Il 21 aprile 2026, OpenAI ha rilasciato silenziosamente qualcosa chiamato Privacy Filter. È un modello mixture-of-experts da 1,5 miliardi di parametri che rileva le informazioni personali identificabili nel testo e le oscura. Gira localmente. È Apache 2.0. Raggiunge il 96 % di F1 sul benchmark standard di mascheramento delle PII. L'intero modello, pesi compresi, è su Hugging Face e GitHub a disposizione di chiunque.
Voglio parlare di cosa significa quel rilascio, e di perché lo stiamo aggiungendo alla pipeline di Ostler questa settimana.
Cos'è davvero la cosa
Il modello è piccolo per gli standard di frontiera. 1,5 miliardi di parametri in totale, solo 50 milioni attivi al momento dell'inferenza grazie al design mixture-of-experts. Finestra di contesto da 128k, che è generosa per un compito che di solito opera su stringhe corte. È un classificatore di token bidirezionale con decodifica di span, che è l'architettura giusta per questo lavoro – segna l'inizio e la fine di ogni span privato nel testo invece di riscrivere l'intera stringa e sperare.
Otto categorie pronte all'uso: persona privata, indirizzo privato, e-mail privata, telefono privato, URL privato, data privata, numero di conto e segreto generico. Affinabile con piccole quantità di dati specifici del dominio, portando il F1, a quanto si dice, da circa il 54 % al 96 % senza grande sforzo.
Su un Mac di consumo, questa cosa è quasi gratuita da eseguire. 50 milioni di parametri attivi sono meno RAM di una scheda del browser. Puoi ripulire un payload di 10.000 caratteri prima che una richiesta web finisca di caricarsi.
Perché conta che sia OpenAI a rilasciarlo
Metti da parte il prodotto per un minuto. Il segnale strategico qui è forte.
L'attività commerciale di OpenAI si fonda sul fatto che tu invii loro il tuo testo. È l'economia unitaria. Ogni chiamata all'API è fatturato. Se il rilevamento delle PII dovesse avvenire al loro margine, sui loro server, nel loro cloud, è lì che l'avrebbero costruito – e ti avrebbero addebitato a token per il privilegio.
Non l'hanno fatto. L'hanno rilasciato a pesi aperti, con licenza permissiva, progettato per girare sulla tua macchina, con documentazione esplicita che dice questo serve a de-identificare i dati prima che lascino il dispositivo.
Quando la più grande azienda di IA cloud del pianeta ti consegna un modello progettato specificamente per impedire ai tuoi dati di raggiungere le aziende di IA cloud, presta attenzione. Ti stanno dicendo dove pensano stia andando il settore.
Questa è la stessa tesi che Karpathy ha articolato su Dwarkesh il 17 ottobre 2025. Modelli piccoli, strettamente specializzati, che girano localmente, battono i modelli grandi che fanno tutto. Sei mesi dopo OpenAI ha rilasciato un esempio concreto del pattern. E pochi giorni dopo, un articolo sottoposto a revisione paritaria dell'Università di Nanjing e di ByteDance ("PersonaVLM", arXiv:2604.13074) è arrivato con lo stesso argomento architettonico e un benchmark a sostegno – un reasoner da 7 miliardi di parametri con memoria personalizzata curata che batte GPT-4o del 5,2 % nei compiti di personalizzazione a lungo termine. Tre conferme indipendenti – un ricercatore a ottobre, un laboratorio di frontiera e un team accademico ad aprile – per la scommessa che avevamo già piazzato.
Cosa ci facciamo
Ostler è sempre stato local-first. I tuoi dati non lasciano il tuo Mac a meno che tu non lo chieda esplicitamente, e anche allora viaggiano attraverso un visualizzatore di payload che ti mostra ogni scalare prima che venga inviato.
Privacy Filter si inserisce come una cintura in più sopra le bretelle. Lo stiamo integrando in tre punti.
Uno: l'ingestione. Quando Ostler importa un export GDPR, o legge la tua cronologia del browser, o estrae fatti da una conversazione registrata, ci sono casi limite in cui nomi di terze parti si insinuano in punti che l'utente non si aspettava. Far passare Privacy Filter sui fatti estratti ci consente di segnalare "questa nota menziona qualcuno che non è ancora nel tuo grafo, vuoi salvare i suoi dati?" invece di indicizzarli silenziosamente. È una domanda di consenso dell'utente che Ostler è ora in grado di porre.
Due: il bundle diagnostico Doctor. Quando qualcosa si rompe e ci invii un bundle di supporto, lo ripuliamo già. Oggi è una lista di consentiti mantenuta a mano di tipi scalari accettabili. Domani è la lista di consentiti più Privacy Filter che gira su ogni stringa del bundle prima della compressione. Tutto ciò che il modello segnala viene oscurato e ti viene mostrato in una vista prima-e-dopo. Approvi l'invio, oppure lo annulli. Niente parte senza il tuo occhio sopra.
Tre: l'instradamento al cloud, se e quando. Ostler al momento non instrada alcuna query verso LLM cloud. A un certo punto potremmo aggiungere un percorso opt-in per le query che sono ovviamente pubbliche – "in che anno è caduto il Muro di Berlino" – dove un modello cloud dà una risposta migliore e non sono coinvolti dati personali. Privacy Filter diventa il cancello pre-volo. Se rileva qualcosa di privato nella query, la rotta viene interrotta, la query gira localmente, e ti viene mostrato perché. Nessuna fuga silenziosa.
Il lavoro ingegneristico non è enorme. Il documento di scoping dell'integrazione che ho redatto questa settimana colloca la Fase 1 a meno di tre giorni-ingegnere. Il lavoro maggiore è l'interfaccia attorno – il visualizzatore prima-e-dopo, i flussi di consenso, la pista di controllo – perché è lì che la fiducia degli utenti si guadagna davvero.
L'argomento della cintura e delle bretelle
Privacy Filter non è una bacchetta magica. Il 96 % di F1 significa che il 4 % delle PII sfugge da qualche parte, il che su una scala temporale abbastanza lunga è una vera modalità di guasto. Non sostituiamo i nostri controlli esistenti con esso. Lo impiliamo sopra.
L'architettura procede così: prima la lista di consentiti, poi il modello, terzi gli occhi dell'utente. Il guasto di una qualsiasi di queste fasi non fa trapelare i tuoi dati. La lista di consentiti rifiuta tutto ciò che non corrisponde a un pattern sicuro noto. Il modello segnala le PII in linguaggio naturale su cui la lista di consentiti non può ragionare. Il visualizzatore ti mostra il payload finale prima che lasci la macchina. Tre guasti devono accumularsi perché una fuga avvenga, e il terzo sei tu che clicchi "invia" su qualcosa che puoi leggere.
È un modello di fiducia diverso da "giuriamo sul mignolo che il nostro cloud è sicuro". La domanda interessante non è se i nostri strati siano perfetti. È se i nostri strati più la tua attenzione siano più affidabili del server di qualcun altro più la sua informativa sulla privacy. Penso che lo siano ovviamente. Ho costruito Ostler su questa convinzione.
Cosa dice questo sui prossimi dodici mesi
I modelli specialisti a pesi aperti inonderanno il mercato nel corso del prossimo anno. Privacy Filter è uno. Ci saranno piccoli modelli locali per l'analisi del codice, per la classificazione di documenti, per l'oscuramento medico, per la trascrizione accessibile. Ognuno di essi è un pezzo di infrastruttura che un prodotto local-first può comporre nella sua pipeline per circa il costo della RAM necessaria a contenerli.
Il divario tra "IA locale" e "IA cloud" era un divario di capacità. Sta diventando un divario di assemblaggio. Chi ha la migliore pipeline di modelli piccoli, componibili e locali che svolgono compiti ristretti davvero bene? Non chi ha il singolo modello più grande.
Abbiamo un vantaggio su quella pipeline. OpenAI ha appena aggiunto un buon pezzo gratis.
Pensieri, domande o correzioni al design della pipeline – [email protected].