ಆಳ-ರಕ್ಷಣೆ
Triggerfish ಭದ್ರತೆಯನ್ನು 13 ಸ್ವತಂತ್ರ, ಅತಿಕ್ರಮಿಸುವ ಪದರಗಳಾಗಿ ಅಳವಡಿಸುತ್ತದೆ. ಯಾವ ಒಂದೇ ಪದರ ಸ್ವಂತ ಸಾಕಷ್ಟಿಲ್ಲ. ಒಟ್ಟಿಗೆ, ಅವು ಸ್ಥಿತಿಸ್ಥಾಪಕವಾಗಿ ಕ್ಷೀಣಿಸುವ ರಕ್ಷಣೆ ರೂಪಿಸುತ್ತವೆ -- ಒಂದು ಪದರ ರಾಜಿ ಆದರೂ ಉಳಿದ ಪದರಗಳು ಸಿಸ್ಟಂ ರಕ್ಷಿಸುತ್ತ ಮುಂದುವರಿಯುತ್ತವೆ.
SECURITY ಆಳ-ರಕ್ಷಣೆ ಎಂದರೆ ಯಾವ ಒಂದೇ ಪದರದ ದೋಷ ಸಿಸ್ಟಂ ರಾಜಿ ಮಾಡುವುದಿಲ್ಲ.
ಚಾನೆಲ್ ದೃಢೀಕರಣ ಬೈಪಾಸ್ ಮಾಡಿದ ಆಕ್ರಮಣಕಾರ ಇನ್ನೂ session taint ಟ್ರ್ಯಾಕಿಂಗ್, ನೀತಿ hooks ಮತ್ತು audit logging ಎದುರಿಸುತ್ತಾನೆ. Prompt-inject ಆದ LLM ಇನ್ನೂ ಕೆಳಗಿನ ನಿರ್ಧಾರಾತ್ಮಕ ನೀತಿ ಪದರ ಪ್ರಭಾವಿಸಲಾಗದು. :::
13 ಪದರಗಳು
ಪದರ 1: ಚಾನೆಲ್ ದೃಢೀಕರಣ
ರಕ್ಷಿಸುವುದು: ಆಡಿಕೊಳ್ಳುವಿಕೆ, ಅನಧಿಕೃತ ಪ್ರವೇಶ, ಗುರುತು ಗೊಂದಲ.
ಗುರುತು LLM ಸಂದೇಶ ವ್ಯಾಖ್ಯಾನಿಸುವ ಮೂಲಕ ಅಲ್ಲ, session ಸ್ಥಾಪನೆಯಲ್ಲಿ ಕೋಡ್ನಿಂದ ನಿರ್ಧರಿಸಲ್ಪಡುತ್ತದೆ.
| ಚಾನೆಲ್ | ವಿಧಾನ | ಪರಿಶೀಲನೆ |
|---|---|---|
| Telegram / WhatsApp | Pairing code | ಒಂದು-ಬಾರಿ ಕೋಡ್, 5 ನಿಮಿಷ ಅವಧಿ, ಬಳಕೆದಾರ ಖಾತೆಯಿಂದ ಕಳುಹಿಸಿ |
| Slack / Discord / Teams | OAuth | Platform OAuth ಒಪ್ಪಿಗೆ ಹರಿವು, ಪರಿಶೀಲಿಸಿದ user ID ನೀಡುತ್ತದೆ |
| CLI | Local process | ಬಳಕೆದಾರ ಯಂತ್ರದಲ್ಲಿ ಚಲಿಸುತ್ತಿದೆ, OS ದೃಢೀಕರಿಸಿದೆ |
| WebChat | ಯಾವುದೂ ಇಲ್ಲ | ಎಲ್ಲ ಸಂದರ್ಶಕರು EXTERNAL, ಎಂದಿಗೂ owner ಅಲ್ಲ |
| Domain ಹೊಂದಾಣಿಕೆ | ಕಳುಹಿಸುವವರ domain ಕಾನ್ಫಿಗರ್ ಮಾಡಿದ ಆಂತರಿಕ domains ವಿರುದ್ಧ ಹೋಲಿಸಲಾಗಿದೆ |
LLM ಯಾರು ಮಾಲೀಕ ಎಂದು ನಿರ್ಧರಿಸುವುದಿಲ್ಲ. ಪರಿಶೀಲಿಸದ ಕಳುಹಿಸುವವರಿಂದ "ನಾನು
ಮಾಲೀಕ" ಎಂದು ಹೇಳುವ ಸಂದೇಶ { source: "external" } ಎಂದು ಟ್ಯಾಗ್ ಆಗುತ್ತದೆ ಮತ್ತು ಮಾಲೀಕ-ಮಟ್ಟದ ಆಜ್ಞೆಗಳನ್ನು ಪ್ರಚೋದಿಸಲಾಗದು. :::
ಪದರ 2: ಅನುಮತಿ-ಅರಿವಿನ ಡೇಟಾ ಪ್ರವೇಶ
ರಕ್ಷಿಸುವುದು: ಅತಿ-ಅನುಮತಿಸಿದ ಡೇಟಾ ಪ್ರವೇಶ, ಸಿಸ್ಟಂ ರುಜುವಾತುಗಳ ಮೂಲಕ ಸವಲತ್ತು ಏರಿಕೆ.
Triggerfish ಸಿಸ್ಟಂ service ಖಾತೆಗಳ ಬದಲು ಬಳಕೆದಾರ ಪ್ರತಿನಿಧಿಸಿದ OAuth tokens ಬಳಸಿ ಬಾಹ್ಯ ಸಿಸ್ಟಂಗಳನ್ನು ಪ್ರಶ್ನಿಸುತ್ತದೆ.
ಪದರ 3: Session Taint ಟ್ರ್ಯಾಕಿಂಗ್
ರಕ್ಷಿಸುವುದು: ಸಂದರ್ಭ ಮಾಲಿನ್ಯದ ಮೂಲಕ ಡೇಟಾ ಸೋರಿಕೆ.
ಪ್ರತಿ session ಸ್ವತಂತ್ರವಾಗಿ taint ಮಟ್ಟ ಟ್ರ್ಯಾಕ್ ಮಾಡುತ್ತದೆ. Taint ಹೆಚ್ಚಾಗಬಹುದು, ಎಂದಿಗೂ ಕಡಿಮೆಯಾಗಲಾಗದು.
ಪದರ 4: ಡೇಟಾ Lineage
ರಕ್ಷಿಸುವುದು: ಪತ್ತೆ ಮಾಡಲಾಗದ ಡೇಟಾ ಹರಿವುಗಳು, compliance ಅಂತರಗಳು.
ಪ್ರತಿ ಡೇಟಾ ಅಂಶ origin ಯಿಂದ ಗಮ್ಯಸ್ಥಾನಕ್ಕೆ provenance metadata ಹೊಂದಿರುತ್ತದೆ.
ಪದರ 5: ನೀತಿ ಜಾರಿ Hooks
ರಕ್ಷಿಸುವುದು: Prompt injection ದಾಳಿಗಳು, LLM-ಚಾಲಿತ ಭದ್ರತಾ bypasses.
ಎಂಟು ನಿರ್ಧಾರಾತ್ಮಕ hooks ಡೇಟಾ ಹರಿವಿನ ಪ್ರತಿ ಮುಖ್ಯ ಬಿಂದುವಿನಲ್ಲಿ ಕ್ರಿಯೆಗಳನ್ನು ತಡೆಯುತ್ತವೆ.
ಪದರ 6: MCP Gateway
ರಕ್ಷಿಸುವುದು: ನಿಯಂತ್ರಿಸಲಾಗದ ಬಾಹ್ಯ tool ಪ್ರವೇಶ, ವರ್ಗೀಕರಿಸದ ಡೇಟಾ MCP servers ಮೂಲಕ ಪ್ರವೇಶ.
ಎಲ್ಲ MCP servers ಡಿಫಾಲ್ಟ್ ಆಗಿ UNTRUSTED ಮತ್ತು admin ಅಥವಾ ಬಳಕೆದಾರ ವರ್ಗೀಕರಿಸುವವರೆಗೆ invoke ಮಾಡಲಾಗದು.
ಪದರ 7: Plugin Sandbox
ರಕ್ಷಿಸುವುದು: ದುರ್ಮಾರ್ಗ ಅಥವಾ ದೋಷಪೂರಿತ plugin ಕೋಡ್, ಡೇಟಾ exfiltration.
Plugins ದ್ವಿಗುಣ sandbox ಒಳಗೆ ಚಲಿಸುತ್ತವೆ: Deno sandbox WASM sandbox ಸುತ್ತ.
ಪದರ 8: Secrets ಪ್ರತ್ಯೇಕತೆ
ರಕ್ಷಿಸುವುದು: ರುಜುವಾತು ಕಳವು, config ಫೈಲ್ಗಳಲ್ಲಿ secrets.
ರುಜುವಾತುಗಳು OS keychain (personal) ಅಥವಾ vault (enterprise) ನಲ್ಲಿ ಸಂಗ್ರಹಿಸಲ್ಪಡುತ್ತವೆ.
ಪದರ 9: Filesystem Tool Sandbox
ರಕ್ಷಿಸುವುದು: Path traversal ದಾಳಿಗಳು, ಅನಧಿಕೃತ ಫೈಲ್ ಪ್ರವೇಶ.
ಎಲ್ಲ filesystem tool ಕ್ರಿಯೆಗಳು session ನ taint-ಸೂಕ್ತ workspace subdirectory ಗೆ scoped OS-ಮಟ್ಟ ಅನುಮತಿಗಳೊಂದಿಗೆ sandboxed Deno Worker ಒಳಗೆ ಚಲಿಸುತ್ತವೆ.
ಪದರ 10: Agent ಗುರುತು
ರಕ್ಷಿಸುವುದು: Agent chains ಮೂಲಕ ಸವಲತ್ತು ಏರಿಕೆ, delegation ಮೂಲಕ ಡೇಟಾ laundering.
Agents ಇತರ agents invoke ಮಾಡಿದಾಗ, cryptographic delegation chains ಸವಲತ್ತು ಏರಿಕೆ ತಡೆಯುತ್ತದೆ.
ಪದರ 11: Audit Logging
ರಕ್ಷಿಸುವುದು: ಪತ್ತೆ ಮಾಡಲಾಗದ ಉಲ್ಲಂಘನೆಗಳು, compliance ವೈಫಲ್ಯಗಳು.
ಪ್ರತಿ ಭದ್ರತಾ-ಸಂಬಂಧಿತ ನಿರ್ಧಾರ ಸಂಪೂರ್ಣ ಸಂದರ್ಭದೊಂದಿಗೆ ದಾಖಲಿಸಲ್ಪಡುತ್ತದೆ.
Audit logging ನಿಷ್ಕ್ರಿಯಗೊಳಿಸಲಾಗದು. ಇದು ನೀತಿ ಶ್ರೇಣಿಯ ಸ್ಥಿರ ನಿಯಮ. :::
ಪದರ 12: SSRF ತಡೆ
ರಕ್ಷಿಸುವುದು: Server-side request forgery, ಆಂತರಿಕ ನೆಟ್ವರ್ಕ್ ಗುಪ್ತಚರ.
ಎಲ್ಲ ಹೊರಗಿನ HTTP ವಿನಂತಿಗಳು ಮೊದಲ DNS ಪರಿಹರಿಸಿ, ನಂತರ resolved IP ಅನ್ನು ಖಾಸಗಿ ಮತ್ತು ಕಾಯ್ದಿರಿಸಿದ ranges ನ hardcoded denylist ವಿರುದ್ಧ ಪರಿಶೀಲಿಸಿ.
ಪದರ 13: Memory ವರ್ಗೀಕರಣ Gating
ರಕ್ಷಿಸುವುದು: Memory ಮೂಲಕ cross-session ಡೇಟಾ ಸೋರಿಕೆ.
- Writes: Memory ಎಂಟ್ರಿಗಳನ್ನು ಪ್ರಸ್ತುತ session ನ taint ಮಟ್ಟಕ್ಕೆ ಬಲವಂತವಾಗಿ ತರಲಾಗುತ್ತದೆ.
- Reads: Memory ಪ್ರಶ್ನೆಗಳನ್ನು
canFlowToಮೂಲಕ filter ಮಾಡಲಾಗಿದೆ.
ಪದರಗಳು ಒಟ್ಟಿಗೆ ಹೇಗೆ ಕೆಲಸ ಮಾಡುತ್ತವೆ
Prompt injection ದಾಳಿ ಪರಿಗಣಿಸಿ:
| ಹಂತ | ಪದರ | ಕ್ರಿಯೆ |
|---|---|---|
| 1 | ಚಾನೆಲ್ ದೃಢೀಕರಣ | ಸಂದೇಶ { source: "external" } ಟ್ಯಾಗ್ ಆಗಿದೆ |
| 2 | PRE_CONTEXT_INJECTION | ಇನ್ಪುಟ್ injection ಮಾದರಿಗಳಿಗಾಗಿ ಸ್ಕ್ಯಾನ್ ಮಾಡಲ್ಪಟ್ಟಿದೆ |
| 3 | Session taint | Session taint ಬದಲಾಗದೆ ಉಳಿಯುತ್ತದೆ |
| 4 | LLM ಸಂದೇಶ ಪ್ರಕ್ರಿಯೆ | LLM ಮ್ಯಾನಿಪ್ಯುಲೇಟ್ ಆಗಿ tool call ವಿನಂತಿಸಬಹುದು |
| 5 | PRE_TOOL_CALL | Tool ಅನುಮತಿ ಪರಿಶೀಲನೆ external-source ನಿಯಮಗಳ ವಿರುದ್ಧ |
| 6 | POST_TOOL_RESPONSE | ಮರಳಿದ ಡೇಟಾ ವರ್ಗೀಕರಿಸಲ್ಪಟ್ಟಿದೆ, taint ಅಪ್ಡೇಟ್ ಆಗಿದೆ |
| 7 | PRE_OUTPUT | ಔಟ್ಪುಟ್ ವರ್ಗೀಕರಣ vs. ಗಮ್ಯಸ್ಥಾನ ಪರಿಶೀಲಿಸಲ್ಪಟ್ಟಿದೆ |
| 8 | Audit logging | ಇಡೀ ಅನುಕ್ರಮ ಪರಿಶೀಲನೆಗಾಗಿ ದಾಖಲಿಸಲ್ಪಟ್ಟಿದೆ |
ಹಂತ 4 ರಲ್ಲಿ LLM ಸಂಪೂರ್ಣ ರಾಜಿ ಆಗಿ data exfiltration tool call ವಿನಂತಿಸಿದರೂ, ಉಳಿದ ಪದರಗಳು (ಅನುಮತಿ ಪರಿಶೀಲನೆ, taint ಟ್ರ್ಯಾಕಿಂಗ್, ಔಟ್ಪುಟ್ ವರ್ಗೀಕರಣ, audit logging) ನೀತಿ ಜಾರಿ ಮುಂದುವರಿಸುತ್ತವೆ. ವಿಫಲತೆಯ ಯಾವ ಒಂದೇ ಬಿಂದು ಸಿಸ್ಟಂ ರಾಜಿ ಮಾಡುವುದಿಲ್ಲ.