Am 21. April 2026 veröffentlichte OpenAI still und leise etwas namens Privacy Filter. Es ist ein Mixture-of-Experts-Modell mit 1,5 Milliarden Parametern, das personenbezogene Daten in Text erkennt und schwärzt. Es läuft lokal. Es ist Apache 2.0. Es erreicht 96 % F1 im Standard-Benchmark für PII-Maskierung. Das gesamte Modell, samt Gewichten, liegt auf Hugging Face und GitHub für jeden zur Verwendung bereit.

Ich möchte darüber sprechen, was diese Veröffentlichung bedeutet und warum wir es diese Woche in Ostlers Pipeline aufnehmen.

Was das Ding tatsächlich ist

Das Modell ist nach Frontier-Maßstäben klein. 1,5 Milliarden Parameter insgesamt, nur 50 Millionen aktiv zur Inferenzzeit dank des Mixture-of-Experts-Designs. 128k Kontextfenster, was großzügig ist für eine Aufgabe, die üblicherweise auf kurzen Zeichenketten arbeitet. Es ist ein bidirektionaler Token-Klassifikator mit Span-Decoding, was die richtige Architektur für diese Aufgabe ist – er markiert Anfang und Ende jedes privaten Spans im Text, anstatt die ganze Zeichenkette umzuschreiben und zu hoffen.

Acht Kategorien ab Werk: private Person, private Adresse, private E-Mail, private Telefonnummer, private URL, privates Datum, Kontonummer und generisches Geheimnis. Mit geringen Mengen domänenspezifischer Daten feinabstimmbar, was den F1-Wert Berichten zufolge ohne großen Aufwand von rund 54 % auf 96 % anhebt.

Auf einem Verbraucher-Mac ist dieses Ding nahezu kostenlos im Betrieb. 50 Millionen aktive Parameter sind weniger RAM als ein Browser-Tab. Sie können eine Nutzlast von 10.000 Zeichen säubern, bevor eine Web-Anfrage fertig geladen ist.

Warum es wichtig ist, dass OpenAI es veröffentlicht

Lassen Sie das Produkt einen Moment beiseite. Das strategische Signal hier ist laut.

OpenAIs kommerzielles Geschäft beruht darauf, dass Sie ihnen Ihren Text schicken. Das ist die Stückkostenrechnung. Jeder API-Aufruf ist Umsatz. Wenn die PII-Erkennung an ihrem Rand, auf ihren Servern, in ihrer Cloud stattfinden müsste, dann hätten sie sie dort gebaut – und sie hätten Ihnen pro Token für das Privileg berechnet.

Das haben sie nicht. Sie haben es als offene Gewichte veröffentlicht, unter einer permissiven Lizenz, ausgelegt für den Betrieb auf Ihrer eigenen Maschine, mit ausdrücklicher Dokumentation, die besagt: dies dient der De-Identifizierung von Daten, bevor sie das Gerät verlassen.

Wenn das größte Cloud-KI-Unternehmen der Welt Ihnen ein Modell liefert, das speziell dafür entwickelt wurde, Ihre Daten von Cloud-KI-Unternehmen fernzuhalten, schenken Sie ihm Aufmerksamkeit. Sie sagen Ihnen, wohin sich die Branche ihrer Meinung nach bewegt.

Das ist dieselbe These, die Karpathy am 17. Oktober 2025 bei Dwarkesh formulierte. Kleine Modelle, eng spezialisiert, lokal laufend, schlagen große Modelle, die alles machen. Sechs Monate später veröffentlichte OpenAI ein konkretes Beispiel dieses Musters. Und ein paar Tage danach erschien ein begutachtetes Paper der Universität Nanjing und von ByteDance ("PersonaVLM", arXiv:2604.13074) mit demselben architektonischen Argument und einem Benchmark dahinter – ein Reasoner mit 7 Milliarden Parametern und kuratiertem personalisiertem Speicher, der GPT-4o bei Langzeit-Personalisierungsaufgaben um 5,2 % schlägt. Drei unabhängige Bestätigungen – ein Forscher im Oktober, ein Frontier-Labor und ein akademisches Team im April – für die Wette, die wir bereits platziert hatten.

Was wir damit machen

Ostler war schon immer local-first. Ihre Daten verlassen Ihren Mac nicht, es sei denn, Sie verlangen es ausdrücklich, und selbst dann reisen sie durch einen Payload-Viewer, der Ihnen jeden Skalar zeigt, bevor er gesendet wird.

Privacy Filter fügt sich als zusätzlicher Gürtel über den Hosenträgern ein. Wir binden es an drei Stellen ein.

Eins: Ingest. Wenn Ostler einen DSGVO-Export importiert oder Ihren Browserverlauf liest oder Fakten aus einem aufgezeichneten Gespräch extrahiert, gibt es Grenzfälle, in denen Namen Dritter an Stellen rutschen, die der Nutzer nicht erwartet hat. Wenn wir Privacy Filter über die extrahierten Fakten laufen lassen, können wir markieren: "diese Notiz erwähnt jemanden, der noch nicht in Ihrem Graphen ist, möchten Sie seine Daten speichern?" anstatt sie still zu indexieren. Das ist eine Einwilligungsfrage des Nutzers, die Ostler jetzt zu stellen in der Lage ist.

Zwei: das Doctor-Diagnose-Bundle. Wenn etwas kaputtgeht und Sie uns ein Support-Bundle schicken, bereinigen wir es bereits. Heute ist das eine handgepflegte Positivliste akzeptabler Skalartypen. Morgen ist es die Positivliste plus Privacy Filter, das über jede Zeichenkette im Bundle läuft, bevor komprimiert wird. Was das Modell markiert, wird geschwärzt und Ihnen in einer Vorher-Nachher-Ansicht gezeigt. Sie genehmigen den Versand oder brechen ihn ab. Nichts geht ohne Ihren Blick darauf.

Drei: Cloud-Routing, falls und wann. Ostler leitet derzeit keine Anfrage an Cloud-LLMs weiter. Irgendwann fügen wir vielleicht einen Opt-in-Pfad für Anfragen hinzu, die offensichtlich öffentlich sind – "in welchem Jahr fiel die Berliner Mauer" –, wo ein Cloud-Modell eine bessere Antwort gibt und keine persönlichen Daten beteiligt sind. Privacy Filter wird zum Vorab-Tor. Wenn es irgendetwas Privates in der Anfrage erkennt, wird die Route abgebrochen, die Anfrage läuft lokal, und Ihnen wird gezeigt, warum. Keine stillen Lecks.

Die Engineering-Arbeit ist nicht riesig. Das Integrations-Scoping-Dokument, das ich diese Woche entworfen habe, setzt Phase 1 auf unter drei Entwicklertage an. Die größere Arbeit ist die UI drumherum – der Vorher-Nachher-Viewer, die Einwilligungsabläufe, der Audit-Trail –, denn dort wird das Vertrauen der Nutzer tatsächlich verdient.

Das Doppelt-hält-besser-Argument

Privacy Filter ist kein Allheilmittel. 96 % F1 bedeutet, dass 4 % der PII irgendwo durchrutschen, was über einen lang genug bemessenen Zeitraum ein echtes Versagensmuster ist. Wir ersetzen unsere bestehenden Kontrollen nicht dadurch. Wir stapeln es obendrauf.

Die Architektur verläuft so: Positivliste zuerst, Modell als Zweites, Augen des Nutzers als Drittes. Wenn eine dieser Schichten versagt, leckt das Ihre Daten nicht. Die Positivliste weist alles zurück, was nicht einem bekannten sicheren Muster entspricht. Das Modell markiert PII in natürlicher Sprache, die die Positivliste nicht durchschauen kann. Der Viewer zeigt Ihnen die endgültige Nutzlast, bevor sie die Maschine verlässt. Drei Versagen müssen sich stapeln, damit ein Leck entsteht, und das dritte sind Sie, die auf "senden" klicken bei etwas, das Sie lesen können.

Das ist ein anderes Vertrauensmodell als "wir versprechen hoch und heilig, dass unsere Cloud sicher ist". Die interessante Frage ist nicht, ob unsere Schichten perfekt sind. Sie ist, ob unsere Schichten plus Ihre Aufmerksamkeit vertrauenswürdiger sind als der Server eines anderen plus dessen Datenschutzrichtlinie. Ich denke, sie sind es offensichtlich. Ich habe Ostler auf dieser Überzeugung aufgebaut.

Was dies über die nächsten zwölf Monate aussagt

Spezialmodelle mit offenen Gewichten werden im Laufe des nächsten Jahres den Markt überschwemmen. Privacy Filter ist eines. Es wird kleine lokale Modelle geben für Code-Analyse, für Dokumentenklassifizierung, für medizinische Schwärzung, für barrierefreie Transkription. Jedes von ihnen ist ein Stück Infrastruktur, das ein local-first-Produkt für etwa die Kosten des RAM, der sie hält, in seine Pipeline einbauen kann.

Die Lücke zwischen "lokaler KI" und "Cloud-KI" war früher eine Fähigkeitslücke. Sie wird zu einer Montagelücke. Wer hat die beste Pipeline kleiner, kombinierbarer, lokaler Modelle, die enge Aufgaben wirklich gut erledigen? Nicht wer das größte Einzelmodell hat.

Wir haben einen Vorsprung bei dieser Pipeline. OpenAI hat gerade kostenlos ein gutes Teil dazu beigesteuert.

Gedanken, Fragen oder Korrekturen zum Pipeline-Design – [email protected].