Trust Center
Triggerfish handhaaft beveiliging in deterministische code onder de LLM-laag — niet in prompts die het model mogelijk negeert. Elke beleidsbeslissing wordt genomen door code die niet kan worden beïnvloed door prompt-injectie, social engineering of modelwangedrag. Zie de volledige pagina Beveiligingsgericht ontwerp voor de diepgaande technische uitleg.
Beveiligingscontroles
Deze controles zijn actief in de huidige release. Elk wordt afgedwongen in code, getest in CI en auditeerbaar in de open-source repository.
| Controle | Status | Beschrijving |
|---|---|---|
| Sub-LLM beleidshandhaving | ACTIVE | Acht deterministische hooks onderscheppen elke actie voor en na LLM-verwerking. Het model kan beveiligingsbeslissingen niet omzeilen, wijzigen of beïnvloeden. |
| Gegevensclassificatiesysteem | ACTIVE | Vierniveauhiërarchie (PUBLIC, INTERNAL, CONFIDENTIAL, RESTRICTED) met verplichte no-write-down-handhaving. |
| Sessie-taint-tracking | ACTIVE | Elke sessie houdt de hoogste classificatie bij van benaderde gegevens. Taint escaleert alleen, neemt nooit af. |
| Onveranderlijke auditlogging | ACTIVE | Alle beleidsbeslissingen vastgelegd met volledige context. Auditlogging kan niet worden uitgeschakeld door een component van het systeem. |
| Geheimenisolatie | ACTIVE | Inloggegevens opgeslagen in OS-sleutelhanger of vault. Nooit in configuratiebestanden, opslag, logboeken of LLM-context. |
| Plugin-sandbox | ACTIVE | Plugins van derden draaien in een Deno + WASM dubbele sandbox (Pyodide). Geen niet-verklaarde netwerktoegang, geen gegevensexfiltratie. |
| Afhankelijkheidsscanning | ACTIVE | Geautomatiseerde kwetsbaarheidsscan via GitHub Dependabot. PR's worden automatisch geopend voor upstream-CVE's. |
| Open-source codebase | ACTIVE | Volledige beveiligingsarchitectuur is Apache 2.0-gelicentieerd en publiekelijk auditeerbaar. |
| On-premises implementatie | ACTIVE | Draait volledig op uw infrastructuur. Geen cloudafhankelijkheid, geen telemetrie, geen externe gegevensverwerking. |
| Versleuteling | ACTIVE | TLS voor alle gegevens in transit. Versleuteling op OS-niveau in rust. Enterprise-vaultintegratie beschikbaar. |
| Responsible Disclosure-programma | ACTIVE | Gedocumenteerd kwetsbaarheidsrapportageproces met gedefinieerde reactietijdlijnen. Zie openbaarmakingsbeleid. |
| Geharde containerimage | PLANNED | Docker-images op Google Distroless-basis met bijna nul CVE's. Geautomatiseerde Trivy-scanning in CI. |
Verdediging in diepte — 13 onafhankelijke lagen
Geen enkele laag is op zichzelf voldoende. Als één laag is gecompromitteerd, blijven de overige lagen het systeem beschermen.
| Laag | Naam | Handhaving |
|---|---|---|
| 01 | Kanaalverificatie | Door code geverifieerde identiteit bij sessiegebouw |
| 02 | Toestemmingsbewuste gegevenstoegang | Bronsysteemrechten, geen systeeminloggegevens |
| 03 | Sessie-taint-tracking | Automatisch, verplicht, alleen escalatie |
| 04 | Gegevenslineage | Volledige provenanceketen voor elk gegevenselement |
| 05 | Beleidshookhandhaving | Deterministisch, niet-omzeilbaar, vastgelegd |
| 06 | MCP Gateway | Per-tool-rechten, serverclassificatie |
| 07 | Plugin-sandbox | Deno + WASM dubbele sandbox (Pyodide) |
| 08 | Geheimenisolatie | OS-sleutelhanger of vault, onder LLM-laag |
| 09 | Bestandssysteem-toolsandbox | Padgevangenis, padclassificatie, taint-bereik OS-I/O |
| 10 | Agentidentiteit en delegatie | Cryptografische delegatieketens |
| 11 | Auditlogging | Kan niet worden uitgeschakeld |
| 12 | SSRF-preventie | IP-denylist + DNS-oplossingscontroles |
| 13 | Geheugenclassificatiepoort | Schrijven op eigen niveau, lezen alleen omlaag |
Lees de volledige Verdediging in diepte-architectuurdocumentatie.
Waarom sub-LLM-handhaving van belang is
De meeste AI-agentplatforms handhaven beveiliging via systeemprompts — instructies aan het LLM die zeggen "deel geen gevoelige gegevens." Prompt-injectieaanvallen kunnen deze instructies overschrijven.
Triggerfish hanteert een andere aanpak: het LLM heeft nul autoriteit over beveiligingsbeslissingen. Alle handhaving vindt plaats in deterministische code onder de LLM-laag. Er is geen pad van LLM-uitvoer naar beveiligingsconfiguratie. :::
Compliance-roadmap
Triggerfish is pre-certificering. Onze beveiligingspositie is architecturaal en vandaag verifieerbaar in broncode. Formele certificeringen staan op de roadmap.
| Certificering | Status | Opmerkingen |
|---|---|---|
| SOC 2 Type I | PLANNED | Beveiligings- en vertrouwelijkheidsvereisten |
| SOC 2 Type II | PLANNED | Aanhoudende controle-effectiviteit over observatieperiode |
| HIPAA BAA | PLANNED | Business associate agreement voor zorgklanten |
| ISO 27001 | PLANNED | Beheersysteem voor informatiebeveiliging |
| Penetratietest door derde | PLANNED | Onafhankelijke beveiligingsbeoordeling |
| GDPR-compliance | PLANNED | Self-hosted architectuur met configureerbare retentie en verwijdering |
Een noot over vertrouwen
De beveiligingskern is open source onder Apache 2.0. U kunt elke regel beleidshandhavingscode lezen, de testsuite uitvoeren en claims zelf verifiëren. Certificeringen staan op de roadmap. :::
De broncode controleren
De volledige Triggerfish-codebase is beschikbaar op github.com/greghavens/triggerfish — Apache 2.0-gelicentieerd.
Kwetsbaarheidsrapportage
Als u een beveiligingskwetsbaarheid ontdekt, meld dit dan via ons Responsible Disclosure-beleid. Open geen publieke GitHub-issues voor beveiligingskwetsbaarheden.