形式的脅威モデル
Quira の全防御メカニズム — ケーパビリティトークンから創発的セキュリティ構造まで — は、この形式的脅威モデルの上に構築されている。何を守るか、誰から守るか、どのような安全性を保証するかを定義する。
研究ドキュメント
証明・定量的プライバシー分析を含む完全な形式的定義は docs/security/threat-model.md(約400行)を参照。本ページはWebアクセス可能な要約版。
知識グラフの定義
Quira の Context Graph は5つ組として形式的に定義される。
G = (V, E, Σ, Φ, Τ)
| 記号 | 定義 |
|---|---|
| V | ノード集合 — 各ノードは1ページ訪問に対応 |
| E ⊆ V × V × L | ラベル付き有向エッジ(navigation, ai_inferred, user_created) |
| Σ: V → S | 各ノードの構造化属性(title, url, summary, entities, tags, notes, space_id) |
| Φ: V → R384 | 各ノードの埋め込みベクトル(384次元) |
| Τ: V → T | 時間メタデータ(訪問タイムスタンプ、滞在時間、訪問回数) |
構成的機密性
個々のデータポイントは低機密。しかし集約されたグラフは超加算的 — 全体の機密度は個々の合計を大幅に超える。
| 資産 | 機密度 | 理由 |
|---|---|---|
| 個別ノード要約 | 低 | 公開Webコンテンツ |
| エンティティ集合 | 中 | 部分的な関心プロファイル |
| ナビゲーションエッジ | 高 | 完全な研究経路 = 思考の流れ |
| 埋め込みベクトル | 高 | コンテンツ逆変換攻撃が可能 |
| 時間メタデータ | 高 | 完全な行動タイムライン |
| グラフトポロジー | 極高 | 個人を一意に識別可能(認知フィンガープリント) |
| グラフ全体 G | 極高 | 個人知識の完全な表現 |
敵対者モデル
5段階の敵対者クラス。各クラスは三つ組(能力, 目標, 事前知識)で定義。上位クラスは下位の能力を包含する。
| クラス | 名称 | 能力 | 例 |
|---|---|---|---|
| A1 | ネットワーク観察者 | 受動的トラフィック観察(DNS, TLS SNI, パケットタイミング)。暗号化ペイロードは読取不可。 | ISP、公衆WiFi、国家監視 |
| A2 | 悪意あるWebコンテンツ | レンダラプロセス内で任意のHTML/CSS/JS実行。プロンプトインジェクション、エンティティポイズニング、埋め込み操作、認知フィンガープリント採取。 | フィッシング、広告ネットワーク、情報操作 |
| A3 | 悪意ある拡張機能 | 宣言した権限内でWebExtensions APIアクセス。更新でコード注入可能。ネットワーク送信可能。 | サプライチェーン攻撃、買収後の悪意注入 |
| A4 | OS権限をもつ攻撃者 | ファイルシステム読取(SQLite直接アクセス)、プロセスメモリダンプ、DMA/コールドブート攻撃。 | マルウェア、物理窃取、フォレンジック |
| A5 | ブラウザベンダー自身 | コード変更、テレメトリ追加、更新配布。OSS+再現可能ビルドで軽減。 | 買収、経営変更、法的強制 |
AI固有の攻撃ベクトル (A2)
悪意あるWebコンテンツはQuiraのAIパイプラインを標的にできる: 要約汚染のプロンプトインジェクション (A2.1)、不可視テキストによるエンティティポイズニング (A2.2)、類似検索汚染のための埋め込み空間操作 (A2.3)、複数ページにわたるクラスタ重心シフト (A2.5)。詳細は脅威対策を参照。
攻撃面
| ID | 攻撃面 | 敵対者 | 防御 |
|---|---|---|---|
| S1 | ネットワーク層(DNS, TLS) | A1 | ネットワークファイアウォール |
| S2 | Webコンテンツ → AIパイプライン | A2 | 脅威対策(4層防御) |
| S3 | 拡張機能 → Context Graph API | A3 | パーミッションシステム(ケーパビリティトークン) |
| S4 | ローカルファイルシステム(SQLite DB) | A4 | プライバシーアーキテクチャ(SQLCipher + TEE) |
| S5 | 埋め込みベクトル | A2-A4 | 独立暗号化、TEE推論 |
| S6 | IPCチャネル(Gecko IPDL) | A2 | 全IPC境界でのケーパビリティチェック |
| S7 | グラフトポロジーメタデータ | A1-A4 | AGTR + ファントム知識難読化 |
| S8 | 時間メタデータパターン | A1-A3 | バッチ処理、時間ノイズ注入 |
| S9 | 更新/ビルドパイプライン | A5 | OSS + 再現可能ビルド + コード署名 |
| S10 | 推論残留物(ノード削除後) | A3-A4 | IRD + RSIP + CAV |
セキュリティ特性
| 特性 | 定義 | 検証方法 |
|---|---|---|
| グラフ機密性 | 敵対者は認可されたケーパビリティトークンの範囲を超えてノード・エッジ・属性にアクセスできない。 | 形式的検証(CGAGのTLA+モデル) |
| グラフ完全性 | グラフ構造の不正な変更が不可能。AIパイプラインはバリデーション層を通過しないと書込不可。 | ハッシュチェーン(TCV) |
| 削除完全性 | ユーザーがデータ削除時、全ての直接的・派生的アーティファクト(埋め込み、要約、推論残留物)が消去される。 | 暗号学的検証(CAV) |
| フロー分離 | ユーザーの明示的操作なしにセキュリティコンテキスト間でデータが流れない。IFCラベルは単調。 | ラベル伝播監査 |
| 時間的減衰 | パーミッションとセッションは期限切れする。永続的な付与は存在しない。 | ケーパビリティトークンTTL強制 |
攻撃-防御マッピング
各敵対者クラスは特定の防御レイヤーにマッピングされる。
| 敵対者 | 主要防御 | 先進防御 |
|---|---|---|
| A1(ネットワーク) | DoH/DoT, ECH, TLS 1.3, ネットワークFW | PQC (ML-KEM hybrid)、バッチタイミング |
| A2(Webコンテンツ) | コンテンツフィルタリング、AI免疫システム | KSCI、敵対的ML、逆サンドボックス |
| A3(拡張機能) | ケーパビリティトークン、Context TCC | CSEB異常検知、行動監視 |
| A4(OS権限) | SQLCipher、キーチェーン、TEE | SKV、Context Lockdown、Dead Man's Switch |
| A5(ベンダー) | OSS、再現可能ビルド、オプトインテレメトリ | 差分プライバシー(ε公開)、CAV |
このページは役に立ちましたか?