Platform

Zero-trust AI
i netværkslaget.

CareProxy sidder i netværket — ikke på hver enkelt enhed. Hver forespørgsel klassificeres, dirigeres fail-closed og logges kryptografisk. 100% på hospitalets egen infrastruktur. Ingen amerikansk cloud.

Se arkitekturen

Sådan virker zero-trust routing

Tre trin — Triage, Route, Verify. Hver forespørgsel klassificeres og dirigeres på under 10 millisekunder.

01
Trin

Triage

Klassificer i realtid

Hver forespørgsel scannes mod vores Dansk Klinisk Domæneordbog. CPR-numre, ICD-10 koder, medicinnavne og afdelingsspecifikke termer klassificeres efter risikoniveau. Under 10 ms.

Status: Inspektion
02
Trin

Route

Zero-trust beslutning

High-risk payloads låses til jeres On-Premise AI — aldrig public cloud. Low-risk payloads dirigeres til OpenAI/Anthropic. Fail-closed: ved tvivl om klassificering forbliver data lokalt. Sticky-local sessions.

Status: Routing
03
Trin

Verify

Kryptografisk dokumentation

Hash-kædet audit-log skriver per forespørgsel: session-ID, risikoscore, trigger-regel, destination og SHA-256 payload-hash. Uslettelig. Verificerbar. Klar til revisor og Datatilsyn.

Status: Bevisførelse
Trin 02b

AI-injection-firewall

Ti angrebsmønstre · per-persona · ALLOW / WARN / BLOCK

Patientnotater og kliniske dokumenter, der indsættes i en prompt, kan indeholde skjulte instruktioner — bevidst eller utilsigtet — der forsøger at manipulere AI-modellens adfærd. CareProxy scanner hver prompt for ti angrebsmønstre, før den nogensinde når en ekstern model.

Tre-trins beslutning ALLOW WARN BLOCK

De ti signal-typer

  • 01 Instruction Override

    Forsøg på at annullere eller erstatte systemprompten. F.eks. "ignore all previous instructions and …".

  • 02 Role-Tag Injection

    Indlejrede chat-format-tags der forfalsker en ny system- eller assistent-runde. F.eks. ChatML <|im_start|>, Llama [INST], Anthropic-stil turn-prefikser.

  • 03 Exfiltration Request

    Forsøg på at få modellen til at udlevere poster, liste alt, eller gengive systemprompten. F.eks. "list all patients", "repeat your initial instructions".

  • 04 Tool-Use Hijack

    Falsk tool-call-markup indsat i prompten for at narre modellen til at udføre funktioner. F.eks. opdigtet function-call-JSON eller fabrikerede tool-use-blokke.

  • 05 Unicode Tag Smuggling

    Usynlige Unicode-tag-tegn (Plane 14, U+E0000–U+E007F) og bidi-override-mærker der skjuler instruktioner i ellers helt almindelig tekst.

  • 06 Encoded Payload

    Base64-blokke (og lignende), hvis afkodede indhold læses som instruktioner.

  • 07 Delimiter Breakout

    Markdown-hegn eller triple-quotes — brugt til at bryde ud af en citeret blok og injicere en ny samtale-runde. F.eks. ``` efterfulgt af User:.

  • 08 Indirect Injection

    Instruktions-formet indhold inde i et citeret patientnotat, dokument eller kontekst-blok — det klassiske prompt-angreb via forsyningskæden.

  • 09 Multilingual Jailbreak

    Override-fraser på ikke-engelske sprog (dansk, tysk, spansk, fransk, kinesisk, …) brugt til at slippe forbi engelsksprogede filtre.

  • 10 Length / Repetition Anomaly

    Enkelte linjer over 4 KB, eller korte tokens gentaget for at presse systemprompten ud af kontekst-vinduet.

Scoring sker per persona — kliniske forskere er underlagt strengere grænseværdier end udviklere, der legitimt arbejder med kode. En dansksproget allowlist sikrer, at kliniske formuleringer ("ignorer den forrige blodprøve, der var en fejlmåling") ikke fejlagtigt blokeres.

Zero-Trust · On-Premise · Hash-Kædet

Fail-Closed Arkitektur

CareProxy driftes 100% On-Premise. Vores Triage-motor klassificerer og dirigerer hver forespørgsel uden at gemme nogen data. High-risk payloads låses fast til jeres egne AI-modeller. Hver routing-beslutning logges kryptografisk — juridisk bevisførelse for CISO, revisor og Datatilsyn.

On-Premise Sikkerhedsgrænse
Klassificeret
Hash-verificeret

On-Premise Deployment

Driftes i hospitalets egen ISO 27001-certificerede kælder. Docker/K8s. Ingen cloud-afhængighed. Fuld datasuverænitet fra første kald.

Sticky-Local Sessions

Når en session klassificeres som high-risk, låses den til lokale AI-modeller — også for efterfølgende kald fra samme session. Ingen lækage via kontekst.

Fail-Closed Default

Ved tvivl om klassificering, route-fejl eller model-timeout forbliver data lokalt. Zero-trust er standard — aldrig undtagelsen.

Hash-Kædet Audit-Log

SHA-256 hash-kæde per forespørgsel, Ed25519-signeret og lagret i Postgres. Både prompt og svar hashes. Ét-klik forensisk eksport. Valgfri RFC 3161 tids-anker.

Arkitektur & Sikkerhed

Tekniske specifikationer

Triage Latency < 0ms
Routing Zero-trust (fail-closed)
Audit Hash-kædet SHA-0
Data at-rest 0% (stateless)
Deployment On-Premise (Docker / K0s)
Integration OpenAI-kompatibel REST API
Compliance GDPR, EU AI Act, ISO 0
Roadmap TEE Attestation (NVIDIA H0)
Hash-Kædet Audit-Log

Tre lag af verifikation — fra database til ekstern myndighed

Loggen er ikke bare en JSON-fil i en bucket. Hver række er hash-lænket, Ed25519-signeret, lagret i Postgres og kan eksporteres som en selvstændig bevismateriale-pakke, som en ekstern efterforsker kan verificere uden at kontakte CareProxy.

01

Hvad logges?

  • Tidsstempel, session-ID, beslutning, trigger-regel, latens
  • SHA-256 hash af prompten (payload_hash)
  • SHA-256 hash af AI-modellens svar (response_hash) — beviser hvad der kom tilbage, ikke kun hvad der gik ind
  • AI-injection-firewall score og signaler (hvis nogen)
02

Hvordan beskyttes loggen?

  • Hver række hashes sammen med forrige rækkes hash → hash-kæde
  • Hver række signeres med Ed25519 (privat nøgle bor lokalt, aldrig i skyen)
  • Kæden lagres i Postgres — overlever genstart, kan revideres uafhængigt fra databasen alene
  • Valgfrit RFC 3161-tidsanker hver time hos ekstern TSA — beviser at loggen eksisterede før et bestemt tidspunkt, uafhængigt af jeres egen signeringsnøgle
03

Hvordan udleveres bevismateriale?

  • Ét klik i CISO-dashboardet producerer en selvstændig JSON-fil med hele kæden, signaturen, den offentlige nøgle, og verifikations-instruktioner
  • En ekstern efterforsker kan verificere med standard-bibliotek-krypto (openssl, Python, Go) — ingen kontakt til CareProxy nødvendig

RFC 3161 tids-anker er valgfrit (TSA_URL miljøvariabel). De fleste hospitalsnetværk blokerer udgående HTTPS — slå det til når jeres netværk tillader det.

Roadmap · Vision 2027

Fra routing til attestering — vejen mod Confidential Computing

CareProxy bygges i to faser. I dag: zero-trust routing mellem cloud og jeres egne On-Premise AI-modeller — bygget til hospitalets CAPEX-virkelighed, ikke cloud-leje pr. time. Fremtiden: når frontier-udbyderne (OpenAI, Anthropic) endelig eksponerer hardware-attestation, bliver CareProxy automatisk verificator for public cloud AI. Det øjeblik hvor hospitaler kan bruge verdens klogeste modeller med kryptografisk bevis på, at data forbliver i et hardware-låst pengeskab.

Patent-kladde i proces
TEE H100
  1. Shipped 2026 · Fase 1 · Zero-Trust Routing

    On-Premise klassificering og fail-closed routing: lav-risk til cloud AI, high-risk låst til jeres egne lokale LLM-modeller (fx Llama 3). AI-injection-firewall foran hver model. Hash-kædet, Ed25519-signeret audit-log lagret i Postgres — både prompt og svar hashes. Ét-klik forensisk eksport. RFC 3161 tids-anker (valgfrit). Deployet hos pilot-partnere.

  2. 2027 – 2029 · Fase 2 · Frontier Model Attestation

    Når OpenAI, Anthropic og andre frontier-udbydere eksponerer hardware-attestation (TEE) via deres API, bliver CareProxy automatisk verificator for public cloud AI. Hardware-dokumenteret adgang til verdens klogeste modeller — med juridisk bevisførelse på plads.

Klar til at prøve CareProxy?

CareProxy er i aktiv pilot. Book en demo og se, hvordan vi kan hjælpe jeres organisation med AI compliance.

Skriv til os

Eller skriv direkte til kontakt@careproxy.dk

Book en demo

Lad os vise dig CareProxy live. Fortæl os lidt om jeres organisation, og vi finder et tidspunkt.