Modi
Observe, Enforce, Block
Drei Sanitization-Haltungen. Eine pro API-Key. Die Strenge des Gateways auf die Strenge des Workloads abgestimmt.
Das Lucairn-Gateway sitzt zwischen deiner Anwendung und dem Inferenz-Anbieter. Jeder Prompt durchläuft den Sanitizer, bevor er deine Zone verlässt; jede Antwort trägt auf dem Rückweg ein signiertes Zertifikat. Der Modus steuert, was passiert, wenn der Sanitizer PII findet: nur loggen, redigieren-und-rehydrieren oder verweigern. Jede Haltung beantwortet eine andere Compliance-Frage — wähle nach dem, was dein Prüfer verlangt, nicht nach dem, was abstrakt am sichersten klingt.
Observe
Bald verfügbarNur loggen. Sanitizer scannt, Zertifikat wird ausgestellt, Antwort bleibt unverändert.
Observe lässt dieselbe Sanitizer-Pipeline laufen wie Enforce — Layer 1 Known-Entity-Matching, Layer 2 Presidio NER, optional Layer 3 PII Shield — und verzeichnet jeden Fund auf dem Zertifikat. Er redigiert nicht. Das Modell erhält den ursprünglichen Prompt verbatim. Die Audit-Spur ist identisch zu Enforce: dasselbe signierte Zertifikat, derselbe Redaktions-Count, dieselbe Sanitizer-Layer-Aufschlüsselung. Was sich ändert, ist allein der Body, den der Anbieter sieht.
Wann sinnvoll
Eine Audit-Vorbereitungs-Phase, bevor downstream-Konsumenten umgestellt werden können — du willst wissen, was redigiert würde, bevor du den Schalter umlegst. Eine Messphase zum Tunen von Recognizern, ohne das Produktionsverhalten zu verändern. Anbieter-Onboarding-Nachweis: du kannst der Aufsicht Zertifikate vorlegen, die dokumentieren, wie häufig PII in den KI-Hop fliessen würde, ohne die Antwort zu ändern.
Antwortform
Identisch zu einer Stock-SDK-Antwort, plus dem metadata.dsa_compliance-Block mit veil_certificate_url, veil_summary_url, redaction_count, sanitizer_layers, latency_ms. content[0].text enthält keine Platzhalter.
Compliance- + Audit-Implikationen
Nützlich als Nachweis-ohne-Nebenwirkung. Erfüllt DSGVO Art. 25 Datenminimierung in der Produktion nicht — Identität fliesst weiterhin zum Anbieter. Zu behandeln als Übergangs-Haltung oder Mess-Schicht, nicht als Dauer-Produktions-Modus für regulierte Workloads.
Konfiguration
# Bald verfügbar — Vorschau
# Sobald ausgeliefert, pro API-Key konfigurierbar:
# admin: PATCH /admin/keys/{key_id} { "mode": "observe" }
# Heutige naechste Primitive: mcp_system_policy=passthrough_audit
# (nur MCP-System-Prompt-Pfad; siehe services/gateway/internal/auth/apikey.go).Enforce
Standard — heute liveBereinigen und redigieren. Das LLM sieht [PERSON_N]-Platzhalter; die Antwort wird rehydriert.
Enforce ist der Standard-Modus und die strukturelle Eigenschaft, die ein Prüfer verlangt. Der Sanitizer redigiert jede erkannte Entität, bevor die Anfrage das Gateway verlässt. Das Modell sieht [PERSON_1], [EMAIL_1], [IBAN_1] usw. — nie die Ursprungswerte. Auf dem Rückweg werden Platzhalter gegen Sandbox A rehydriert, ausschliesslich für tarifberechtigte Aufrufer. Sandbox B (Inferenzzone) hat keinen Netzwerkpfad zu Sandbox A (Identitätszone), sodass selbst ein Sanitizer-Miss die Brücke nicht in einen wiederverwendbaren identitätsverknüpften Datensatz übertragen kann.
Wann sinnvoll
Produktion für regulierte Workloads. Standard für jeden Workflow unter KI-Verordnung, DSGVO, DORA, NIS 2 oder HIPAA. Die einfachste Antwort auf die Frage „beweise, dass das LLM nie Identität im Klartext gesehen hat“.
Antwortform
content[0].text referenziert Platzhalter, die für den Aufrufer rehydriert werden. metadata.dsa_compliance trägt dieselben Felder wie Observe. Das signierte Zertifikat unter veil_certificate_url dokumentiert, welche Entitäten von welcher Sanitizer-Schicht mit welchem Manifest-Hash redigiert wurden.
Compliance- + Audit-Implikationen
Bildet direkt auf DSGVO Art. 25 (Datenschutz durch Technikgestaltung) und Art. 32 (Sicherheit der Verarbeitung) ab. KI-Verordnung Art. 10 + Art. 12 + Art. 14 + Art. 15-Mappings folgen aus der Sanitizer-Pipeline plus der Append-only-Audit-Kette. Der signierte Beleg ist das Artefakt, das eine Aufsicht prüft.
Konfiguration
# Standard — keine Konfiguration nötig
# Jeder neue API-Key startet in Enforce.
# Zum Inspizieren:
# admin: GET /admin/keys/{key_id} → mcp_system_policy: "sanitize"
# (oder schlicht ungesetzt, was zu Sanitize-und-Redigieren defaultet).Block
Bald verfügbarVerweigern. Gateway antwortet mit HTTP 403, sobald PII erkannt wird. Keine Inferenz.
Block ist die strengste Haltung. Jede PII-Erkennung in irgendeiner Sanitizer-Schicht bricht die Anfrage ab, bevor sie den Inferenz-Anbieter erreicht. Das Gateway antwortet mit HTTP 403 und einem strukturierten Fehler-Body, der die gefundenen Entitäten auflistet. Keine Inferenz, kein verbrauchtes Inferenz-Token, kein Zertifikat-mit-Output. Stattdessen wird ein Ablehnungs-Zertifikat ausgestellt, sodass die Audit-Kette weiterhin festhält, dass der Prompt versucht wurde.
Wann sinnvoll
Endpunkte, in denen der Prompt nie Identität enthalten darf — vollständig anonymisierte Forschungs-Workflows, öffentliche Demo-Endpunkte, interne Klassifikatoren, die nur auf Metadaten arbeiten. Jeder Workflow, in dem die Kosten eines Sanitizer-Misses höher sind als die Kosten einer abgelehnten Anfrage.
Antwortform
HTTP 403 mit Body { error: 'pii_detected', entities: [{ type, layer, count }], certificate_url }. Die Zertifikats-URL löst weiterhin auf und die Ablehnung wird auf der Audit-Kette verzeichnet — Beweis für „wir haben gefangen und verweigert“ statt für „nichts in den Logs“.
Compliance- + Audit-Implikationen
Stärkste Haltung für Workloads, in denen die Leak-Kosten höher sind als die Verfügbarkeits-Kosten. Das Ablehnungs-Zertifikat ist selbst Audit-Nachweis: eine Aufsicht sieht, dass das Gateway einen PII-führenden Prompt erkannt und verweigert hat — das ist substanziell besser als „nichts in den Logs“.
Konfiguration
# Bald verfügbar — Vorschau
# Sobald ausgeliefert, pro API-Key konfigurierbar:
# admin: PATCH /admin/keys/{key_id} { "mode": "block" }
# Ablehnungs-Antworten folgen dem Standard-Fehler-Envelope
# dokumentiert unter /docs/api-reference.Weiterführend
Anthropic-SDK-Setup
Zwei-Minuten-Drop-in: baseURL ändern, Anthropic-Schlüssel als X-Upstream-Key schicken. Gleiches SDK, signiertes Zertifikat auf jeder Antwort.
Ehrlicher VergleichWarum nicht einfach X nutzen?
Zehn ehrliche Fragen zu Lucairn vs. Presidio, System-Prompts, DLP-Anbieter, Skyflow, selbst gehosteten Modellen, Streaming, Tool-Calls.
FähigkeitenWas heute funktioniert
Ehrliche Capability-Matrix. Streaming, Tool-Calls, Prompt-Caching, Multimodal — was live ist, was Roadmap.