Vaultic vorgestellt: Private KI für regulierte Teams

Jedes datensensible Team, mit dem wir arbeiten, stößt auf dieselbe Wand. Es will einen KI-Assistenten für die eigenen Verträge, Richtlinien, Vorfallberichte und Akten, und jedes glaubwürdige Produkt am Markt will diese Dokumente auf fremde Server schicken, um eine Frage zu beantworten. „Keine Sorge, das ist die EU-Region“ bringt Sie durch den Einkauf und stirbt in der Sicherheitsprüfung, denn eine EU-Region auf einer US-Cloud ist immer noch die Steuerebene eines US-Unternehmens. Also geben wir dem Ding einen Namen, das wir für diese Teams immer wieder von Hand gebaut haben: Vaultic, eine Private-KI-Plattform, die vollständig auf Ihrer eigenen Infrastruktur läuft.

Eins vorweg: Das ist ein Pilot-Start. Vaultic ist gebaut, es läuft Ende-zu-Ende, und wir öffnen eine kleine Zahl von Design-Partner-Deployments auf der eigenen Hardware echter Organisationen. Es ist keine fertige Enterprise-SaaS, und wir haben noch keine zahlenden Kunden. Das sagen wir Ihnen lieber vorab, als die Ankündigung mit Kennzahlen zu füllen, die wir nicht verdient haben.

Was Vaultic ist

Vaultic ist ein selbst-gehosteter KI-Assistent über Ihren eigenen Dokumenten. Sie richten ihn auf einen Ordner (PDF, TXT, MD, CSV) und erhalten einen privaten Chat-Assistenten, der ausschließlich aus diesen Dokumenten antwortet und jede Quelle belegt. Kein Raten aus Allgemeinwissen, kein stilles Kontaktieren einer API, die Sie nicht freigegeben haben. Steht die Antwort nicht in Ihrem Bestand, sagt er das, statt eine zu erfinden.

Die Installation ist ein Befehl, und es gibt keine Hardware-Appliance zu kaufen. Dieses Weglassen ist Absicht. Das übliche On-Premise-KI-Modell ist eine sechsstellige GPU-Box, für die Sie unterschreiben, bevor Sie auch nur einen einzigen Anwendungsfall bewiesen haben, und die Sie ab Tag eins bindet. Vaultic ist reine Software:

1. Legen Sie es auf Ihren eigenen Server oder Ihre VPC.
2. Führen Sie docker compose up aus.
3. Richten Sie es auf einen Dokumentenordner und stellen Sie Fragen.

Unter der Haube laufen offene Modelle lokal über Ollama (Qwen2.5 als Standard), ein lokales Embedding-Modell (nomic-embed-text), ein Qdrant-Vektorspeicher und Postgres. Keine externen API-Aufrufe, null Datenabfluss per Default. Wenn Sie unsere Argumentation zu selbst-gehosteter KI gegen Cloud-APIs gelesen haben: Vaultic ist, wie dieses Argument aussieht, sobald es verpackt ist. Das Versprechen in einer Zeile: ein vollständiger KI-Assistent über Ihren eigenen Dokumenten und Systemen, der vollständig auf Ihrer Infrastruktur läuft; Ihre Daten verlassen nie das Gebäude; jede Antwort ist belegt und protokolliert; abgesichert von einem Netzwerk-Sicherheitsingenieur, nicht nachträglich drangeschraubt.

Ihre Daten verlassen nie das Gebäude

„Läuft lokal“ ist eine Behauptung. Die meisten Produkte, die sie aufstellen, können sie nicht belegen, und in der Sicherheitsprüfung fällt die Beweislast auf Sie zurück. Vaultic wurde von einem Netzwerk-Sicherheitsingenieur gebaut, also ist die Netzwerkgrenze Teil des Produkts und keine Zeile im Deployment-Handbuch.

Vaultic liest die Endpunkte, die Sie tatsächlich konfiguriert haben, und leitet daraus ein Egress-Manifestab: jedes Ziel, mit dem das System im Prinzip sprechen könnte. Daraus berechnet es ein Air-Gap-Urteil, eine klare Antwort auf „kann hier drin irgendetwas das Internet erreichen?“ Und es bleibt nicht beim Berichten. Es exportiert anwendungsfertige Default-Deny-Egress-Firewallregeln für iptables, nftables und die Windows-Firewall. Der Windows-Pfad landet auf einer DOCKER-USER-Kette, die ausgehenden Verkehr protokolliert und verwirft, also genau dort, wo naive Docker-auf-Windows-Setups lecken. Es gibt zudem eine Ein-Befehl-Prüfung, die Sie aus dem Container heraus ausführen, um zu beweisen, dass nichts entweicht.

Das ist die Disziplin, über die wir in selbst-gehostete KI absichern geschrieben haben, und das Datenkontroll-Argument aus EU-Datensouveränität für KI, verwandelt in etwas, das Sie ausführen und nachprüfen können, statt es zu versprechen.

Jede Antwort ist belegt und protokolliert

Zwei Dinge trennen einen privaten KI-Assistenten, den Sie in einer Prüfung verteidigen können, von einem, den Sie nicht verteidigen können: Er muss seine Arbeit offenlegen, und er muss ein Protokoll führen, das Sie nicht heimlich umschreiben können.

Jede Antwort von Vaultic gründet auf abgerufenen Textbausteinen und trägt Belege zurück zum exakten Quelldokument, was die Grundlage für jede ehrliche RAG-Pipeline in Produktion ist. Den Teil, den die meisten Produkte auslassen, ist das Protokoll. Jede Frage und jede Antwort wird in ein unveränderliches, manipulationssicheres Audit-Loggeschrieben: ein SHA-256-Hash-verkettetes Protokoll, in dem jeder Eintrag den vorherigen versiegelt. Ändern Sie einen früheren Eintrag, bricht die Kette, sichtbar. Ein Live-Integritätsabzeichen verifiziert die gesamte Kette, sodass Sie auf einen Blick sehen, ob die Historie berührt wurde.

Das ist kein Protokollieren um seiner selbst willen. Wenn jemand fragt „was hat das System diesem Nutzer im März gesagt, und auf welcher Grundlage?“, haben Sie eine belegte, versiegelte Antwort statt einer Vermutung.

Gebaut, wie ein Sicherheitsingenieur es bauen würde

Retrieval-Augmented Generation hat zwei Fehlermodi, die die meisten Teams erst in Produktion entdecken: persönliche Daten, die an Orte gelangen, an die sie nicht gehören, und vergiftete Dokumente, die das Modell steuern. Vaultic adressiert beide beim Einlesen, bevor irgendetwas den Index erreicht.

• PII-Erkennung und -Schwärzung, rein und raus. Persönliche Daten werden beim Einlesen abgefangen, bevor sie indexiert werden, und erneut auf dem Weg nach draußen, bevor sie gezeigt werden. Ein Name oder eine ID, die in ein Dokument rutscht, sollte nicht dauerhaft durchsuchbar werden.
• Quarantäne für Injection und RAG-Vergiftung. Ein Prompt-Injection-Filter läuft beim Einlesen. Dokumente mit eingeschleusten Anweisungen, die „ignoriere deine vorherigen Anweisungen“-Nutzlasten, vergraben in einem PDF, werden unter Quarantäne gestellt und nie indexiert. Es ist die Abwehr, die wir in RAG-Pipelines gegen Prompt-Injection absichern beschrieben haben, mitgeliefert in der Box.

Ein Detektor ist nur so gut wie die Fälle, gegen die er getestet wird, also liefert Vaultic einen Red-Team-Selbsttest: 13 gegnerische Fälle, abgefeuert auf die Injection- und PII-Detektoren. Er meldet sein ehrliches Ergebnis (heute etwa 11 von 13) und nennt die Fälle, die er noch nichtfängt, etwa Base64-verschleierte Injection, statt eine eitle 100% zu behaupten.

Nachweise, keine Zertifikate

Vaultic kann ein Nachweis-Paket exportieren, das seine Kontrollen auf die Rahmenwerke abbildet, nach denen Ihre Prüfer tatsächlich fragen: ISO 27001, EU AI Act Artikel 12 (Aufzeichnung und Protokollierung), DORA, NIS2, die OWASP LLM Top 10 (LLM01 Prompt-Injection und LLM08) und die DSGVO.

Die Wortwahl zählt hier. Das unterstütztIhre Prüfakte: es gibt Ihnen eine dokumentierte, nachvollziehbare Linie von einer Kontrolle, die das System umsetzt, zum Artikel, den sie anspricht. Es zertifiziertkeine Compliance. Keine Software tut das. Wer Ihnen ein „Compliance-Zertifikat“ aus einem Docker-Container verkauft, überzeichnet, was Software leisten kann. Was Sie hier bekommen, ist der Nachweis, der eine echte Prüfung verkürzt, also die ehrliche Version desselben Werts, und die Sichtweise, die wir in EU AI Act Compliance für Entwickler eingenommen haben.

Für wen es ist, und was es nicht ist

Vaultic ist für europäische, datensensible kleine und mittlere Teams in regulierter Arbeit, das Band, das die großen Souverän-Cloud-Anbieter ignorieren, während sie Regierungen und Großbanken hinterherlaufen. Wenn Ihre Dokumente Ihre Infrastruktur nicht verlassen dürfen und Sie kein Plattform-Team haben, das privates RAG aus Einzelteilen baut, sind Sie derjenige, für den wir das gebaut haben.

Genauso wichtig ist, was Vaultic nicht ist:

• Keine Hardware-Box. Es gibt nichts zu kaufen und ins Rack zu schrauben.
• Kein US-Cloud-Wrapper mit einem EU-Aufkleber drauf.
• Kein Compliance-Zertifikat. Es liefert Nachweise, keine Bescheinigungen.
• Keine fertige Enterprise-SaaS. Es ist ein frühes, ehrliches v0.

Wo es heute steht

Vaultic ist ein früher Build. Es läuft Ende-zu-Ende auf einer einzelnen Workstation-GPU. Es gibt noch keine zahlenden Kunden, und wir werden keinen sozialen Beweis fabrizieren, der etwas anderes suggeriert. Zwei Dinge auf der nahen Roadmap sind ehrlich gesagt nicht im v0-Build:

• Streaming-Antworten.Heute warten Sie auf die vollständige Antwort; Token-für-Token-Streaming steht auf der Roadmap.
• Ein lokaler Cross-Encoder-Re-Ranker. Der Abruf funktioniert, aber der Re-Ranking-Durchlauf, der die Präzision schärft, ist geplant, nicht ausgeliefert.

Regulierte Verkaufszyklen sind lang, und wir beginnen lieber eng und echt als breit und vage. Deshalb öffnen wir eine kleine Zahl von Pilot- / Design-Partner-Deployments auf der eigenen Hardware echter Organisationen. Die Deployment-Geschichte ist dieselbe, die wir in Docker-KI-Deployment für die Produktion dokumentiert haben: eine Compose-Datei, Ihre Infrastruktur, Ihre Regeln.

Wenn Sie ein datensensibles Team führen, dem bei jeder Cloud-KI-Option „nein“ gesagt wurde, und Sie mit einem frühen Build arbeiten würden, um privates RAG zu bekommen, das tatsächlich privat bleibt, würden wir gern hören, was Sie vorhaben. Kein Preis zu nennen, kein Formular auszufüllen: ein Gespräch darüber, ob der Fit echt ist.

Die Kurzfassung

Vaultic ist der private KI-Assistent, den wir immer wieder von Hand gebaut haben, jetzt in einem Befehl: offene Modelle auf Ihrer eigenen Box, Antworten, die ihre Quellen belegen, ein manipulationssicheres Audit-Log, PII-Schwärzung und Injection-Quarantäne an der Tür, und eine Netzwerkgrenze, die Sie tatsächlich beweisen können. Es ist früh, es ist ehrlich zu seinen Lücken, und es lässt Ihre Daten nie das Gebäude verlassen.

Weiterführend

Weiter geht es hier: EU-Datensouveränität für KI, selbst-gehostete KI absichern und RAG-Pipelines gegen Prompt-Injection absichern.