Как правило, выявление того факта, что некоторое приложение делает что-то не то (вредоносная активность, сбор данных), происходит либо в результате анализа экспертами по безопасности, либо при срабатывании антивируса. Это происходит потому, что операционная система зачастую недостаточно разграничивает привилегии.
Например, если пользователь открывает файл при помощи программы, ей для этого даются привилегии, достаточные для просмотра остальных файлов, находящихся в некоторой области файловой системы и/или маркированных соответствующими правами доступа. Открытие одного ресурса из сети Интернет подразумевает возможность отправки любого количества произвольных запросов. Перехват клавиатурного ввода разрешается по принципу «Всё или ничего», даже если требуется переназначить всего лишь одну клавишу.
По нашему мнению, без ответа на вопрос «Что должна делать данная программа?» в принципе невозможно правильно ответить на вопрос о том, какие привилегии ей для этого требуются. В «Сивелькирии» любой модуль имеет чётко описанное назначение, из которого прямо следует, к чему он имеет доступ. Системные вызовы и обращения к другим модулям за рамками необходимого запрещены.