Material Quarantine Trust Model
外部から取得された未信頼データ(RAG、ユーザーファイル、Web 検索等)を検疫・正規化し、安全な Material 層として受け入れるための信頼モデルを定義する。
1. Purpose
外部データをそのまま LLM の Attention に投入すると、プロンプトインジェクション、誤認情報の混入、Attention Pollution が発生しやすい。AIKernel は検疫を必須化し、次を実現する。
- 推論経路の汚染防止: 未信頼生入力を直接推論層へ流さず、分離された検疫プロセスで危険命令とノイズを除去する。
- 出典追跡(Provenance)の厳格化: すべての素材へ出典と信頼度メタデータを付与し、生成結果の根拠を追跡可能にする。
- 構造化による素材化: 非定型データを型付き素材へ正規化し、推論エンジンで扱える形へ変換する。
2. Theoretical Background: Quarantine and Trust
AIKernel では外部データを潜在的汚染源として扱い、信頼状態の遷移を定義する。
Unreliable(生データ): 検疫前の外部文字列/バイト列。Quarantined(検疫済み): 構文検証、有害内容フィルタ、構造化が完了した状態。Material(信頼素材): 出典が紐付けられ、Context 空間への投入が許可された状態。
3. Core Contracts
3.1 IMaterialQuarantine
- 責務: 生入力のスキャン、正規化、構造化を実施する。
- 機能例: インジェクション検知、機密情報マスキング、フォーマット統一。
3.2 IStructuredMaterial
- 責務: 検疫済み情報を保持するコンテナ。
- 属性例:
Body,Schema,TrustLevel,SourceInfo。
3.3 SourceInfo
- 責務: データの血統情報を定義する。
- プロパティ例:
Uri,Timestamp,Hash,Author。
3.4 IRagProvider and IEmbeddingProvider
- 責務: 外部知識基盤(ベクトル DB 等)から情報を取得し、検疫プロセスへ橋渡しする。
4. Trust Rules
- 検疫必須原則: 外部入力(API、ファイル、ユーザー入力)は
IMaterialQuarantineを通過せずMaterialContextへ追加してはならない。 - 出典不変性:
IStructuredMaterial生成後のSourceInfoは不変であり、推論結果まで継承される。 - 再帰検疫ルール: 過去
Expressionを再入力する場合も自明信頼せず、必ず再検疫する。 - メタデータ分離: 出典情報は本文プロンプトへ混在させず、
MetadataContext相当領域へ分離保持する。
5. Fail-Closed Rule
信頼連鎖が切れた情報は推論経路から排除する。
- 出典不明拒絶:
SourceInfo欠落、または改ざん検知時は即時ブロック。 - 検疫エラー/タイムアウト: 検疫が失敗した素材は汚染可能性ありとして拒否し、必要に応じてパイプライン停止。
- 信頼スコア閾値:
TrustLevelが最小閾値未満の素材は重要推論へ関与させない。
6. Process Flow (Conceptual)
- Fetcher: Web 検索等から生データ取得(Status:
Unreliable)。 - Quarantine: 命令的テキスト除去、正規化、構造化(Status:
Quarantined)。 - Analyzer: 出典検証と信頼スコア計算(Status:
Material)。 - Kernel:
MaterialContextへ格納し、OrchestrationContextから必要時のみ参照する。
変更履歴
- v0.0.0 / v0.0.0.0: 初期ドラフト
- v0.0.1 (2026-05-06): ドキュメント規約に基づくバージョン更新
Source:
architecture/11.MATERIAL_QUARANTINE_TRUST_MODEL-jp.md