Tillitssenter
Triggerfish håndhever sikkerhet i deterministisk kode under LLM-laget — ikke i prompter modellen kan ignorere. Hver policy-beslutning tas av kode som ikke kan påvirkes av prompt-injeksjon, sosial manipulasjon eller modellfeiladferd. Se den fullstendige Sikkerhetsfokusert design-siden for den dype tekniske forklaringen.
Sikkerhetskontroller
Disse kontrollene er aktive i gjeldende utgivelse. Hver av dem håndheves i kode, testes i CI og er reviderbar i det åpne kildekodelageret.
| Kontroll | Status | Beskrivelse |
|---|---|---|
| Sub-LLM Policy-håndhevelse | ACTIVE | Åtte deterministiske hooks intercepterer hver handling før og etter LLM-behandling. Modellen kan ikke omgå, endre eller påvirke sikkerhetsbeslutninger. |
| Dataklassifiseringssystem | ACTIVE | Fire-nivås hierarki (PUBLIC, INTERNAL, CONFIDENTIAL, RESTRICTED) med obligatorisk no-write-down-håndhevelse. |
| Session Taint-sporing | ACTIVE | Hver sesjon sporer den høyeste klassifiseringen av aksesserte data. Taint eskalerer bare, synker aldri. |
| Uforanderlig revisjonslogging | ACTIVE | Alle policy-beslutninger logges med full kontekst. Revisjonslogging kan ikke deaktiveres av noen komponent i systemet. |
| Hemmelighetsisolasjon | ACTIVE | Legitimasjon lagres i OS-nøkkelring eller vault. Aldri i konfigurasjonsfiler, lagring, logger eller LLM-kontekst. |
| Plugin-sandkasse | ACTIVE | Tredjeparts plugins kjøres i en Deno + WASM dobbel sandkasse (Pyodide). Ingen udeklarert nettverkstilgang, ingen dataeksfiltrering. |
| Avhengighetsskanning | ACTIVE | Automatisert sårbarhetsskanning via GitHub Dependabot. PR-er åpnes automatisk for oppstrøms CVE-er. |
| Åpen kildekodebase | ACTIVE | Full sikkerhetsarkitektur er Apache 2.0-lisensiert og offentlig reviderbar. |
| Lokal distribusjon | ACTIVE | Kjøres helt på din infrastruktur. Ingen skyavhengighet, ingen telemetri, ingen ekstern databehandling. |
| Kryptering | ACTIVE | TLS for alle data under overføring. OS-nivå kryptering i ro. Bedrifts vault-integrasjon tilgjengelig. |
| Program for ansvarlig avsløring | ACTIVE | Dokumentert prosess for sårbarhetrapportering med definerte svartidslinjer. Se avsløringspolicy. |
| Herdet containerimage | PLANNED | Docker-images på Google Distroless-base med nesten null CVE-er. Automatisert Trivy-skanning i CI. |
Forsvar i dybden — 13 uavhengige lag
Intet enkelt lag er tilstrekkelig alene. Hvis ett lag er kompromittert, fortsetter de gjenværende lagene å beskytte systemet.
| Lag | Navn | Håndhevelse |
|---|---|---|
| 01 | Kanalautentisering | Kodeverifisert identitet ved sesjonsetablering |
| 02 | Tillatelsesbevisst datatilgang | Kildesystemtillatelser, ikke systemlegitimasjon |
| 03 | Session Taint-sporing | Automatisk, obligatorisk, kun eskalering |
| 04 | Datalinje | Fullstendig provenansrekke for hvert dataelement |
| 05 | Policy-håndhevelseshooks | Deterministisk, ikke-omgåelig, logget |
| 06 | MCP Gateway | Per-verktøy-tillatelser, serverkslassifisering |
| 07 | Plugin-sandkasse | Deno + WASM dobbel sandkasse (Pyodide) |
| 08 | Hemmelighetsisolasjon | OS-nøkkelring eller vault, under LLM-laget |
| 09 | Filsystemverktøy-sandkasse | Stifengsel, stikelassifisering, taint-avgrenset I/U |
| 10 | Agentidentitet og delegasjon | Kryptografiske delegeringskjeder |
| 11 | Revisjonslogging | Kan ikke deaktiveres |
| 12 | SSRF-forebygging | IP-avvisningsliste + DNS-oppløsningssjekker |
| 13 | Minneklassifiseringsgating | Skriv på eget nivå, les ned bare |
Les den fullstendige Forsvar i dybden-arkitekturdokumentasjonen.
Hvorfor sub-LLM-håndhevelse er viktig
De fleste KI-agentplattformer håndhever sikkerhet gjennom systempromter — instruksjoner til LLM-en om å «ikke dele sensitive data». Prompt-injeksjonsangrep kan overstyre disse instruksjonene.
Triggerfish tar en annen tilnærming: LLM-en har null autoritet over sikkerhetsbeslutninger. All håndhevelse skjer i deterministisk kode under LLM-laget. Det finnes ingen vei fra LLM-utdata til sikkerhetskonfigurasjon. :::
Samsvarsveiplan
Triggerfish er pre-sertifisering. Vår sikkerhetsposisjon er arkitektonisk og verifiserbar i kildekoden i dag. Formelle sertifiseringer er på planen.
| Sertifisering | Status | Merknader |
|---|---|---|
| SOC 2 Type I | PLANNED | Sikkerhet + konfidensialitet tillitstjenestekriteria |
| SOC 2 Type II | PLANNED | Vedvarende kontrolleffektivitet over observasjonsperioden |
| HIPAA BAA | PLANNED | Forretningsforbindelsesavtale for helsekundere |
| ISO 27001 | PLANNED | Styringssystem for informasjonssikkerhet |
| Tredjeparts penetrasjonstest | PLANNED | Uavhengig sikkerhetsvurdering |
| GDPR-samsvar | PLANNED | Selvhostet arkitektur med konfigurerbar oppbevaring og sletting |
En note om tillit
Sikkerhetskjernen er åpen kildekode under Apache 2.0. Du kan lese hver linje med policy-håndhevelseskode, kjøre testpakken og verifisere påstander selv. Sertifiseringer er på planen. :::
Revider kildekoden
Den fullstendige Triggerfish-kodebasen er tilgjengelig på github.com/greghavens/triggerfish — Apache 2.0-lisensiert.
Sårbarheterapportering
Hvis du oppdager en sikkerhetssårbarhet, vennligst rapporter den gjennom vår Policy for ansvarlig avsløring. Ikke åpne offentlige GitHub-problemer for sikkerhetssårbarheter.