مرکز اعتماد
Triggerfish امنیت را در کد قطعی زیر لایه LLM اجرا میکند — نه در promptهایی که مدل ممکن است نادیده بگیرد. هر تصمیم سیاست توسط کدی گرفته میشود که نمیتواند توسط تزریق prompt، مهندسی اجتماعی یا رفتار نادرست مدل تحت تأثیر قرار گیرد. صفحه کامل طراحی امنیتمحور را برای توضیحات فنی عمیق ببینید.
کنترلهای امنیتی
این کنترلها در نسخه فعلی فعال هستند. هر یک در کد اجرا، در CI آزمون و در مخزن متنباز قابل بازرسی هستند.
| کنترل | وضعیت | توضیحات |
|---|---|---|
| اجرای سیاست زیر LLM | ACTIVE | هشت Hook قطعی هر اقدام را قبل و بعد از پردازش LLM رهگیری میکنند. مدل نمیتواند تصمیمات امنیتی را دور بزند، تغییر دهد یا تحت تأثیر قرار دهد. |
| سیستم طبقهبندی داده | ACTIVE | سلسلهمراتب چهار سطحی (PUBLIC، INTERNAL، CONFIDENTIAL، RESTRICTED) با اجرای اجباری عدم نوشتن به پایین. |
| ردیابی Taint نشست | ACTIVE | هر نشست بالاترین طبقهبندی داده دسترسیشده را ردیابی میکند. Taint فقط بالا میرود، هرگز کاهش نمییابد. |
| ثبت بازرسی تغییرناپذیر | ACTIVE | تمام تصمیمات سیاست با زمینه کامل ثبت میشوند. ثبت بازرسی توسط هیچ مؤلفه سیستم قابل غیرفعالسازی نیست. |
| جداسازی رمزها | ACTIVE | بیانات اعتبار در کلیدزنجیر سیستمعامل یا خزانه ذخیره میشوند. هرگز در فایلهای پیکربندی، ذخیرهسازی، گزارشها یا زمینه LLM. |
| سندباکس Plugin | ACTIVE | Pluginهای شخص ثالث در سندباکس دوگانه Deno + WASM (Pyodide) اجرا میشوند. بدون دسترسی شبکه اعلامنشده، بدون استخراج داده. |
| اسکن وابستگی | ACTIVE | اسکن خودکار آسیبپذیری از طریق GitHub Dependabot. PRها بهصورت خودکار برای CVEهای بالادستی باز میشوند. |
| پایگاه کد متنباز | ACTIVE | کل معماری امنیتی با مجوز Apache 2.0 و قابل بازرسی عمومی است. |
| استقرار درونسازمانی | ACTIVE | کاملاً روی زیرساخت شما اجرا میشود. بدون وابستگی ابری، بدون تلهمتری، بدون پردازش داده خارجی. |
| رمزنگاری | ACTIVE | TLS برای تمام دادهها در حال انتقال. رمزنگاری سطح سیستمعامل در حالت استراحت. یکپارچهسازی خزانه سازمانی در دسترس. |
| برنامه افشای مسئولانه | ACTIVE | فرآیند مستند گزارش آسیبپذیری با زمانبندی پاسخ تعریفشده. سیاست افشا را ببینید. |
| تصویر کانتینر مستحکم | PLANNED | تصاویر Docker بر پایه Google Distroless با CVE نزدیک به صفر. اسکن خودکار Trivy در CI. |
دفاع در عمق — ۱۳ لایه مستقل
هیچ لایه واحدی به تنهایی کافی نیست. اگر یک لایه به خطر بیفتد، لایههای باقیمانده به حفاظت از سیستم ادامه میدهند.
| لایه | نام | اجرا |
|---|---|---|
| ۰۱ | احراز هویت کانال | هویت تأییدشده توسط کد در هنگام برقراری نشست |
| ۰۲ | دسترسی داده آگاه از مجوز | مجوزهای سیستم منبع، نه بیانات اعتبار سیستمی |
| ۰۳ | ردیابی Taint نشست | خودکار، اجباری، فقط افزایشی |
| ۰۴ | نسب داده | زنجیره منشأ کامل برای هر عنصر داده |
| ۰۵ | Hookهای اجرای سیاست | قطعی، غیرقابل دورزدن، ثبتشده |
| ۰۶ | MCP Gateway | مجوزهای هر ابزار، طبقهبندی سرور |
| ۰۷ | سندباکس Plugin | سندباکس دوگانه Deno + WASM (Pyodide) |
| ۰۸ | جداسازی رمزها | کلیدزنجیر سیستمعامل یا خزانه، زیر لایه LLM |
| ۰۹ | سندباکس ابزار سیستم فایل | محدودیت مسیر، طبقهبندی مسیر، I/O محدود به Taint |
| ۱۰ | هویت عامل و تفویض | زنجیرههای تفویض رمزنگاری |
| ۱۱ | ثبت بازرسی | غیرقابل غیرفعالسازی |
| ۱۲ | جلوگیری از SSRF | لیست رد IP + بررسیهای رفع DNS |
| ۱۳ | دروازهبندی طبقهبندی حافظه | نوشتن در سطح خود، خواندن فقط به پایین |
مستندات کامل دفاع در عمق را بخوانید.
چرا اجرای زیر LLM مهم است
اکثر پلتفرمهای عامل هوش مصنوعی امنیت را از طریق سیستم prompt اجرا میکنند — دستورالعملهایی به LLM که میگوید «دادههای حساس را به اشتراک نگذار.» حملات تزریق prompt میتوانند این دستورالعملها را لغو کنند.
Triggerfish رویکرد متفاوتی اتخاذ میکند: LLM هیچ اختیاری بر تصمیمات امنیتی ندارد. تمام اجرا در کد قطعی زیر لایه LLM رخ میدهد. هیچ مسیری از خروجی LLM به پیکربندی امنیتی وجود ندارد. :::
نقشه راه انطباق
Triggerfish پیشگواهینامه است. وضعیت امنیتی ما معماری و قابل تأیید در کد منبع امروز است. گواهینامههای رسمی در نقشه راه هستند.
| گواهینامه | وضعیت | یادداشتها |
|---|---|---|
| SOC 2 Type I | PLANNED | معیارهای سرویس اعتماد امنیت + محرمانگی |
| SOC 2 Type II | PLANNED | اثربخشی کنترل پایدار در طول دوره مشاهده |
| HIPAA BAA | PLANNED | قرارداد شریک تجاری برای مشتریان بهداشت و درمان |
| ISO 27001 | PLANNED | سیستم مدیریت امنیت اطلاعات |
| آزمون نفوذ شخص ثالث | PLANNED | ارزیابی امنیتی مستقل |
| انطباق GDPR | PLANNED | معماری خودمیزبان با نگهداری و حذف قابل پیکربندی |
یادداشتی درباره اعتماد
هسته امنیتی با مجوز Apache 2.0 متنباز است. میتوانید هر خط کد اجرای سیاست را بخوانید، مجموعه تست را اجرا کنید و ادعاها را خودتان تأیید کنید. گواهینامهها در نقشه راه هستند. :::
بازرسی کد منبع
کل پایگاه کد Triggerfish در github.com/greghavens/triggerfish در دسترس است — با مجوز Apache 2.0.
گزارش آسیبپذیری
اگر آسیبپذیری امنیتی کشف کردید، لطفاً آن را از طریق سیاست افشای مسئولانه ما گزارش دهید. برای آسیبپذیریهای امنیتی Issue عمومی GitHub باز نکنید.