llm-hasher : Détection et Tokenisation Locales des PII pour les Flux de Travail LLM Hybrides
llm-hasher comble une lacune de sécurité spécifique dans les workflows LLM hybrides : lorsque vous exécutez des LLM locaux mais que vous appelez toujours des services externes comme OpenAI, Claude ou Gemini pour certaines tâches, vos PII quittent toujours votre infrastructure en texte clair. Cet outil exécute la détection des PII entièrement localement en utilisant Ollama, donc aucune donnée ne quitte vos systèmes pendant la phase de détection.
Fonctionnement
Le processus suit trois étapes : détecter les PII localement, les tokeniser avant les appels aux LLM externes, puis restaurer les valeurs originales après traitement. Cela empêche les données sensibles d'être exposées à des services tiers.
Approche de détection
Le système de détection utilise une approche hybride :
- Modèles regex pour les types de données structurées : cartes de crédit, numéros IBAN, adresses e-mail et adresses IPv4
- Ollama avec llama3.2:3b (par défaut) pour la détection contextuelle des PII non structurées : noms, adresses, identifiants nationaux, passeports et dates de naissance
Implémentation technique
Les correspondances entre les PII originales et les tokens sont stockées dans un coffre-fort SQLite chiffré en AES-256-GCM. Le déploiement est simplifié avec Docker Compose, qui lance à la fois Ollama et le service llm-hasher avec une seule commande.
📖 Lire la source complète : r/LocalLLaMA
👀 See Also
openclaw-credential-vault traite quatre voies de fuite d'identifiants dans les agents IA
openclaw-credential-vault offre une isolation au niveau du système d'exploitation et une injection d'identifiants limitée aux sous-processus pour prévenir quatre voies d'exposition courantes des identifiants dans les configurations OpenClaw. Il inclut un nettoyage de sortie à quatre crochets et fonctionne avec n'importe quel outil CLI ou API.
Vulnérabilité RCE critique dans la bibliothèque protobuf.js
Une vulnérabilité critique d'exécution de code à distance dans les versions 8.0.0/7.5.4 et inférieures de protobuf.js permet l'exécution de code JavaScript via des schémas malveillants. Des correctifs sont disponibles dans les versions 8.0.1 et 7.5.5.
ClawCare : Garde du corps pour les agents de codage IA après une fuite de clé AWS
ClawCare est un outil Python qui analyse les commandes avant leur exécution dans les agents de codage IA comme Claude Code, bloquant les modèles risqués tels que les vidages massifs d'environnement et les shells inversés. Il a été créé après qu'un développeur a accidentellement divulgué une clé AWS via un agent.
Modèle de sécurité de NanoClaw pour les agents IA : Isolation par conteneurs et code minimal
NanoClaw implémente une architecture de sécurité où chaque agent d'IA s'exécute dans son propre conteneur éphémère avec un accès utilisateur non privilégié, des systèmes de fichiers isolés et des listes d'autorisation de montage explicites. La base de code est délibérément minimale, avec environ un processus et une poignée de fichiers, s'appuyant sur le SDK d'agent d'Anthropic au lieu de réinventer les fonctionnalités.