Tools / Neuigkeiten / OpenAI veröffentlicht Privacy Filter, ein quelloffenes Modell, das personenbezogene Daten lokal entfernt, bevor sie das Gerät verlassen
Presse

OpenAI veröffentlicht Privacy Filter, ein quelloffenes Modell, das personenbezogene Daten lokal entfernt, bevor sie das Gerät verlassen

· VaultTools

Am 22. April 2026 veröffentlichte OpenAI Privacy Filter, ein quelloffenes Modell mit 1,5 Milliarden Parametern unter Apache 2.0, das acht Kategorien personenbezogener Daten direkt auf dem Gerät erkennt und maskiert. Es erreicht 96 % F1 im PII-Masking-300k-Benchmark, läuft auf einer CPU mit 4 bis 8 GB RAM und ist auf Hugging Face und GitHub veröffentlicht.

VaultTools · 28. April 2026

Ein Laptop-Bildschirm zeigt Quellcode in einem dunklen Editor und steht sinnbildlich für ein Modell, das Texte direkt auf dem Gerät verarbeitet, ohne sie an einen Server zu senden. Foto auf Unsplash

Inhaltsverzeichnis


Was Geschah

Am 22. April 2026 veröffentlichte OpenAI ein neues quelloffenes Modell namens Privacy Filter. Die Ankündigung auf der OpenAI-Website beschreibt es als kleines Modell, das personenbezogene Daten (PII) in Texten erkennen und maskieren soll, bevor diese gespeichert, weitergegeben oder an ein anderes System übermittelt werden.

Das Modell ist auf Hugging Face und auf GitHub unter der Apache-2.0-Lizenz veröffentlicht. Laut OpenAI ist das Modell „klein genug, um lokal ausgeführt zu werden”, sodass „noch nicht gefilterte Daten auf dem Gerät bleiben können”. Die auf den 22. April 2026 datierte Modellkarte bestätigt dasselbe Ziel: Das Modell ist für den Einsatz vor Ort und im Offline-Betrieb konzipiert.

VentureBeat, Decrypt, The New Stack und Help Net Security berichteten am 22. und 23. April 2026 über die Veröffentlichung und beschrieben das Modell als Werkzeug zur Datenbereinigung auf dem Gerät, das sich an Unternehmensteams richtet, die Texte in LLMs einspeisen.

Was das Modell leistet

Privacy Filter ist ein bidirektionaler Token-Klassifikator. Übliche große Sprachmodelle sagen das nächste Token von links nach rechts vorher. Ein Token-Klassifikator liest eine Sequenz in beide Richtungen und kennzeichnet jedes Token, was die etablierte Architektur für Eigennamenerkennung und PII-Erkennung ist.

Das Modell ordnet sensible Daten in acht Kategorien ein: Namen, Adressen, E-Mail-Adressen, Telefonnummern, URLs, Daten, Kontonummern und Geheimnisse. Die Kategorie „Kontonummern” umfasst etwa Kreditkarten- und Bankkontonummern. Die Kategorie „Geheimnisse” umfasst Passwörter und API-Schlüssel.

Der veröffentlichte Checkpoint hat 1,5 Milliarden Parameter insgesamt, davon 50 Millionen aktive Parameter, und ein Kontextfenster von 128.000 Token. Dieses Fenster ist groß genug, um einen langen Vertrag, einen Arztbericht oder einen mehrteiligen E-Mail-Verlauf in einem einzigen Durchgang zu verarbeiten.

Leistung und Hardwareanforderungen

OpenAI gibt einen F1-Wert von 96 % im öffentlichen PII-Masking-300k-Benchmark an, aufgeschlüsselt in 94,04 % Präzision und 98,04 % Recall. Auf einer korrigierten Variante desselben Benchmarks, die während der Auswertung festgestellte Annotationsprobleme behebt, steigt der Wert auf 97,43 % F1 (96,79 % Präzision, 98,08 % Recall). Tonic.ai und Security Boulevard veröffentlichten unabhängige Benchmark-Analysen und merkten an, dass reale PII-Daten weiterhin von öffentlichen Datensätzen abweichen und domänenspezifisches Tuning für hochsensible Arbeitsabläufe relevant bleibt.

Die Hardwareanforderungen sind moderat. Laut Berichten in The New Stack und einem veröffentlichten Bereitstellungsleitfaden läuft das Modell auf einer GPU mit etwa 3 GB VRAM in FP16, mit einer Latenz von 100 bis 300 Millisekunden für mittellange Texte. Auf reiner CPU genügen 4 bis 8 GB RAM auf einem Intel- oder AMD-Chip aus dem Jahr 2020 oder neuer, mit einer Latenz im Bereich von 1 bis 2 Sekunden.

Warum ein Modell auf dem Gerät wichtig ist

Die meisten bestehenden PII-Schwärzungsdienste arbeiten umgekehrt. Der Nutzer oder eine Anwendung sendet Text an eine Cloud-API. Die API liefert eine geschwärzte Version zurück. Der ungeschwärzte Text hat das Gerät bereits verlassen, bevor er bereinigt wird. Genau diese Konfiguration führt zu den bekannten Schlagzeilen über versehentlich indexierte Dokumente, offen zugängliche Cloud-Buckets und Sicherheitsvorfälle in der Verarbeitungspipeline.

Die Formulierung von OpenAI in der eigenen Ankündigung ist eindeutig: Wird der Filter auf dem Gerät betrieben, können „personenbezogene Daten maskiert oder geschwärzt werden, ohne dass sie das Gerät verlassen”. Help Net Security zitierte OpenAI am 23. April mit der Beschreibung des Anwendungsfalls als „Datenbereinigung mit hohem Durchsatz”, für die Teams ein Modell benötigen, das vor Ort läuft.

Dieses Muster entspricht genau dem, wofür datenschutzfreundliche Browser-Werkzeuge seit Jahren plädieren: Daten dort verarbeiten, wo sie bereits liegen. Ein Schwärzungsmodell, das einen Netzwerkaufruf an einen Anbieter erfordert, kann nicht ehrlich behaupten, lokal zu verarbeiten. Ein Schwärzungsmodell, das als Checkpoint mit 1,5 Milliarden Parametern auf einer Laptop-CPU läuft, schon.

Von OpenAI eingeräumte Grenzen

Die Modellkarte und die Ankündigung sprechen die Schwächen des Modells offen an. Privacy Filter kann seltene Identifikatoren und mehrdeutige private Bezüge übersehen. Bei knappem Kontext kann es zu viel oder zu wenig schwärzen. Für juristische, medizinische und finanzielle Arbeitsabläufe schreibt OpenAI: „Menschliche Prüfung sowie domänenspezifische Evaluierung und Feinabstimmung bleiben wichtig.”

Das Modell ist außerdem an seine acht Kategorien gebunden. Identifikatoren außerhalb dieser Taxonomie, etwa unternehmensspezifische Personalnummernschemata, lassen sich ohne Feinabstimmung möglicherweise nicht erkennen. Die Benchmark-Analyse von Tonic.ai macht denselben Punkt: Jeder PII-Detektor muss an Daten getestet werden, die der tatsächlichen Produktionsdatenlage des Nutzers entsprechen.

Was das für browserbasierte Datei-Werkzeuge bedeutet

Die Veröffentlichung bestätigt eine These, nach der VaultTools und andere datenschutzorientierte Projekte seit Jahren arbeiten: Belastbare Datenschutzgarantien erfordern lokale Verarbeitung, nicht bloß Richtlinien. Ein Anbieter, der zusichert, „Ihre Daten nicht zu speichern”, kann dennoch kompromittiert werden, falsch indexiert oder zur Offenlegung verpflichtet sein. Ein Modell, das auf der CPU des Nutzers läuft, kann nicht preisgeben, was es nie empfangen hat.

Privacy Filter setzt auf der Textebene an. Dieselbe Logik gilt für Dateioperationen. Das Zusammenführen einer PDF-Datei, das Entfernen von EXIF-Daten aus einem Foto, das Konvertieren eines Bildformats oder das Schwärzen von Metadaten kann vollständig im Browser per WebAssembly geschehen, ohne dass die Dateibytes jemals eine Netzwerkgrenze überschreiten. VaultTools setzt dieses Muster für jedes Werkzeug im Katalog konsequent um.

Die Veröffentlichung vom 22. April ergänzt den Stack der lokalen Verarbeitung um ein nützliches Bauteil. Zusammen mit Datei-Werkzeugen auf dem Gerät erhält der Nutzer, oder ein Unternehmensteam, einen Weg, ein Dokument durchgängig zu bereinigen, ohne irgendetwas hochladen zu müssen.


Quellen