Sicurezza informatica del prodotto, dichiarata articolo per articolo.
Polyant ha dieci controlli built-in che intervengono prima, durante e dopo ogni decisione di ogni agente. La configurazione di sicurezza vive nel runtime, non in un prodotto separato. Il cliente decide dove gira il software, chi ispeziona il codice e come legge il registro audit.
Dieci controlli che lavorano insieme su ogni decisione.
Una decisione di un agente passa per tre fasi: input, tool, output. Su ogni fase si attivano specifici controlli in base alla configurazione di istanza. Il responsabile compliance vede tutto, regola per regola, nel registro audit.
prompt-injection
13 pattern regex in italiano e inglese che intercettano tentativi di prompt injection nel testo in input.
message-length-limit
Blocca messaggi in input oltre la soglia configurata per istanza.
topic-guardrail
Blocca categorie di temi configurate per istanza.
tool-domain-filter
Allowlist e denylist di domini con wildcard applicate alle chiamate dei tool che accedono al web.
tool-rate-limit
Rate limit per minuto e per conversazione su ciascun tool.
internet-access
Disabilita per istanza i tool che accedono al web pubblico.
tool-param-validator
Valida i parametri delle chiamate dei tool rispetto allo schema JSON dichiarato.
credential-detector
7 pattern per API key, JWT, AWS keys, PEM e connection string che bloccano l'invio di credenziali in chiaro nell'output.
system-prompt-leakage
Canary token e frasi bloccate per impedire che il system prompt esca dal runtime.
pii-detector
Rileva email, telefono, codice fiscale, IBAN e dati personali strutturati nell'output prima dell'invio al canale.
Ogni controllo ha tre modalità: block, warn, log. Tre policy sono precaricate all'avvio e immutabili: prompt-injection, credential-detector, system-prompt-leakage. Le altre sono configurabili dal team del cliente.
Ogni agente è un'istanza isolata, con segreti cifrati a riposo.
Ogni agente del cliente è un'istanza con UUID dedicato, configurazione propria, segreti propri e canali propri. I segreti per istanza, incluse chiavi API e credenziali di integrazione, sono cifrati con AES-256-GCM.
La chiave master vive in variabile d'ambiente del runtime e può essere gestita con KMS o HSM esterni nei deploy enterprise.
L'isolamento è a livello database: le configurazioni di un'istanza non si vedono dalle altre.
Cosa fa il software, cosa fa il cliente, cosa fa Exelab.
Il modello di sicurezza di Polyant distingue chiaramente le responsabilità nei diversi metodi di adozione.
Self-host
Il cliente gestisce configurazione, patching, backup, monitoring e audit prep.
Servizi professionali Exelab
Exelab supporta delivery e hand-off operativo.
Managed Exelab
Exelab gestisce runtime, monitoring e operatività secondo il profilo SLA.
Sui sistemi del cliente, sul cloud account del cliente, sull'infrastruttura gestita.
Polyant gira come container Docker su qualunque infrastruttura. Il cliente sceglie dove installare e chi opera.
Sui sistemi del cliente
Container Docker su Kubernetes del cliente o macchine virtuali interne.
Sul cloud account del cliente
Container Docker su account AWS, Azure o GCP del cliente.
Sull'infrastruttura gestita da Exelab
Container Docker su infrastruttura Exelab in regione EU.
Il registro vive dentro il database del cliente.
Ogni decisione del runtime viene registrata in tabelle PostgreSQL dedicate all'interno del database del cliente. Il responsabile compliance può interrogare il registro con qualunque client SQL standard, anche mesi dopo.
Dal confronto tecnico al primo agente governato in produzione.
Conversazione tecnica con il team Exelab per qualificare il modello di sicurezza sul caso del cliente, oppure approfondimento sull'architettura runtime nella documentazione tecnica.