Trust
Najpierw filtruj, dopiero potem rozumuj
Niezmiennik. Model nigdy nie widzi treści, do której pytający użytkownik nie ma dostępu — a każda inna kontrola zaufania w KMS-ie płynie z tej jednej reguły.
[ ustalone ]
Jedyna pozycja na tej stronie, która nie jest roboczą hipotezą. Każda inna decyzja o zaufaniu w systemie wiedzy płynie z tej jednej, a jeśli architektura zawali to, żadna kontrola w dół rzeki jej nie uratuje.
Niezmiennik
Gdy użytkownik odpytuje system wiedzy, kolejność operacji musi być taka:
- Rozwiąż tożsamość użytkownika i jego zakresowe uprawnienia przez dostawcę tożsamości.
- Zbuduj zbiór kandydatów wiedzy, które mogłyby odpowiedzieć na pytanie.
- Usuń z tego zbioru wszystko, czego użytkownikowi nie wolno zobaczyć.
- Przekaż przefiltrowany zbiór modelowi.
- Skomponuj odpowiedź wyłącznie z przefiltrowanego zbioru.
- Zwróć odpowiedź z cytatami wyłącznie do źródeł, które użytkownik miał prawo zobaczyć — i zaloguj decyzje.
Krokiem, który ma znaczenie, jest krok trzeci. Model nigdy nie otrzymuje treści, do której użytkownik nie ma dostępu.
Dlaczego to jest niezmiennik
Trzy tryby awarii znikają, gdy filter-first staje się regułą.
Prompt injection nie może wyciągnąć tego, czego nigdy nie było w kontekście. Złośliwy prompt nie może zmusić modelu do wyjawienia tego, czego model nie ma. Model nie może sparafrazować, streścić ani sprytnym sformułowaniem obejść uprawnienia, którego nigdy nie widział.
Cichy wyciek przez kompilację znika. LLM, który dostaje pięć źródeł o różnych wrażliwościach, może na marginesie zdradzić coś o najbardziej wrażliwym źródle w streszczeniu najmniej wrażliwego. Jeśli wrażliwe źródło nigdy nie było w kontekście, ta awaria staje się strukturalnie niemożliwa.
Uczciwość staje się dostępna. Gdy zapytanie dotyka materiału, do którego użytkownik nie ma uprawnień, system może to przyznać, nie ujawniając jego treści: „W finansach jest dodatkowy kontekst, którego nie mogę udostępnić twojej roli. Porozmawiaj z liderem finansów, jeśli go potrzebujesz". Użytkownicy przestają cicho nie ufać systemowi, którego białe plamy są niewidoczne — i zaczynają używać potwierdzenia jako mapy tego, kogo pytać dalej.
Odwrócona kolejność — skomponuj odpowiedź ze wszystkiego, co istotne, a potem redaguj — zawodzi we wszystkich trzech. Model już zobaczył treść. Redakcja to teatr.
Przepracowany przykład
W zespołowym KMS-ie — przepracowanej implementacji tego myślenia — warstwa MCP jest punktem egzekwowania. Tożsamość użytkownika jest rozwiązywana przez dostawcę tożsamości klienta, jego rola i zakresowe przypisania są ustalane, a zbiór kandydujących koncepcji jest filtrowany wobec tych zakresów zanim cokolwiek dotrze do modelu. Sprzedawca zadający pytanie, którego najlepsza odpowiedź dotknęłaby koncepcji finansowej, otrzymuje odpowiedź zbudowaną wyłącznie z koncepcji, które może zobaczyć, plus uczciwe potwierdzenie, że istnieje ograniczony materiał.
Ta sama architektura skaluje się między modelami zakresowymi. Zakres na poziomie rekordu (użytkownik widzi wyłącznie własne sprawy), zakres na poziomie działu i granice międzyencyjne wszystkie zwijają się do tej samej reguły architektonicznej: autoryzacja jest ewaluowana przy składaniu zbioru kandydatów, a nie przy komponowaniu odpowiedzi.
Zastrzeżenia
Filter-first zamyka główny kanał wycieku. Nie zamyka kanałów bocznych — czasu odpowiedzi, tego czy odpowiedź w ogóle była możliwa, tego, czego system odmówił odpowiedzi. Zdeterminowany obserwator mógłby teoretycznie wywnioskować istnienie ograniczonego materiału z kształtu tego, czego system odmawia.
Dziś zabezpieczeniem jest ujednolicenie odmowy — ten sam komunikat, to samo opóźnienie — między kategoriami ograniczeń, żeby kształt odmowy nie zdradzał tego, co za nim stało. Jest to wystarczająco dobre w skali zespołowej. Dla wdrożeń z modelami zagrożeń o charakterze przeciwnika lub napędzanymi wywiadowczo warta jest dalsza praca, i to jest brzeg, na którym pozycja wciąż się porusza.
Related positions
Rev. 2026-04-18