22. April 2026 veröffentlichte OpenAI Privacy Filter, ein quelloffenes Modell mit 1,5 Milliarden Parametern unter Apache 2.0, das acht Kategorien personenbezogener Daten direkt auf dem Gerät erkennt und maskiert. Es erreicht 96 % F1 im PII-Masking-300k-Benchmark, läuft auf einer CPU mit 4 bis 8 GB RAM und ist auf Hugging Face und GitHub veröffentlicht.
VaultTools · 28. April 2026
Foto auf Unsplash
Inhaltsverzeichnis
- Was geschah
- Was das Modell leistet
- Leistung und Hardwareanforderungen
- Warum ein Modell auf dem Gerät wichtig ist
- Von OpenAI eingeräumte Grenzen
- Was das für browserbasierte Datei-Werkzeuge bedeutet
- Quellen
Was Geschah
Am 22. April 2026 veröffentlichte OpenAI ein neues quelloffenes Modell namens Privacy Filter. Die Ankündigung auf der OpenAI-Website beschreibt es als kleines Modell, das personenbezogene Daten (PII) in Texten erkennen und maskieren soll, bevor diese gespeichert, weitergegeben oder an ein anderes System übermittelt werden.
Das Modell ist auf Hugging Face und auf GitHub unter der Apache-2.0-Lizenz veröffentlicht. Laut OpenAI ist das Modell „klein genug, um lokal ausgeführt zu werden”, sodass „noch nicht gefilterte Daten auf dem Gerät bleiben können”. Die auf den 22. April 2026 datierte Modellkarte bestätigt dasselbe Ziel: Das Modell ist für den Einsatz vor Ort und im Offline-Betrieb konzipiert.
VentureBeat, Decrypt, The New Stack und Help Net Security berichteten am 22. und 23. April 2026 über die Veröffentlichung und beschrieben das Modell als Werkzeug zur Datenbereinigung auf dem Gerät, das sich an Unternehmensteams richtet, die Texte in LLMs einspeisen.
Was das Modell leistet
Privacy Filter ist ein bidirektionaler Token-Klassifikator. Übliche große Sprachmodelle sagen das nächste Token von links nach rechts vorher. Ein Token-Klassifikator liest eine Sequenz in beide Richtungen und kennzeichnet jedes Token, was die etablierte Architektur für Eigennamenerkennung und PII-Erkennung ist.
Das Modell ordnet sensible Daten in acht Kategorien ein: Namen, Adressen, E-Mail-Adressen, Telefonnummern, URLs, Daten, Kontonummern und Geheimnisse. Die Kategorie „Kontonummern” umfasst etwa Kreditkarten- und Bankkontonummern. Die Kategorie „Geheimnisse” umfasst Passwörter und API-Schlüssel.
Der veröffentlichte Checkpoint hat 1,5 Milliarden Parameter insgesamt, davon 50 Millionen aktive Parameter, und ein Kontextfenster von 128.000 Token. Dieses Fenster ist groß genug, um einen langen Vertrag, einen Arztbericht oder einen mehrteiligen E-Mail-Verlauf in einem einzigen Durchgang zu verarbeiten.
Leistung und Hardwareanforderungen
OpenAI gibt einen F1-Wert von 96 % im öffentlichen PII-Masking-300k-Benchmark an, aufgeschlüsselt in 94,04 % Präzision und 98,04 % Recall. Auf einer korrigierten Variante desselben Benchmarks, die während der Auswertung festgestellte Annotationsprobleme behebt, steigt der Wert auf 97,43 % F1 (96,79 % Präzision, 98,08 % Recall). Tonic.ai und Security Boulevard veröffentlichten unabhängige Benchmark-Analysen und merkten an, dass reale PII-Daten weiterhin von öffentlichen Datensätzen abweichen und domänenspezifisches Tuning für hochsensible Arbeitsabläufe relevant bleibt.
Die Hardwareanforderungen sind moderat. Laut Berichten in The New Stack und einem veröffentlichten Bereitstellungsleitfaden läuft das Modell auf einer GPU mit etwa 3 GB VRAM in FP16, mit einer Latenz von 100 bis 300 Millisekunden für mittellange Texte. Auf reiner CPU genügen 4 bis 8 GB RAM auf einem Intel- oder AMD-Chip aus dem Jahr 2020 oder neuer, mit einer Latenz im Bereich von 1 bis 2 Sekunden.
Warum ein Modell auf dem Gerät wichtig ist
Die meisten bestehenden PII-Schwärzungsdienste arbeiten umgekehrt. Der Nutzer oder eine Anwendung sendet Text an eine Cloud-API. Die API liefert eine geschwärzte Version zurück. Der ungeschwärzte Text hat das Gerät bereits verlassen, bevor er bereinigt wird. Genau diese Konfiguration führt zu den bekannten Schlagzeilen über versehentlich indexierte Dokumente, offen zugängliche Cloud-Buckets und Sicherheitsvorfälle in der Verarbeitungspipeline.
Die Formulierung von OpenAI in der eigenen Ankündigung ist eindeutig: Wird der Filter auf dem Gerät betrieben, können „personenbezogene Daten maskiert oder geschwärzt werden, ohne dass sie das Gerät verlassen”. Help Net Security zitierte OpenAI am 23. April mit der Beschreibung des Anwendungsfalls als „Datenbereinigung mit hohem Durchsatz”, für die Teams ein Modell benötigen, das vor Ort läuft.
Dieses Muster entspricht genau dem, wofür datenschutzfreundliche Browser-Werkzeuge seit Jahren plädieren: Daten dort verarbeiten, wo sie bereits liegen. Ein Schwärzungsmodell, das einen Netzwerkaufruf an einen Anbieter erfordert, kann nicht ehrlich behaupten, lokal zu verarbeiten. Ein Schwärzungsmodell, das als Checkpoint mit 1,5 Milliarden Parametern auf einer Laptop-CPU läuft, schon.
Von OpenAI eingeräumte Grenzen
Die Modellkarte und die Ankündigung sprechen die Schwächen des Modells offen an. Privacy Filter kann seltene Identifikatoren und mehrdeutige private Bezüge übersehen. Bei knappem Kontext kann es zu viel oder zu wenig schwärzen. Für juristische, medizinische und finanzielle Arbeitsabläufe schreibt OpenAI: „Menschliche Prüfung sowie domänenspezifische Evaluierung und Feinabstimmung bleiben wichtig.”
Das Modell ist außerdem an seine acht Kategorien gebunden. Identifikatoren außerhalb dieser Taxonomie, etwa unternehmensspezifische Personalnummernschemata, lassen sich ohne Feinabstimmung möglicherweise nicht erkennen. Die Benchmark-Analyse von Tonic.ai macht denselben Punkt: Jeder PII-Detektor muss an Daten getestet werden, die der tatsächlichen Produktionsdatenlage des Nutzers entsprechen.
Was das für browserbasierte Datei-Werkzeuge bedeutet
Die Veröffentlichung bestätigt eine These, nach der VaultTools und andere datenschutzorientierte Projekte seit Jahren arbeiten: Belastbare Datenschutzgarantien erfordern lokale Verarbeitung, nicht bloß Richtlinien. Ein Anbieter, der zusichert, „Ihre Daten nicht zu speichern”, kann dennoch kompromittiert werden, falsch indexiert oder zur Offenlegung verpflichtet sein. Ein Modell, das auf der CPU des Nutzers läuft, kann nicht preisgeben, was es nie empfangen hat.
Privacy Filter setzt auf der Textebene an. Dieselbe Logik gilt für Dateioperationen. Das Zusammenführen einer PDF-Datei, das Entfernen von EXIF-Daten aus einem Foto, das Konvertieren eines Bildformats oder das Schwärzen von Metadaten kann vollständig im Browser per WebAssembly geschehen, ohne dass die Dateibytes jemals eine Netzwerkgrenze überschreiten. VaultTools setzt dieses Muster für jedes Werkzeug im Katalog konsequent um.
Die Veröffentlichung vom 22. April ergänzt den Stack der lokalen Verarbeitung um ein nützliches Bauteil. Zusammen mit Datei-Werkzeugen auf dem Gerät erhält der Nutzer, oder ein Unternehmensteam, einen Weg, ein Dokument durchgängig zu bereinigen, ohne irgendetwas hochladen zu müssen.
Quellen
- Introducing OpenAI Privacy Filter (OpenAI)
- Model Card for OpenAI Privacy Filter, 22. April 2026 (OpenAI)
- openai/privacy-filter (Hugging Face)
- OpenAI Privacy Filter auf GitHub (GitHub)
- OpenAI launches Privacy Filter, an open source, on-device data sanitization model (VentureBeat)
- OpenAI Just Open-Sourced a Tool That Scrubs Your Secrets Before ChatGPT Ever Sees Them (Decrypt)
- OpenAI’s new Privacy Filter runs on your laptop so PII never hits the cloud (The New Stack)
- OpenAI tackles a bad habit people have when interacting with AI (Help Net Security)
- OpenAI Unveils Privacy Filter as Local-Source Solution to AI Data Leaks (Techstrong.ai)
- Benchmarking OpenAI’s Privacy Filter: What it gets right, and where PII detection still needs real data (Tonic.ai)
- OpenAI Privacy Filter FREE: Complete Guide to the Open-Source Model That Masks Personal Data Offline (Pasquale Pillitteri)