simplineers
Skiss · Granskningsunderlag · v1.1

Storskalig LLM-arkitektur
bortom modellvikterna

Komponenter som lagrar och behandlar data i en storskalig generativ AI-tjänst, sedda ur ett IT-säkerhets- och granskningsperspektiv. Aktivera en komponent för att se granskningspunkter.

Plan: Träning · Inferens · Tvärgående Komponenter: 30 Triangel = lagrar eller behandlar personuppgifter
Träningsplan (offline)
Inferensplan (online)
Tvärgående
Lagrar eller behandlar personuppgifter
— Övergripande dataflöde —

Träningsplan: Råa korpusar → städning & filtrering → versionerade datasets → tränings­kluster → checkpoints → modellregister (signerade artefakter).

Inferensplan: Edge → API-gateway → IdP → pre-filter (klassificerare) → tokenizer → modell + KV-cache + hjälpmodeller → ev. RAG/verktyg → post-filter → svar tillbaka.

Tvärgående: Identitet, observability, hemlighetshantering, region-routing, DSR-pipeline och eval/red-team verkar över båda planen.

A · Träning

Offline pipeline för datainsamling och modell­framställning

Batch · Långa retentions­tider
A.01 Datainsamling Webbcrawling, licensierade korpusar, böcker, kod, syntetisk data. PDKällaLineage
Granskningspunkter
  • Rättslig grund för personuppgiftsbehandling enligt Art. 6 GDPR
  • Efterlevnad av källvillkor: robots.txt, ToS, licenser och upphovsrätt
  • Spårbarhet/lineage per dataset, källversionering
  • PII- och CSAM-detektion i råform innan ingest
  • Avtal med dataleverantörer, IP/upphovsrätt
A.02 Bearbetnings­pipeline Deduplicering, kvalitetsfilter, PII-skrubbare, toxicitets­filter, tokenisering. PDPipelineFilter-bypass
Granskningspunkter
  • Effektivitet och false-negative-rate på PII-filter
  • Manipulering/förgiftning i pipeline-steg (data poisoning)
  • Reproducerbarhet — samma input → samma utdata
  • Privilegierad åtkomst till bearbetningsjobb
A.03 Data lake / warehouse Petabytestor lagring av råa och kuraterade dataset, ofta versionerade. PDLagringRetention
Granskningspunkter
  • Kryptering at-rest, nyckelförvaltning (KMS/HSM)
  • Åtkomstkontroll, segregering forskning vs produktion
  • Retention för rådata, raderingsbevis
  • Geografi/dataresidens för känsliga korpusar
A.04 RLHF-/preferensdata Mänskligt märkta jämförelser och annoteringar för alignment. PDAnställd/leverantör
Granskningspunkter
  • Annotörers arbetsmiljö och avtalsrättsliga frågor
  • Personuppgifter om annotörerna själva (logg, metadata)
  • Bias och representativitet i annoteringspopulation
  • Kvalitetskontroll, kalibrering, IAA-mått
A.05 Tränings­kluster GPU/TPU-kluster, distribuerad orkestrering, jobb-schedulers. ComputeSupply chain
Granskningspunkter
  • Hårdvaruleverantörsförtroende (firmware, driver)
  • Multi-tenant separation, sidokanaler
  • Privilegierad åtkomst, MFA på admin­portaler
  • Härdning av nodavbildningar
A.06 Checkpoint-lagring Mellanliggande viktversioner under träning, ofta TB stora per checkpoint. ArtefaktExfiltration
Granskningspunkter
  • Integritet och signering av checkpoints
  • Risk för viktexfiltrering (kritisk IP)
  • Loggning av läs-/skrivoperationer
  • Backup-strategi och immutability
A.07 Experimentspårning Hyperparametrar, mätvärden, körnings­historik (typ Weights & Biases). PD anställdMetadata
Granskningspunkter
  • Läckage av interna metoder/IP via metadata
  • Forskar­identiteter och beteendelogg
  • Integration med molntjänst (tredje part?)
A.08 Modellregister Slutgiltiga vikter, tokenizers, adapters/LoRA, modellkort. ArtefaktKronjuvel
Granskningspunkter
  • Signering, attestering (provenance, SLSA-liknande)
  • Promotion-flow training → staging → prod
  • Modellkort + eval-rapporter knutna till version
  • Återkallning vid säkerhetsincident
B · Inferens

Online tjänsteyta som hanterar användarprompter i realtid

Realtid · Användardata · Multi-tenant
B.01 Edge / Nätverk CDN, WAF, DDoS-skydd, TLS-terminering, geo-routing. PD transientAppSecResidens
Granskningspunkter
  • TLS-konfiguration, cert-livscykel
  • WAF/regler för kända mönster; prompt-injection-kontroller även i app-, RAG- och modellflöde
  • Region-routing tvingande för EU-trafik
  • Logg av rate-limit-händelser till SIEM
B.02 API-gateway Routing, auth, kvoter, request/response-loggning. PDGranskningslogg
Granskningspunkter
  • Vad loggas? (full prompt eller bara metadata?)
  • Loggretention och åtkomst för incident vs produktanalys
  • API-nyckelrotation, scope-design
  • Tenant-isolering på request-nivå
  • Resurs-/kostnadsattacker: tokenbudget, rate limits, parallella requests, långa kontexter (OWASP LLM10:2025 Unbounded Consumption)
B.03 Tokenizer Deterministisk omvandling text ↔ tokens innan modellanrop. PD transientFörbehandling
Granskningspunkter
  • Versions­paritet med tränad modell
  • Glitch-tokens / oväntade token-mappningar
  • Tokenizer-bypass via Unicode-tricks
B.04 Input-klassificerare Hjälpmodeller för jailbreak-, abuse-, CSAM- och PII-detektion innan huvudmodellen. PDSafetyBypass-risk
Granskningspunkter
  • False-negative-rate, evasionstest
  • Egen modellkedja → samma riskprofil som A.08
  • Loggning av blockerade prompter (känsligt!)
  • Versions­synkning med policymotor
B.05 Inferens-runtime Själva modellservern: laddar vikter, kör forward-pass, hanterar batchning. PD i RAMSidekanaler
Granskningspunkter
  • Minneshygien mellan requests (tenant-läckage)
  • Sidokanaler via timing/cache
  • Härdning av runtime-noden
  • Hot reload av vikter — signaturkontroll
  • Separation mellan systeminstruktioner, verktygsbeskrivningar och användar-/RAG-innehåll (OWASP LLM07:2025 System Prompt Leakage)
B.06 KV-cache Mellanlagrad attention-state under en session — känslig representationsdata härledd från prompt och kontext. PD i RAMCross-tenant
Granskningspunkter
  • Cache-isolering per session/tenant
  • Prefix-sharing optimering — läckagerisk?
  • Persistens (RAM-only? swap till disk?)
  • Rensning vid session-slut, retention
B.07 Hjälpmodeller Embedding, reranker, reward, klassificerare — egna modellkedjor med egen livscykel. PDModellkedja
Granskningspunkter
  • Inventering av alla modeller i flödet, inte bara huvud-LLM
  • Versionsmatris hjälpmodeller × huvudmodell
  • Bias och fairness i klassificerare
B.08 Output-filter Streaming-klassificerare som granskar genererad text och kan avbryta/redigera. PD outputSafetyPII-redaktion
Granskningspunkter
  • Latens-vs-noggrannhet trade-off
  • Risk för att modellen läcker träningsdata (memorization)
  • Citationsmekanik och attributionsspår
B.09 Konversations-DB Persistent lagring av användarens chattar, ofta med projekt­struktur. PDDSRRetention
Granskningspunkter
  • Kryptering at-rest, nyckel per tenant
  • DSR-flöde: åtkomst/export, rättelse, radering, dataportabilitet (Art. 15–20)
  • Retention­policy och raderingsbevis
  • Backup vs raderingskonflikt
B.10 Minne / personalisering Strukturerad sammanfattning av användarprofil som injiceras i kommande prompter. PDProfilering
Granskningspunkter
  • Transparens — användaren ser och kan redigera
  • Särskilda kategorier av personuppgifter (Art. 9) bör ej memoreras
  • Opt-in/opt-out, default-läge
  • Profilering och ev. Art. 22-risk om minnet används i helt automatiserade beslut med rättslig eller liknande betydande effekt
B.11 Användaruppladdade filer Bilder, PDF:er, kod, dokument som användare bifogar till sessionen. PDTredjepartsdata
Granskningspunkter
  • Malware-skanning före processering
  • Tredjepartsdata: lagligt stöd när användaren laddar upp om andra
  • Retention separat från konversationen
  • Användning för träning — tydligt opt-in?
B.12 Vector store / RAG Embeddings av användarens dokument för semantisk sökning. PD i embeddingInversion
Granskningspunkter
  • Embeddings kan utgöra personuppgifter när de härrör från personuppgifter eller kan kopplas tillbaka till en identifierad eller identifierbar person — särskilt om de kan sökas, jämföras, länkas till konto/tenant eller delvis inverteras
  • Tenant-segmentering på vektor-nivå
  • Behörighetsmedveten retrieval: dokumentets ACL måste följa med hela vägen till embedding, index och sökresultat
  • Indirekt prompt injection från hämtade dokument — RAG-källor behandlas som otillförlitligt innehåll
  • Radering: även embeddings, inte bara källfilen
B.13 Verktyg & sandlådor Code interpreter, webbläsning, filsystem per session, MCP-konnektorer. PDSandbox-escapeSSRFOAuth
Granskningspunkter
  • Sandbox-isolering (containers, gVisor, Firecracker)
  • Egress-kontroll, SSRF-skydd vid web-fetch
  • OAuth-scope minimering för tredjepartskonnektorer (least privilege)
  • Exfiltration via verktygsanrop initierade av modellen
  • Human approval för högriskåtgärder; verktygsanrop hanteras i kod, inte enbart av modellen
B.14 Återkopplings-/feedback­data Tummen upp/ner, flagga, redigeringar — kan flöda tillbaka till A.04. PDLoop till träning
Granskningspunkter
  • Tydligt rättsligt stöd för återanvändning till träning
  • Minimering och pseudonymisering före A-planet; anonymisering endast om irreversibel och verifierad
  • Spårbarhet från feedback till framtida modellversion
C · Tvärgående

Funktioner som verkar över både tränings- och inferensplan

Identitet · Observability · Governance
C.01 Identity Provider (IdP) SSO/OAuth, MFA, kontoregister, API-nycklar. PDIAM
Granskningspunkter
  • MFA-täckning, lösenfri inloggning
  • Nyckelrotation och scope-modell
  • Federation mot kund-IdP (Enterprise SSO)
  • Account-takeover-detektion
C.02 Hemligheter / KMS Centraliserad nyckel- och hemlighetshantering, HSM-backad. KryptoBYOK
Granskningspunkter
  • Nyckel-livscykel, separation of duties
  • BYOK/HYOK-stöd för enterprise
  • Krypto-agility inför PQC-övergång
C.03 Observability Loggar, metrics, distributed tracing, audit trail. Volym och retention bör riskklassas separat. PD i loggarSIEM
Granskningspunkter
  • PII-skrubb i loggrader, sampling vs fullständighet
  • Logg-immutability och tamper-evident store
  • Åtkomst för incident vs produktanalys
  • Retention på loggar är ofta längst kvarvarande PD
C.04 DSR-pipeline Tekniskt flöde för export, radering, rättelse, dataportabilitet. PDArt. 15–22
Granskningspunkter
  • Täckning över alla lager: B.09, B.10, B.12, C.03
  • Backup-undantag och dokumenterad motivation
  • SLA mot lagkrav (1 mån + 2 mån förlängning)
  • Bevis på utförd radering
C.05 Region-routing Mekanism som tvingar trafik och lagring till valt geografiskt område. ResidensSchrems II
Granskningspunkter
  • Vilka komponenter omfattas? (KV-cache, loggar, embeddings?)
  • Failover­scenario — får trafik lämna regionen?
  • Tredjelands­överföring för support­ärenden?
C.06 Policy & governance Styrdokument, modellkort, eval-rapporter, samtyckes­hantering. PD samtyckeGRC
Granskningspunkter
  • Modellkort + DPIA/riskbedömning vid ny eller ändrad högriskbehandling
  • AI Act-klassificering: AI-system, AI-modell för allmänna ändamål (GPAI), ev. GPAI med systemrisk
  • Spec/Constitution dokumenterad, ägd och versionsspårbar; publicerad externt där lämpligt
C.07 Eval & red-team Testdataset, automatiska benchmarks, mänsklig red-teaming, jailbreak-bibliotek. Continuous testing
Granskningspunkter
  • Eval-resultat kopplade till release-beslut
  • Test­datasets — risk att de läcker till träning
  • Red-team-prompter klassade som hemliga
C.08 Incident- & abuse-response Detektion, eskalering, modellrollback, kund­notifiering. PD incidentIRArt. 33
Granskningspunkter
  • 72-timmarsflöde mot tillsynsmyndighet
  • Modellrollback som ett stöddokumenterat scenario
  • Kommunikation till kund­DPO / personuppgifts­biträden
D · Hotbild

Angreppsvägar som löper genom hela kedjan

Förgiftning · Försörjningskedja · Proveniens
D.01 Dataförgiftning Manipulerad tränings-, finjusterings- eller RAG-/feedbackdata som planterar bias, bakdörrar eller felaktigt beteende. RiktighetOWASP LLM04:2025
Granskningspunkter
  • Härkomst och kvalitetskontroll av tränings- och finjusteringsdata; signering eller hashning av dataset (jfr A.04)
  • RAG-källor och användarfeedback som förgiftningsväg — feedbackloopar tillbaka till träning (B.14 → A.04) ska granskas, inte bara den direkta prompten
  • Avgränsning och validering av databidrag; spårbarhet för vem som bidragit med vad
  • Eval- och red-team-svit som fångar bakdörrar och triggers före release (jfr C.07)
D.02 Modellförgiftning & bakdörrar Komprometterade modellvikter — förtränade modeller, finjusteringar eller adaptrar (t.ex. LoRA) med inbyggda bakdörrar eller dolt beteende. RiktighetOWASP LLM04:2025
Granskningspunkter
  • Proveniens för förtränade vikter och adaptrar — betrodd källa, signerade checkpoints, verifierade hashar
  • Deserialisering av modellfiler som körkodsrisk (osäkra format som pickle) — föredra säkra format (t.ex. safetensors)
  • Behörighet och granskning vid byte av modellversion i drift; modellrollback som dokumenterat scenario (jfr C.08)
  • Modellkort och eval före produktionssättning av ny eller utbytt modell (jfr C.06/C.07)
D.03 Försörjningskedja (programvara, modeller, data) Tredjepartsbibliotek, basmodeller, dataset, modellhubbar och hjälpmodeller — varje länk är en angreppsyta. RiktighetOWASP LLM03:2025
Granskningspunkter
  • SBOM för programvaruberoenden och en motsvarande förteckning över modeller, dataset och adaptrar (MBOM/”AI-BOM”)
  • Sårbarhetshantering och versionslåsning för bibliotek; granskning av paket från publika register
  • Licens- och proveniensvillkor för basmodeller, dataset och hjälpmodeller — och vad de innebär för dataskydd och vidareanvändning
  • Leverantörs- och biträdesbedömning för externa modell- eller inferens-API:er (jfr metodens leverantörssteg och DORA-relaterad ICT-risk där tillämpligt)
Granskningsanmärkning

Skissen täcker komponenter som lagrar eller behandlar data — inte själva modell­vikterna i drift. Notera att personuppgifter förekommer på ovanligt många ställen i en LLM-tjänst: inte bara i konversations-DB:n (B.09), utan även i KV-cachen (B.06, RAM), embeddings (B.12, kan delvis inverteras), loggar och spårningsdata (C.03), feedbackloopar tillbaka till träning (B.14 → A.04), och hjälpmodellernas träningsdata. Granskning som bara tittar på kärnmodellen missar därför merparten av angreppsytan.

Terminologi: PD = personuppgifter; PII används här som teknisk detektionskategori för identifierande personuppgifter (t.ex. namn, personnummer, e-post) i pipelines och filter. I löpande text används personuppgifter som huvudbegrepp i linje med GDPR.

Begreppsnyckel

Korta förklaringar av tekniska termer som används på den här sidan och i audit-kravkartan. Termerna är riktade till granskare som behöver förstå arkitekturen utan att vara LLM-specialister.

Tenant
Logisk kund- eller organisations­avgränsning i en multi-tenant-tjänst. Tenant-isolering innebär att data, prompter, embeddings, cache och loggar från en kund inte kan nås av en annan — ofta en kritisk kontroll vid molnbaserade LLM-tjänster.
RAG
Retrieval-Augmented Generation. Arkitekturmönster där modellen vid varje fråga hämtar relevanta dokument eller dataposter från en kunskapsbas (typiskt en vektor-store) och fogar dem till prompten. Risk: hämtade dokument kan innehålla personuppgifter och kan användas för indirekt prompt injection.
Embeddings
Numerisk vektorrepresentation av text eller andra data, framtagen av en modell. Används för semantisk sökning, klustring och RAG. Kan utgöra personuppgifter när de härrör från personuppgifter eller kan kopplas tillbaka till en identifierbar person — särskilt om de kan sökas, jämföras, länkas till konto eller delvis inverteras.
KV-cache
Key-Value-cache. Mellanlagring av modellens interna tillstånd (attention-nycklar och -värden) under generering, för att inte räkna om samma kontext flera gånger. Innehåller derivat av prompten — alltså potentiellt personuppgifter — i RAM, oftast kortlivat men ibland delat över requests.
Prompt-cache
Cache av tidigare prompter eller delprompter för att snabba upp svar och sänka kostnad. Risk vid återanvändning mellan användare, tenants eller sessioner — kan läcka kontext eller personuppgifter om isolering brister.
Guardrail
Policyimplementerande kontroll runt modellen — typiskt en kombination av klassificerare, regler och hjälpmodeller som filtrerar input och output för att förhindra exfiltrering, skadligt innehåll eller policyöverträdelser. Granskas mot designspecifikation och effektivitet (FP/FN).
Prompt injection
Angrepp där instruktioner smyger sig in i modellens kontext — antingen direkt (i användarens prompt) eller indirekt (i hämtade dokument, webbsidor eller verktygssvar). Kan användas för att kringgå guardrails, exfiltrera data eller utlösa oavsiktliga verktygsanrop. OWASP LLM01:2025.
DSR
Data Subject Request — den registrerades begäran enligt GDPR kapitel III (åtkomst, rättelse, radering, dataportabilitet, invändning m.m.). I LLM-sammanhang kräver DSR-flödet täckning även av embeddings, cache, loggar, träningsdata och feedback­loopar — inte bara den synliga konversations­databasen.
Tool / tool router
Funktionsanrop som modellen kan utföra (web­sökning, kodkörning, filsystem, MCP-konnektorer). Tool router väljer och kör verktyget. Granskningspunkter: behörighet, sandbox-isolering, SSRF-skydd, OAuth-scope och loggning av vilka verktyg som körts mot vilken data.
RLHF / DPO
Reinforcement Learning from Human Feedback respektive Direct Preference Optimization — träningstekniker som finjusterar modellbeteende utifrån mänskliga preferenser. Annotatordata och feedback-signaler kan innehålla personuppgifter och kräver egen ROPA- och retentions­hantering. DPO här är inte detsamma som DPO = dataskyddsombud i löpande text.
Lineage
Spårbarhet bakåt från ett dataobjekt eller en modell till dess ursprung — vilka källor, vilken förbehandling, vilka transformationer. Krävs för att kunna svara på radering, rättelse och frågor om laglig grund i hela kedjan.
Observability
Samlad insyn i tjänstens drift via loggar, mätetal och spårning. För LLM-tjänster en egen integritetsutmaning eftersom prompter och svar ofta hamnar i observability-stacken med längre retention och bredare åtkomst än applikationen själv.
Checkpoint
Sparad version av modellvikterna under eller efter träning. Granskningspunkter: signering, integritet, rollback­förmåga vid incident, åtkomstkontroll.
Dataförgiftning & modellförgiftning
Angrepp där tränings-, finjusterings- eller RAG-data manipuleras (dataförgiftning), eller där själva modellvikterna komprometteras via bakdörrar i förtränade modeller, finjusteringar eller adaptrar (modellförgiftning). Kan plantera dolt beteende eller bias som kringgår kontroller. OWASP LLM04:2025 — Data and Model Poisoning.
Försörjningskedja (AI)
Kedjan av tredjepartskomponenter en LLM-tjänst vilar på: programvarubibliotek, basmodeller, dataset, adaptrar, modellhubbar och hjälpmodeller. Varje länk kan bära sårbarheter eller komprometterat innehåll. Hanteras med proveniens, signering, sårbarhetshantering och förteckningar (SBOM samt en AI-/modell-BOM). OWASP LLM03:2025 — Supply Chain.
OWASP LLM Top 10
Branschvedertagen lista över de tio vanligaste säkerhets­riskerna i LLM-applikationer (version 2025). Refereras på flera ställen i kartan — bl.a. LLM01 prompt injection, LLM02 sensitive information disclosure och LLM10 unbounded consumption.