トラストセンター
Triggerfishはセキュリティをモデルが無視する可能性のあるプロンプトではなく、LLMレイヤーの 下の決定論的なコードで強制します。すべてのポリシー決定は、プロンプトインジェクション、 ソーシャルエンジニアリング、またはモデルの誤動作によって影響を受けることができないコードに よって行われます。詳細な技術的説明については、完全なセキュリティファーストの設計 ページをご覧ください。
セキュリティコントロール
これらのコントロールは現在のリリースでアクティブです。各コントロールはコードで強制され、 CIでテストされ、オープンソースリポジトリで監査可能です。
| コントロール | ステータス | 説明 |
|---|---|---|
| LLM下のポリシー強制 | ACTIVE | 8つの決定論的hookがLLM処理の前後ですべてのアクションをインターセプトします。モデルはセキュリティ決定を回避、変更、または影響させることができません。 |
| データ分類システム | ACTIVE | 4レベル階層(PUBLIC、INTERNAL、CONFIDENTIAL、RESTRICTED)、必須のライトダウン禁止強制。 |
| セッションTaint追跡 | ACTIVE | すべてのセッションがアクセスされたデータの最高分類を追跡します。Taintはエスカレートのみ、低下しません。 |
| 不変監査ログ | ACTIVE | すべてのポリシー決定が完全なコンテキストでログ記録されます。監査ログはシステムのどのコンポーネントによっても無効化できません。 |
| シークレット分離 | ACTIVE | 認証情報はOSキーチェーンまたはvaultに保存されます。設定ファイル、ストレージ、ログ、LLMコンテキストには決して保存されません。 |
| プラグインサンドボックス | ACTIVE | サードパーティプラグインはDeno + WASMダブルサンドボックス(Pyodide)で実行されます。宣言されていないネットワークアクセスなし、データ漏洩なし。 |
| 依存関係スキャン | ACTIVE | GitHub Dependabotによる自動脆弱性スキャン。上流のCVEに対してPRが自動的に開かれます。 |
| オープンソースコードベース | ACTIVE | 完全なセキュリティアーキテクチャはApache 2.0ライセンスで公開監査可能です。 |
| オンプレミスデプロイメント | ACTIVE | インフラ上で完全に実行されます。クラウド依存なし、テレメトリなし、外部データ処理なし。 |
| 暗号化 | ACTIVE | 転送中のすべてのデータにTLS。OSレベルの保存時暗号化。エンタープライズvault統合利用可能。 |
| 責任ある情報開示プログラム | ACTIVE | 定義された対応タイムラインを持つ文書化された脆弱性報告プロセス。開示ポリシーを参照。 |
| 強化されたコンテナイメージ | PLANNED | Google DistrolessベースのDockerイメージ、CVEほぼゼロ。CIで自動Trivyスキャン。 |
多層防御 — 13の独立したレイヤー
単独ではどのレイヤーも十分ではありません。1つのレイヤーが侵害されても、残りのレイヤーが 引き続きシステムを保護します。
| レイヤー | 名前 | 強制 |
|---|---|---|
| 01 | チャンネル認証 | セッション確立時のコード検証済みアイデンティティ |
| 02 | 権限対応データアクセス | ソースシステムの権限、システム認証情報ではない |
| 03 | セッションTaint追跡 | 自動、必須、エスカレートのみ |
| 04 | データ系譜 | すべてのデータ要素の完全なプロベナンスチェーン |
| 05 | ポリシー強制Hook | 決定論的、回避不可能、ログ記録済み |
| 06 | MCP Gateway | ツールごとの権限、サーバー分類 |
| 07 | プラグインサンドボックス | Deno + WASMダブルサンドボックス(Pyodide) |
| 08 | シークレット分離 | OSキーチェーンまたはvault、LLMレイヤーの下 |
| 09 | ファイルシステムツールサンドボックス | パスジェイル、パス分類、taintスコープI/O |
| 10 | エージェントアイデンティティ & 委任 | 暗号化された委任チェーン |
| 11 | 監査ログ | 無効化できない |
| 12 | SSRF防止 | IPデナイリスト + DNS解決チェック |
| 13 | メモリ分類ゲーティング | 自身のレベルで書き込み、下方向にのみ読み取り |
完全な多層防御アーキテクチャドキュメントをご覧ください。
LLM下の強制が重要な理由
ほとんどのAIエージェントプラットフォームはシステムプロンプト — LLMへの「機密データを
共有しないでください」という指示 — を通じてセキュリティを強制しています。プロンプト インジェクション攻撃はこれらの指示を上書きできます。
Triggerfishは異なるアプローチを取ります:LLMはセキュリティ決定に対して権限ゼロです。 すべての強制はLLMレイヤーの下の決定論的なコードで行われます。LLM出力からセキュリティ 設定へのパスウェイはありません。 :::
コンプライアンスロードマップ
Triggerfishは認証取得前の段階です。セキュリティ体制はアーキテクチャ的であり、今日の ソースコードで検証可能です。正式な認証はロードマップにあります。
| 認証 | ステータス | 備考 |
|---|---|---|
| SOC 2 タイプI | PLANNED | セキュリティ + 機密性の信頼サービス基準 |
| SOC 2 タイプII | PLANNED | 観察期間にわたる継続的なコントロールの有効性 |
| HIPAA BAA | PLANNED | ヘルスケア顧客向けのビジネスアソシエイト契約 |
| ISO 27001 | PLANNED | 情報セキュリティマネジメントシステム |
| サードパーティ侵入テスト | PLANNED | 独立したセキュリティ評価 |
| GDPRコンプライアンス | PLANNED | 設定可能な保持と削除を持つセルフホスティングアーキテクチャ |
信頼についての注記
セキュリティコアはApache 2.0でオープンソースです。ポリシー強制コードのすべての
行を読み、テストスイートを実行し、自分で主張を検証できます。認証はロードマップに あります。 :::
ソースコードの監査
完全なTriggerfishコードベースは github.com/greghavens/triggerfish で 利用可能です — Apache 2.0ライセンス。
脆弱性報告
セキュリティ脆弱性を発見した場合は、責任ある情報開示ポリシー を通じて報告してください。セキュリティ脆弱性についてはGitHubのパブリックIssueを 開かないでください。