Claude Exporter: Thật Sự Có An Toàn Không?
Mình dùng Claude Exporter để xuất chat sang PDF, Markdown. Tiện lợi cực kỳ - đặc biệt khi cần lưu lại các phiên làm việc dài hoặc chia sẻ cho team.
Nhưng có một ngày, đang export một cuộc chat có chứa token API (vô tình), mình chợt giật mình: "Khoan, extension này đọc được hết nội dung chat của mình. Vậy nó có gửi đi đâu không?"
Từ đó bắt đầu hành trình "xét nghiệm" extension này xem nó thực sự hoạt động như thế nào.
📸 Gợi ý hình ảnh: Screenshot giao diện Claude Exporter khi đang xuất file - hiển thị popup với các format PDF, MD, JSON.
Nguyên tắc cơ bản: "Nếu miễn phí, bạn là sản phẩm"
Đây là tư duy bảo mật mình học được khá sớm. Extension/app miễn phí thường kiếm tiền bằng một trong những cách sau:
- Thu thập dữ liệu người dùng
- Bán cho bên thứ ba
- Hoặc đơn giản là... chưa kiếm tiền (nhưng có thể thay đổi sau)
Với Claude Exporter cụ thể:
| Đặc điểm | Thực tế |
|---|---|
| Công ty nhỏ/cá nhân | Không bị audit bảo mật nghiêm ngặt |
| Miễn phí | Không rõ business model |
| Extension có quyền đọc trang | Đọc được MỌI THỨ bạn chat |
| Không open source | Không ai kiểm tra code |
Không có nghĩa là extension xấu - nhưng cần kiểm tra trước khi tin tưởng hoàn toàn.
📸 Gợi ý hình ảnh: Infographic đơn giản minh họa "Nếu miễn phí → Bạn là sản phẩm?" với icons (data, money, user).
Bước 1: Kiểm tra quyền (Permissions) của extension
Vào chrome://extensions/ → Tìm AI Chat Exporter → Nhấn "Details" → Xem phần "Site access".
Kết quả mình thấy:
| Domain | Mục đích có thể | Đánh giá |
|---|---|---|
https://claude.ai/* |
Đọc nội dung chat để export | ✅ Hợp lý, cần thiết |
https://*.ai-chat-exporter.net/* |
Website/server của họ | ⚠️ Cần theo dõi |
https://*.claudexporter.com/* |
Website/server của họ | ⚠️ Cần theo dõi |
Điều đáng chú ý: Extension có quyền truy cập 2 domain riêng của họ (ai-chat-exporter.net và claudexporter.com). Có thể chỉ dùng cho trang hướng dẫn - hoặc có thể gửi data về server. Chưa kết luận được, cần kiểm tra thêm.
Điểm tích cực: Không phải "On all sites" - nghĩa là extension không đọc được mọi trang web bạn vào, chỉ giới hạn ở những domain được liệt kê.
📸 Gợi ý hình ảnh: Screenshot trang chrome://extensions với phần "Site access" được highlight - hiển thị danh sách 3 domains.
Bước 2: Theo dõi Network Traffic (quan trọng nhất)
Đây là cách xem extension có thực sự gửi data đi đâu không - bằng chứng rõ ràng nhất.
Cách làm:
- Mở Claude.ai và vào một cuộc chat bất kỳ
- Nhấn
F12(hoặc chuột phải → Inspect) để mở DevTools - Chọn tab Network
- Tick ô "Preserve log" (góc trên bên trái) - để log không bị xóa khi trang reload
- Nhấn nút Export của extension
- Quan sát các request xuất hiện trong Network tab
Cách đọc kết quả:
| Cột "Name" (Domain) | Ý nghĩa |
|---|---|
claude.ai hoặc anthropic.com |
✅ Bình thường - đây là Claude |
ai-chat-exporter.net hoặc domain lạ |
⚠️ Extension đang gửi data về server của họ |
google-analytics, facebook, etc. |
⚠️ Tracking |
Nếu thấy request đến domain lạ, click vào → chọn tab "Payload" hoặc "Request" → xem họ gửi gì. Nếu thấy nội dung chat của bạn trong đó → extension đang gửi data của bạn đi.
📸 Gợi ý hình ảnh 1: Screenshot DevTools đang mở với Network tab được highlight, có mũi tên chỉ vào "Preserve log" checkbox.
📸 Gợi ý hình ảnh 2: Screenshot Network tab sau khi nhấn Export - hiển thị danh sách các requests. Có thể blur các thông tin nhạy cảm.
Bước 3: Xem chi tiết request đáng ngờ
Nếu có request đến domain của extension (như ai-chat-exporter.net):
- Click vào request đó trong Network tab
- Chọn tab "Payload" hoặc "Request" → xem họ gửi gì
- Chọn tab "Response" → xem server trả về gì
Dấu hiệu xấu: Nếu thấy nội dung cuộc chat của bạn trong Payload → Extension đang gửi data đi.
Dấu hiệu tốt: Nếu chỉ thấy các request tải resource (CSS, JS, hình ảnh) hoặc không có request nào đến domain lạ → Extension hoạt động offline.
📸 Gợi ý hình ảnh: Screenshot chi tiết một request trong Network tab - hiển thị Headers, Payload, Response tabs. Có thể dùng example request để minh họa.
Bước 4: Kiểm tra Privacy Policy
Đây là bước bổ sung - đôi khi hữu ích, đôi khi không.
- Vào Chrome Web Store, tìm extension
- Tìm link "Privacy Policy"
- Đọc xem họ có nói thu thập data không
Thực tế: Nhiều extension nhỏ không có privacy policy, hoặc viết rất mơ hồ. Nên Bước 2 (kiểm tra Network) vẫn là cách đáng tin nhất.
📸 Gợi ý hình ảnh: Screenshot Chrome Web Store của AI Chat Exporter - với mũi tên chỉ vào phần Privacy Policy link.
Kết luận: Vậy có nên dùng?
Sau khi "xét nghiệm", mình đưa ra hướng dẫn cho bản thân:
| Loại chat | Nên dùng extension? |
|---|---|
| Hỏi đáp chung, học tập | ✅ OK |
| Có token, API key, mật khẩu | ❌ Không |
| Thông tin cá nhân nhạy cảm | ⚠️ Cẩn thận |
| Chat về dự án công ty | ⚠️ Cân nhắc |
Nguyên tắc đơn giản: Nếu trong cuộc chat có thông tin mà bạn không muốn người lạ đọc → đừng export bằng extension bên thứ ba. Copy-paste thủ công an toàn hơn.
Còn nếu chat chỉ là hỏi đáp thông thường, không có gì nhạy cảm → dùng extension vẫn ổn, tiện lợi hơn nhiều so với copy từng đoạn.
Các lựa chọn thay thế an toàn hơn
Cách 1: Copy-paste thủ công
- Chậm hơn nhưng an toàn 100%
- Ctrl+A → Ctrl+C → paste vào Word/Notion/Obsidian
Cách 2: Chờ tính năng chính thức
- Claude.ai có thể sẽ ra tính năng export chính thức
- Anthropic là công ty lớn, bị ràng buộc về bảo mật chặt chẽ hơn
Cách 3: Dùng extension có chọn lọc
- Chỉ export chat KHÔNG có thông tin nhạy cảm
- Xóa/che token, API key, mật khẩu trước khi export
- Kiểm tra Network như hướng dẫn trên để yên tâm hơn
📸 Gợi ý hình ảnh: Flowchart đơn giản: "Chat có info nhạy cảm?" → Có → "Copy thủ công" / Không → "OK dùng extension"
Bài viết này đóng gói lại những gì mình học được từ trải nghiệm thực tế - một bài tập nhỏ về tư duy bảo mật khi dùng các tool bên thứ ba.
Nguyên tắc: đừng bao giờ gửi data nhạy cảm qua tool của bên thứ ba.
Bài tiếp theo: Tiền Bẩn vs Tiền Sạch - Bài học từ 391k học phí
Bài trước: Học và Viết Blog với Claude
Series: AI Tools (5 bài)