Pablo Zavala · Avaliação de segurança de IA · Engenharia de pesquisa

Fronteiras de privacidade inspecionáveis em SQLite para conjuntos de texto livre

Um protótipo sem dependências publica estrutura a partir de um conjunto de dados de texto livre em SQLite sem expor linhas cruas nem tabelas base privadas. A censura por padrões limpa o texto antes do armazenamento, um piso de texto distinto de k=5 controla cada tópico público e célula agregada, e o authorizer do SQLite nega escritas, tabelas privadas e colunas sensíveis em cada consulta.

Seis autoverificações de fronteira controlam a CI: determinismo, um piso de texto distinto k=5, um authorizer SQL somente leitura, censura em repouso, uma auditoria encadeada por hash e um extrato sem tabelas privadas

Repositório público e reproduzível

Os controles permanecem estruturais em vez de semânticos; a censura por padrões não detecta texto autoidentificador inédito, e o piso conta texto distinto em vez de pessoas.

Papel: Autor único: desenho da fronteira, authorizer do SQLite, camadas de censura e agrupamento determinístico de tópicos, auditoria encadeada por hash e a suíte de autoverificação.

Cartão de avaliação

Resultado principal

Amostra
Repositório público e reproduzível
Avaliador
Comparação contra a afirmação pública e seus artefatos de prova
Resultado
Seis autoverificações de fronteira controlam a CI: determinismo, um piso de texto distinto k=5, um authorizer SQL somente leitura, censura em repouso, uma auditoria encadeada por hash e um extrato sem tabelas privadas
Limite
Os controles permanecem estruturais em vez de semânticos; a censura por padrões não detecta texto autoidentificador inédito, e o piso conta texto distinto em vez de pessoas.

Sinal de evidência

Amostra
Um piso de texto distinto de k=5 controla cada tópico público e célula agregada, bloqueando a inundação de duplicatas exatas
Avaliador
Leitura de repositórios, relatórios, dados versionados ou demos públicas
Resultado
O authorizer de instruções analisadas do SQLite nega escritas, tabelas base privadas, colunas sensíveis, sqlite_master e funções não aprovadas
Limite
Os controles permanecem estruturais em vez de semânticos; a censura por padrões não detecta texto autoidentificador inédito, e o piso conta texto distinto em vez de pessoas.
Eixos de avaliação com amostra, avaliador, resultado e limite.
EixoAmostraAvaliadorResultadoLimite
Resultado principalRepositório público e reproduzívelComparação contra a afirmação pública e seus artefatos de provaSeis autoverificações de fronteira controlam a CI: determinismo, um piso de texto distinto k=5, um authorizer SQL somente leitura, censura em repouso, uma auditoria encadeada por hash e um extrato sem tabelas privadasOs controles permanecem estruturais em vez de semânticos; a censura por padrões não detecta texto autoidentificador inédito, e o piso conta texto distinto em vez de pessoas.
Sinal de evidênciaUm piso de texto distinto de k=5 controla cada tópico público e célula agregada, bloqueando a inundação de duplicatas exatasLeitura de repositórios, relatórios, dados versionados ou demos públicasO authorizer de instruções analisadas do SQLite nega escritas, tabelas base privadas, colunas sensíveis, sqlite_master e funções não aprovadasOs controles permanecem estruturais em vez de semânticos; a censura por padrões não detecta texto autoidentificador inédito, e o piso conta texto distinto em vez de pessoas.

Como inspecionar este trabalho

Pergunta avaliada

Um protótipo sem dependências publica estrutura a partir de um conjunto de dados de texto livre em SQLite sem expor linhas cruas nem tabelas base privadas. A censura por padrões limpa o texto antes do armazenamento, um piso de texto distinto de k=5 controla cada tópico público e célula agregada, e o authorizer do SQLite nega escritas, tabelas privadas e colunas sensíveis em cada consulta.

Evidência inspecionável

Evidência principal: Seis autoverificações de fronteira controlam a CI: determinismo, um piso de texto distinto k=5, um authorizer SQL somente leitura, censura em repouso, uma auditoria encadeada por hash e um extrato sem tabelas privadas. Superfície: Repositório público e reproduzível.

Limite da afirmação

Os controles permanecem estruturais em vez de semânticos; a censura por padrões não detecta texto autoidentificador inédito, e o piso conta texto distinto em vez de pessoas.

Estudo de caso

Problema

Um protótipo sem dependências publica estrutura a partir de um conjunto de dados de texto livre em SQLite sem expor linhas cruas nem tabelas base privadas. A censura por padrões limpa o texto antes do armazenamento, um piso de texto distinto de k=5 controla cada tópico público e célula agregada, e o authorizer do SQLite nega escritas, tabelas privadas e colunas sensíveis em cada consulta.

Contexto

O protótipo responde a uma pergunta: um conjunto de dados de texto livre apoiado em SQLite consegue expor estrutura pública útil sem vazar registros crus nem tabelas base privadas? Para responder, o código separa um armazenamento privado de uma superfície pública estreita e impõe essa lacuna com controles rígidos e inspecionáveis em vez de convenção.

Método

Papel de Pablo: Autor único: desenho da fronteira, authorizer do SQLite, camadas de censura e agrupamento determinístico de tópicos, auditoria encadeada por hash e a suíte de autoverificação. SQLite authorizer sandboxing, Pattern-based PII redaction, k=5 distinct-text public views

Resultado

Seis autoverificações de fronteira controlam a CI: determinismo, um piso de texto distinto k=5, um authorizer SQL somente leitura, censura em repouso, uma auditoria encadeada por hash e um extrato sem tabelas privadas Um piso de texto distinto de k=5 controla cada tópico público e célula agregada, bloqueando a inundação de duplicatas exatas

Limite

Os controles permanecem estruturais em vez de semânticos; a censura por padrões não detecta texto autoidentificador inédito, e o piso conta texto distinto em vez de pessoas.

Evidência

Repositório público e reproduzível A evidência principal aparece nos links da seção de materiais.

Resultados principais

  • Um piso de texto distinto de k=5 controla cada tópico público e célula agregada, bloqueando a inundação de duplicatas exatas
  • O authorizer de instruções analisadas do SQLite nega escritas, tabelas base privadas, colunas sensíveis, sqlite_master e funções não aprovadas
  • A censura por padrões roda antes do truncamento e normaliza homóglifos unicode, removendo e-mails, telefones, links, handles, endereços e sequências do tipo ZIP
  • Uma verificação de visão canônica rejeita visões públicas cujo SQL desvia da definição publicada, de modo que uma visão renomeada não herda confiança do seu nome
  • O extrato publicado omite tabelas base privadas, linhas de auditoria e texto no nível da linha, e fixa o head de auditoria e a contagem de linhas de origem para verificação externa
  • Um registro de auditoria encadeado por hash detecta adulteração de linha por si só e remoção de cauda depois que o head e a contagem são fixados
  • Seis autoverificações e uma suíte unitária de 13 testes rodam em Python 3.11, 3.12 e 3.13 sem dependências de terceiros em tempo de execução

Métodos

  • SQLite authorizer sandboxing
  • Pattern-based PII redaction
  • k=5 distinct-text public views
  • Deterministic topic clustering
  • Hash-chained audit log