El 21 de abril de 2026, OpenAI publicó discretamente algo llamado Privacy Filter. Es un modelo mixture-of-experts de 1.500 millones de parámetros que detecta información personalmente identificable en texto y la censura. Funciona localmente. Es Apache 2.0. Alcanza un 96 % de F1 en el benchmark estándar de enmascaramiento de PII. El modelo entero, con pesos y todo, está en Hugging Face y GitHub para que cualquiera lo use.
Quiero hablar de lo que significa esa publicación, y de por qué lo estamos añadiendo al pipeline de Ostler esta semana.
Qué es realmente la cosa
El modelo es pequeño según los estándares de frontera. 1.500 millones de parámetros en total, solo 50 millones activos en el momento de la inferencia gracias al diseño mixture-of-experts. Ventana de contexto de 128k, que es generosa para una tarea que normalmente opera sobre cadenas cortas. Es un clasificador de tokens bidireccional con decodificación de spans, que es la arquitectura adecuada para este trabajo – marca el inicio y el final de cada span privado en el texto en lugar de reescribir toda la cadena y esperar.
Ocho categorías de fábrica: persona privada, dirección privada, correo privado, teléfono privado, URL privada, fecha privada, número de cuenta y secreto genérico. Ajustable con pequeñas cantidades de datos específicos del dominio, llevando el F1, según se informa, de alrededor del 54 % al 96 % sin mucho esfuerzo.
En un Mac de consumo, esta cosa es casi gratuita de ejecutar. 50 millones de parámetros activos es menos RAM que una pestaña del navegador. Puedes depurar una carga útil de 10.000 caracteres antes de que una petición web termine de cargar.
Por qué importa que OpenAI lo publique
Deja el producto a un lado un minuto. La señal estratégica aquí es fuerte.
El negocio comercial de OpenAI se basa en que tú les envíes tu texto. Esa es la economía unitaria. Cada llamada a la API es ingreso. Si la detección de PII tuviera que ocurrir en su borde, en sus servidores, en su nube, ahí es donde la habrían construido – y te habrían cobrado por token por el privilegio.
No lo hicieron. Lo publicaron como pesos abiertos, bajo licencia permisiva, diseñado para funcionar en tu propia máquina, con documentación explícita que dice esto es para desidentificar datos antes de que salgan del dispositivo.
Cuando la mayor empresa de IA en la nube del planeta te entrega un modelo diseñado específicamente para impedir que tus datos lleguen a las empresas de IA en la nube, presta atención. Te están diciendo hacia dónde creen que va el sector.
Esta es la misma tesis que Karpathy articuló en Dwarkesh el 17 de octubre de 2025. Modelos pequeños, estrechamente especializados, ejecutándose localmente, baten a los modelos grandes que lo hacen todo. Seis meses después, OpenAI publicó un ejemplo concreto del patrón. Y unos días después, un artículo revisado por pares de la Universidad de Nanjing y ByteDance ("PersonaVLM", arXiv:2604.13074) aterrizó con el mismo argumento arquitectónico y un benchmark detrás – un razonador de 7.000 millones de parámetros con memoria personalizada curada batiendo a GPT-4o por un 5,2 % en tareas de personalización a largo plazo. Tres respaldos independientes – un investigador en octubre, un laboratorio de frontera y un equipo académico en abril – para la apuesta que ya habíamos hecho.
Qué estamos haciendo con él
Ostler siempre ha sido local-first. Tus datos no salen de tu Mac a menos que lo pidas explícitamente, e incluso entonces viajan a través de un visor de carga útil que te muestra cada escalar antes de enviarse.
Privacy Filter encaja como un cinturón extra sobre los tirantes. Lo estamos integrando en tres lugares.
Uno: la ingesta. Cuando Ostler importa un export del RGPD, o lee tu historial del navegador, o extrae hechos de una conversación grabada, hay casos límite donde nombres de terceros se cuelan en lugares que el usuario no esperaba. Ejecutar Privacy Filter sobre los hechos extraídos nos permite señalar "esta nota menciona a alguien que aún no está en tu grafo, ¿quieres guardar sus datos?" en lugar de indexarlos en silencio. Esa es una pregunta de consentimiento del usuario que Ostler ahora está en posición de hacer.
Dos: el paquete de diagnóstico Doctor. Cuando algo se rompe y nos envías un paquete de soporte, ya lo saneamos. Hoy eso es una lista de permitidos mantenida a mano de tipos escalares aceptables. Mañana es la lista de permitidos más Privacy Filter ejecutándose sobre cada cadena del paquete antes de la compresión. Lo que el modelo señale se censura y se te muestra en una vista de antes y después. Apruebas el envío, o lo cancelas. Nada se va sin tu ojo encima.
Tres: el enrutamiento a la nube, si llega el caso. Ostler actualmente no enruta ninguna consulta a LLM en la nube. En algún momento podríamos añadir una vía opcional para consultas que son obviamente públicas – "en qué año cayó el Muro de Berlín" – donde un modelo en la nube da una mejor respuesta y no hay datos personales en juego. Privacy Filter se convierte en la puerta previa al vuelo. Si detecta algo privado en la consulta, la ruta se aborta, la consulta se ejecuta localmente, y se te muestra por qué. Sin fugas silenciosas.
El trabajo de ingeniería no es enorme. El documento de alcance de integración que redacté esta semana sitúa la Fase 1 en menos de tres días-ingeniero. El trabajo mayor es la interfaz alrededor – el visor de antes y después, los flujos de consentimiento, el registro de auditoría – porque ahí es donde la confianza del usuario se gana realmente.
El argumento del cinturón y los tirantes
Privacy Filter no es una bala de plata. Un 96 % de F1 significa que un 4 % de la PII se cuela en algún punto, lo que en una escala temporal lo bastante larga es un modo de fallo real. No reemplazamos nuestros controles existentes por él. Lo apilamos encima.
La arquitectura va así: la lista de permitidos primero, el modelo segundo, los ojos del usuario tercero. Que cualquiera de esas capas falle no filtra tus datos. La lista de permitidos rechaza todo lo que no encaje con un patrón seguro conocido. El modelo señala PII en lenguaje natural sobre la que la lista de permitidos no puede razonar. El visor te muestra la carga útil final antes de que salga de la máquina. Tres fallos tienen que apilarse para que ocurra una fuga, y el tercero eres tú haciendo clic en "enviar" sobre algo que puedes leer.
Ese es un modelo de confianza distinto a "prometemos por lo más sagrado que nuestra nube es segura". La pregunta interesante no es si nuestras capas son perfectas. Es si nuestras capas más tu atención son más dignas de confianza que el servidor de otro más su política de privacidad. Creo que obviamente lo son. Construí Ostler sobre esa creencia.
Qué dice esto sobre los próximos doce meses
Los modelos especialistas de pesos abiertos van a inundar el mercado durante el próximo año. Privacy Filter es uno. Habrá modelos locales pequeños para análisis de código, para clasificación de documentos, para censura médica, para transcripción accesible. Cada uno de ellos es una pieza de infraestructura que un producto local-first puede componer en su pipeline por aproximadamente el coste de la RAM para contenerlos.
La brecha entre "IA local" e "IA en la nube" solía ser una brecha de capacidad. Se está convirtiendo en una brecha de ensamblaje. ¿Quién tiene el mejor pipeline de modelos pequeños, componibles y locales haciendo trabajos estrechos realmente bien? No quién tiene el modelo único más grande.
Tenemos ventaja en ese pipeline. OpenAI acaba de añadirle una buena pieza gratis.
Ideas, preguntas o correcciones al diseño del pipeline – [email protected].