Burn-After-Use for Preventing Data Leakage through a Secure Multi-Tenant Architecture in Enterprise LLM

Dit artikel introduceert een veilige multi-tenant architectuur gecombineerd met een 'Burn-After-Use'-mechanisme om datalekken in enterprise LLM-omgevingen te voorkomen door strikte isolatie en automatische vernietiging van ephemerale conversatiecontexten.

De kern

🏢 De Grote Digitale Kantoorvloer: Hoe je Geheime Documenten Veilig Houdt bij AI

Stel je voor dat een groot bedrijf één gigantisch, slim kantoor heeft waar iedereen met een super-intelligente assistent (een AI of LLM) werkt. Deze assistent kan alles voor je doen: van salarisberekeningen tot geheime uitvindingen.

Maar er is een groot probleem: als iedereen in één grote ruimte zit, kan het gebeuren dat de afdeling Financiën per ongeluk iets leert van wat de afdeling Human Resources net heeft besproken. Of dat de assistent zijn geheugen niet verwijdert, waardoor je later nog steeds kunt zien wat er gisteren is gezegd, zelfs als je dat niet meer wilt.

De auteurs van dit paper (Qiang Zhang en zijn team) hebben een oplossing bedacht die bestaat uit twee delen: SMTA en BAU. Laten we ze bekijken alsof het een nieuw soort kantoor is.

---

1. SMTA: De "Glazen Muur" tussen Afdelingen

(Secure Multi-Tenant Architecture)

In een normaal kantoor met één grote AI, zit iedereen in één grote hal. Als je fluistert, kan de buren het misschien horen.

De SMTA lost dit op door het kantoor op te splitsen in afzonderlijke, geluidsdichte kamers.

• De Analogie: Denk aan een hotel met honderden kamers. Elke afdeling (HR, Financiën, Onderzoek) krijgt zijn eigen kamer.
• Hoe het werkt: De AI voor HR zit in kamer A, en de AI voor Financiën zit in kamer B. Ze hebben geen deur naar elkaar toe. Zelfs als ze dezelfde "super-intelligente assistent" gebruiken, draait die in een volledig gescheiden ruimte.
• De Sleutel: Om je kamer binnen te komen, krijg je geen gewone sleutel (wachtwoord) die iemand kan stelen. Je krijgt een 12-woord geheimzinnige code (een "mnemonic"). Dit is als een unieke vingerafdruk die alleen jij kent en die nergens op papier staat. Als je de kamer verlaat, is de deur op slot en is de sleutel vergeten.

Het resultaat: De afdeling Financiën kan nooit per ongeluk de salarisgegevens van HR zien, omdat ze in een volledig gescheiden wereld zitten.

---

2. BAU: De "Zelfvernietigende Brief"

(Burn-After-Use)

Stel je voor dat je een belangrijke brief schrijft en deze naar de AI stuurt. In een normaal systeem wordt die brief misschien opgeslagen in een archief, zelfs als je hem niet meer nodig hebt. Dat is gevaarlijk als de archiefkast later openbreekt.

De BAU (Burn-After-Use) methode is als een spionnenbrief die zichzelf vernietigt.

• De Analogie: Je geeft de AI een document om te lezen. De AI leest het, doet zijn werk, en direct daarna wordt het document verbrand. Er blijft geen as, geen kopie en geen herinnering over.
• Hoe het werkt: Zodra de sessie (het gesprek) klaar is, of als de tijd is verstreken, wordt alles wat de AI heeft gezien, gehoord of berekend, direct en permanent verwijderd. Het is alsof de AI een kortstondig geheugen heeft dat na elke taak op "nul" wordt gezet.
• Waarom is dit slim? Zelfs als een hacker later de computer van de AI binnendringt, vindt hij niets. De "sporen" zijn al weggeveegd.

---

🧪 De Test: Werkt dit in de echte wereld?

De onderzoekers hebben dit systeem getest met twee soorten "hackers":

1. De Neuzen: Ze probeerden de AI in de ene kamer te laten snuffelen in de andere kamer.
   • Resultaat: De "glazen muren" (SMTA) hielden het 92% van de tijd perfect dicht. De hackers konden niets overhalen.
2. De Vergeten Sporen: Ze probeerden te kijken of de AI nog iets wist nadat de "zelfvernietiging" (BAU) had plaatsgevonden.
   • Resultaat: In 76,75% van de gevallen was alles perfect vernietigd. Soms bleef er een klein beetje "stof" (tijdelijk geheugen) achter, maar dat is een technisch probleem dat nog wordt opgelost.

---

🎯 Samenvatting voor de Gemiddelde Mens

Stel je voor dat je een veiligheidsdienst hebt die twee dingen doet:

1. Ze bouwen muur tussen de kamers zodat niemand in de buurt van je geheimen komt (SMTA).
2. Ze zorgen ervoor dat elk gesprek na afloop in vlammen opgaat, zodat er nooit een bewijsstuk achterblijft (BAU).

Dit onderzoek laat zien dat bedrijven nu veilig hun eigen slimme AI kunnen gebruiken, zonder bang te hoeven zijn dat hun geheimen lekken naar andere afdelingen of dat de AI zich dingen herinnert die ze liever vergeten waren. Het is een stap naar een toekomst waar AI niet alleen slim is, maar ook vertrouwd en discreet.

Technische samenvatting

Hier is een gedetailleerde technische samenvatting van het artikel "Burn-After-Use for Preventing Data Leakage through a Secure Multi-Tenant Architecture in Enterprise LLM", vertaald en samengevat in het Nederlands.

Titel: Burn-After-Use (BAU) voor het voorkomen van datalekken via een beveiligde Multi-Tenant Architectuur in Enterprise LLM

1. Het Probleem

Met de toenemende adoptie van Large Language Models (LLM's) in ondernemingen en overheden zijn nieuwe beveiligings- en privacyrisico's ontstaan. Hoewel traditionele beveiligingsmaatregelen zoals toegangscontrolelijsten (ACL's), encryptie en netwerkscheiding effectief zijn tegen externe bedreigingen, slagen ze er niet in om contextuele persistentie (het aanhouden van gevoelige informatie in conversatiememorie) en cross-session contaminatie (vervuiling tussen sessies) aan te pakken.

In gedeelde inferentie-omgevingen kunnen LLM's onbedoeld gevoelige informatie memoriseren of doorgeven tussen afdelingen. Dit leidt tot risico's op datalekken waarbij informatie uit de ene afdeling (bijv. HR) onbedoeld de antwoorden beïnvloedt van een andere afdeling (bijv. Financiën). Bestaande oplossingen, zoals adapter-gebaseerde fine-tuning of gedeelde KV-cache, verbeteren de prestaties maar bieden geen strikte semantische isolatie, waardoor ze kwetsbaar blijven voor inferentie-aanvallen op tenant-niveau.

2. Methodologie

De auteurs stellen een nieuwe architectuur voor die twee kernmechanismen combineert: Secure Multi-Tenant Architecture (SMTA) en Burn-After-Use (BAU).

A. Secure Multi-Tenant Architecture (SMTA)
SMTA is ontworpen voor een privé-gehoste LLM-omgeving (on-premise of gesegmenteerde private cloud) om externe afhankelijkheden te elimineren.

• Logische Isolatie: Elke afdeling (tenant) werkt binnen een eigen logische tenant met een eigen LLM-instantie, geheugenruimte en vectoropslag. Er wordt geen conversatiegeschiedenis of vector-embedding gedeeld.
• Toegangscontrole: Het systeem gebruikt een combinatie van Role-Based Access Control (RBAC) en Attribute-Based Access Control (ABAC) voor fijnmazige autorisatie.
• Mnemonische Authenticatie: In plaats van traditionele gebruikersnamen en wachtwoorden (die centraal opgeslagen worden en kwetsbaar zijn), gebruikt het systeem een decentralisatie-gebaseerde mnemonische authenticatie. Gebruikers krijgen een 12-woordenzin (seed) die lokaal wordt gegenereerd en nooit op een server wordt opgeslagen. Dit verhoogt de entropie (132 bits) en elimineert het risico op credential theft via centrale databases.
• Implementatie: De architectuur kan worden uitgevoerd via containerisatie (bijv. Docker/Kubernetes) op cloudplatforms zoals AWS, Google Cloud of Cloudflare, waarbij elke tenant een geïsoleerde runtime heeft.

B. Burn-After-Use (BAU) Mechanisme
BAU garandeert dat conversatiecontext en tijdelijke embeddings vergankelijk (ephemeral) zijn en automatisch worden vernietigd na gebruik.

• Principe: Gegevens worden "gebruikt maar niet bewaard". Zodra een sessie eindigt (door timeout of handmatige stop), worden alle afgeleide data, embeddings en logs onmiddellijk gewist.
• Client-zijde: Geüploade documenten worden lokaal geparsed naar tekst, verwerkt in vluchtig geheugen en vernietigd na de sessie.
• Server-zijde: De LLM werkt onder een "stateless" inferentiebeleid. Geen conversatiegeschiedenis, tokens of metadata wordt bewaard na de sessie.
• Publieke Systemen: Voor publieke LLM's (waar server-side wissing niet gegarandeerd is) wordt een tijdsgebonden sleutelafgeleide methode gebruikt. Documenten worden versleuteld met een sleutel die gebaseerd is op een tijdsvenster. Zodra het tijdsvenster verloopt, is de sleutel onberekenbaar en wordt de data cryptografisch onleesbaar, zelfs als deze nog in cache staat.

3. Belangrijkste Bijdragen

1. Integratie van SMTA en BAU: Een uniek raamwerk dat strikte isolatie op model- en opslagniveau combineert met een levenscyclusbeleid voor gegevens dat persistentie volledig elimineert.
2. Mnemonische Authenticatie: Een innovatieve aanpak voor enterprise-toegang die afziet van centrale credential-opslag ten gunste van lokaal gegenereerde seeds, wat het risico op cross-tenant identiteitslekken verkleint.
3. Cryptografische Data-vernietiging: Een methode om data onleesbaar te maken na verloop van tijd, zelfs in omgevingen waar fysieke verwijdering niet direct mogelijk is (zoals bij publieke API's).
4. Empirische Validatie: Een uitgebreide reeks reproduceerbare experimenten die de effectiviteit van de architectuur testen tegen realistische aanvalsscenario's.

4. Resultaten

De auteurs hebben twee sets experimenten uitgevoerd met in totaal 127 testiteraties, gebruikmakend van modellen zoals gpt-oss-120b, DeepSeek-V3.2-Exp en Mistral-7B-Instruct-v0.2.

• Cross-Tenant Leckage Aanvalstest (SMTA):

  • Doel: Testen of een tenant gevoelige data van een andere tenant kan afleiden via prompt-aanvallen.
  • Resultaat: De SMTA bereikte een defensiesuccespercentage van 92% over 55 infrastructuurniveau-aanvalstests (inclusief vector-database credential compromittering en logging pipeline blootstelling).
  • Conclusie: De architectuur biedt sterke semantische isolatie; geen enkele prompt-aanval slaagde erin om cross-tenant data te onthullen.

• Burn-After-Use Sessie Persistentie Test (BAU):

  • Doel: Testen of gevoelige data na een "burn"-event nog herstelbaar is.
  • Metrieken: Lokale en Remote Residuele Persistentie (LRPR/RRPR), Image Frame Exposure Rate (IFER), en Burn Timer Persistentie Rate (BTPR).
  • Resultaat: Over 72 testiteraties bereikte BAU een gemiddeld succespercentage van 76,75%.
  • Conclusie: Het mechanisme biedt sterke bescherming tegen lekken na de sessie op client-, server-, applicatie- en cache-niveau. De "Burn Failure Rate" (BFR) bedroeg ongeveer 23,25%, wat voornamelijk wijst op implementatiefouten (zoals incomplete cache-wissing) in plaats van model-memorizatie.

5. Betekenis en Toekomstperspectief

De studie bewijst dat een combinatie van strikte multi-tenant isolatie en vergankelijke sessie-semantiek een solide basis vormt voor veilige enterprise LLM-implementaties.

• Compliance: De architectuur biedt kwantificeerbare garanties voor vertrouwelijkheid, non-persistentie en beleidsconformiteit, wat essentieel is voor naleving van frameworks zoals het NIST AI Risk Management Framework.
• Beperkingen: De huidige aanpak is software-gedefinieerd en kan hoge hardwarekosten met zich meebrengen voor volledige isolatie. De BAU-mechanismen vereisen continue verificatie van cache-wisfuncties.
• Toekomstig Onderzoek: De auteurs suggereren verdere onderzoek naar cryptografische isolatielagen (zoals homomorfische encryptie), formele verificatie van cache-wisprocedures en de integratie van Retrieval-Augmented Generation (RAG) binnen het BAU-raamwerk om persistentie in vector-databases te beheersen.

Kortom, dit artikel biedt een robuust, bewezen raamwerk voor organisaties die LLM's willen adopteren zonder in te boeten op dataprivacy en compliance.