सुरक्षा-प्रथम डिज़ाइन
Triggerfish एक एकल आधार पर बनाया गया है: LLM के पास शून्य अधिकार है। यह कार्यों का अनुरोध करता है; policy परत निर्णय लेती है। प्रत्येक सुरक्षा निर्णय निश्चयात्मक कोड द्वारा लिया जाता है जिसे AI बायपास, ओवरराइड, या प्रभावित नहीं कर सकता।
सुरक्षा LLM के नीचे क्यों होनी चाहिए
बड़े भाषा मॉडल prompt-inject किए जा सकते हैं। एक सावधानी से तैयार किया गया इनपुट LLM को उसके निर्देशों की अनदेखी करने और ऐसे कार्य करने के लिए प्रेरित कर सकता है जो उसे नहीं करने चाहिए। यदि आपका सुरक्षा मॉडल LLM पर नियमों का पालन करने पर निर्भर करता है, तो एक सफल injection प्रत्येक सुरक्षा उपाय को बायपास कर सकता है।
Triggerfish सभी सुरक्षा प्रवर्तन को एक कोड परत पर ले जाकर इसे हल करता है जो LLM के नीचे बैठती है।
सुरक्षा LLM परत के पास policy प्रवर्तन परत को ओवरराइड, छोड़ने, या
प्रभावित करने का कोई तंत्र नहीं है। कोई "LLM आउटपुट से बायपास कमांड पार्स करें" तर्क नहीं है। अलगाव आर्किटेक्चरल है, व्यवहारिक नहीं। :::
मूल अपरिवर्तनीय
समान इनपुट हमेशा समान सुरक्षा निर्णय उत्पन्न करता है। कोई यादृच्छिकता नहीं, कोई LLM कॉल नहीं, कोई विवेकाधिकार नहीं।
सुरक्षा सिद्धांत
| सिद्धांत | इसका अर्थ | विस्तृत पृष्ठ |
|---|---|---|
| डेटा वर्गीकरण | सभी डेटा एक संवेदनशीलता स्तर रखता है (RESTRICTED, CONFIDENTIAL, INTERNAL, PUBLIC)। | आर्किटेक्चर: वर्गीकरण |
| No Write-Down | डेटा केवल समान या उच्चतर वर्गीकरण स्तर वाले चैनलों और प्राप्तकर्ताओं तक प्रवाहित हो सकता है। | No Write-Down नियम |
| Session Taint | जब session डेटा तक पहुँचती है, तो पूरी session उस स्तर तक tainted हो जाती है। | आर्किटेक्चर: Taint |
| निश्चयात्मक Hooks | आठ प्रवर्तन hook हर डेटा प्रवाह में महत्वपूर्ण बिंदुओं पर चलते हैं। | आर्किटेक्चर: Policy Engine |
| कोड में पहचान | उपयोगकर्ता पहचान session स्थापना पर कोड द्वारा निर्धारित होती है। | पहचान और प्रमाणीकरण |
| Agent Delegation | Agent-से-agent कॉल क्रिप्टोग्राफ़िक प्रमाणपत्रों द्वारा शासित हैं। | Agent Delegation |
| Secrets अलगाव | Credentials OS keychains या vaults में संग्रहीत, कभी कॉन्फ़िग फ़ाइलों में नहीं। | Secrets प्रबंधन |
| सब कुछ ऑडिट करें | प्रत्येक policy निर्णय पूर्ण संदर्भ के साथ लॉग किया जाता है। | ऑडिट और अनुपालन |
गहन रक्षा
Triggerfish रक्षा की तेरह परतें लागू करता है:
- चैनल प्रमाणीकरण -- session स्थापना पर कोड-सत्यापित पहचान
- अनुमति-जागरूक डेटा एक्सेस -- स्रोत सिस्टम अनुमतियाँ
- Session taint ट्रैकिंग -- स्वचालित, अनिवार्य, केवल-वृद्धि
- डेटा lineage -- प्रत्येक डेटा तत्व के लिए पूर्ण उत्पत्ति श्रृंखला
- Policy प्रवर्तन hooks -- निश्चयात्मक, बायपास-रहित, लॉग किए गए
- MCP Gateway -- प्रति-tool अनुमतियों के साथ सुरक्षित बाहरी tool एक्सेस
- Plugin sandbox -- Deno + WASM दोहरा अलगाव
- Secrets अलगाव -- OS keychain या vault
- Filesystem tool sandbox -- पथ jail, पथ वर्गीकरण, taint-स्कोप्ड I/O
- Agent पहचान -- क्रिप्टोग्राफ़िक delegation chains
- ऑडिट लॉगिंग -- सभी निर्णय रिकॉर्ड, कोई अपवाद नहीं
- SSRF रोकथाम -- IP denylist + DNS resolution जाँच
- Memory वर्गीकरण गेटिंग -- writes session taint पर मजबूर, reads
canFlowToद्वारा फ़िल्टर
अगले कदम
| पृष्ठ | विवरण |
|---|---|
| वर्गीकरण गाइड | चैनलों, MCP servers, और एकीकरणों के लिए सही स्तर चुनने की व्यावहारिक गाइड |
| No Write-Down नियम | मूलभूत डेटा प्रवाह नियम और इसे कैसे लागू किया जाता है |
| पहचान और प्रमाणीकरण | चैनल प्रमाणीकरण और owner पहचान सत्यापन |
| Agent Delegation | Agent-से-agent पहचान, प्रमाणपत्र, और delegation chains |
| Secrets प्रबंधन | Triggerfish कैसे credentials को स्तरों में संभालता है |
| ऑडिट और अनुपालन | ऑडिट ट्रेल संरचना, ट्रेसिंग, और अनुपालन निर्यात |