Für Plattform-Teams

Das Learning Network.

Jeder Kunde profitiert von jeder Detection. Mnemom AEGIS — das Adaptive Enforcement, Governance & Intelligence Substrate — speist drei unabhängige Signalschleifen in eine einzige Candidate-Review-Queue, signiert dann die promoteten Recipes und propagiert sie an jedes Gateway im Netzwerk. Gleiches Vokabular wie die Cards: vier Checkpoints × vier Enforcement-Modes, Platform → Org → Team → Agent, strictest-wins.

Die vier Checkpoints ansehenIoC-Feed inspizieren

Drei Signalschleifen speisen ein Substrat.

Drei unabhängige Signalschleifen. Eine Prüf-Queue. Detection-Inhalte und Enforcement-Kontrollen laufen über dieselbe signierte Maschinerie — sodass eine an einer Stelle gelernte Lektion überall ankommt.

Signal 1 — Adversariale Arena

15 kanonische Personas. Mutation-phase gated. In Produktion live.
  • Fünfzehn adversariale Personas decken jeden kanonischen Bedrohungstyp über die vier Safe-House-Checkpoints ab, einschließlich eines Supply-Chain-Maulwurfs bei inside.integrity.
  • Mutation-phase gating lässt Angriffe nur weiterentwickeln, solange die Erkennung pro Bucket über dem Schwellwert bleibt, mit anhaltender Hysterese gegen Flattern — unabhängig pro substrate fingerprint ausgewertet.
  • Arena-Traffic läuft über einen eigenen, isolierten Schreibpfad, getrennt vom Produktionssignal — so können synthetische Angriffe niemals Kundendaten verunreinigen. Die Isolation wird serverseitig erzwungen, nicht per Konvention.

Signal 2 — Kundenmeldungen

Falsch-Positive und Falsch-Negative, gemeldet von den Kunden, die die Agenten betreiben.
  • Kunden melden Misses (Falsch-Negative) und Über-Blockaden (Falsch-Positive) direkt aus dem Dashboard oder über die Report-API.
  • Jeder Bericht fließt in dieselbe Prüf-Queue wie die Arena — eine gemeinsame Queue, eine signierte Pipeline, unabhängig davon, woher das Signal kam.
  • Calm-at-GA: Dieses Signal existiert, weil Falsch-Positive unvermeidlich sind. Mutation-phase gating und der Auto-Rollback bei Falsch-Positiven bauen beide auf der Annahme auf, dass wir uns irren werden — und dass Sie es uns sagen werden.

Signal 3 — Mandantenübergreifender Aggregator

Der L1-Worker. Die Sicht des Netzwerks. Die wirklich neue Arbeit.
  • Das Netzwerk führt rollende Statistiken für jede substrate fingerprint — die Kombination aus Provider, Modell und SDK, auf der ein Agent läuft. Jede Evaluation im Netzwerk wird mit dieser Fingerprint gestempelt.
  • Wenn scheinbar unabhängige Sicherheitsereignisse bei verschiedenen Kunden eine substrate fingerprint teilen, verknüpft der Aggregator sie zu einer einzigen Kampagnen-Signatur — die mandantenübergreifende Sicht, die kein einzelner Kunde allein sehen kann. In Produktion live.
  • Das ist es, was sonst niemand am Markt hat. Hyperscaler-Guardrails, In-Process-Detektoren und Per-Tenant-Proxys sehen jeweils einen Kunden. Der Aggregator sieht über sie alle hinweg.

Drei Schleifen. Ein Substrat. Durchgehend signiert.

Drei Schleifen, ein Substrat — die AEGIS-Pipeline von Anfang bis Ende.

Arena
15 Personas + mutation-phase-Gate
Kundensignal
Kundenmeldungen + Telemetrie
Mandantenübergreifender Aggregator
Rollende Statistiken pro substrate fingerprint
Candidate-Tabelle + Review-Queue
Jede Signalquelle schreibt über ihren eigenen isolierten Pfad. Manuelle Review als Default; automatische Modi nur per Opt-in.
Signierte Promotion
Bei der Promotion Ed25519-signiert. Tier-1- und tier-2-Regeln erfordern eine Zwei-Personen-Review — strukturell erzwungen, nicht durch Prozess.
Promotete Recipes
Wie Cards komponiert. Platform → Org → Team → Agent, strictest-wins.
Gateway — 4 Checkpoints × 4 Modes
KV-signed + R2-signed Envelopes. Propagationsziel P95 ≤ 30 Sekunden auf /trust/slos.
Supply-Chain-Erkennung ist eine Sub-Dimension, kein paralleles System. Jede Evaluation trägt eine substrate fingerprint — Provider, Modell, SDK version und einen optionalen lockfile hash. Dasselbe Vier-Checkpoint-Modell trägt jede Recipe.
Promotion-Pipeline

Jede promotete Recipe ist signiert. Tier-1 und Tier-2 werden niemals automatisch promotet.

Alle drei Signale speisen dieselbe Prüf-Queue, und jede promotete Recipe läuft über dieselbe signierte Pipeline. Die schützende Invariante ist strukturell ins System eingebaut — sie ist keine Prozedur und keine Policy, die übergangen werden kann.

  1. 01
    Candidate
    Jedes Signal schreibt über seinen eigenen isolierten Pfad. Recipe-Inhalt wird in eine einheitliche Form normalisiert, während die Quelle für den Audit-Trail erhalten bleibt.
  2. 02
    Review
    Drei Reviewer-Modes nach dem Cloudflare-peer-Pattern: manual (default), auto-approve-trusted-sources, auto-approve-high-confidence. Tier-3-Candidates sind für Auto-Modes geeignet; Tier-1/-2 nicht — unabhängig vom Mode-Setting.
  3. 03
    Signierte Promotion
    Im Moment der Promotion Ed25519-signiert. Der Review-Verlauf ist append-only. Eine Regel kann erst aktiv werden, wenn das Zwei-Personen-Quorum erfüllt ist.
  4. 04
    24h Observe-Soak
    Jede promotete Recipe wird unabhängig vom Tier 24 Stunden im Mode observe ausgeliefert. Die Falsch-Positiv-Rate wird in einem 7-Tage-Rolling-Fenster gemessen. Auto-Rollback feuert bei Schwellenwertverletzung gemäß CLPI Phase 2.
  5. 05
    Enforce + Propagation
    Die Regel wird in zwei Storage-Tiers geschrieben, jeweils mit einem unabhängigen Schlüssel signiert, und dann von jedem Gateway geladen — wo Managed Rules heute in Produktion blockieren. Das Ziel ist eine Propagation von P95 ≤ 30s, kontinuierlich auf /trust/slos gemessen.
Die schützende Invariante

Eine tier-1- oder tier-2-Recipe — eine, die echten Produktionstraffic blockieren würde — kann niemals ohne Zwei-Personen-Review promotet werden, egal wie aggressiv der Reviewer-Mode eingestellt ist. Das System erzwingt das strukturell. Automatische Modi beschleunigen nur das Ausrollen von tier-3 (observe / nudge / log), wo der Blast-Radius einer Fehlentscheidung begrenzt ist.

Vendor-neutraler Netzwerkeffekt

Substrate-aware über OpenAI, Anthropic, Gemini und jedes Modell am Mnemom-Gateway.

Die substrate fingerprint, die jeder Evaluation aufgestempelt wird, enthält den Provider, das Modell und die SDK version — sowie einen optionalen lockfile hash, den Kunden mitschicken können. Das mandantenübergreifende Signal fließt über Provider hinweg, nicht nur innerhalb eines einzigen.

Kein Provider-Lock-in.

AEGIS sieht substratzugeordnete Verhaltensabweichungen über jeden Kunden hinweg, der auf derselben Provider-/Modell-/SDK-Kombination läuft. Der Evaluationsstrom eines Kunden, der Anomalien zutage bringt, erhöht den Schutz für jeden anderen Kunden auf diesem Substrat — über OpenAI, Anthropic, Gemini oder jedes lokale Modell, das hinter das Gateway gestellt ist.

Ergänzt; ersetzt nicht.

AEGIS ist die Netzwerkschicht. Kunden, die Lakera Guard, NeMo Guardrails, Cloudflare WAF, AWS Bedrock Guardrails oder Robust Intelligence einsetzen, können AEGIS parallel betreiben — es ergänzt; es ersetzt nicht. Andere Schicht, anderes Signal.

AAP erklärt. AIP verifiziert. AEGIS signiert.

AAP macht die Absicht des Agenten öffentlich — Transparenz, nicht Vertrauen. AIP liefert In-Flight-Integritätsverdicts. CLPI steuert den Card-Lebenszyklus. AEGIS signiert die mandantenübergreifenden Abwehrmechanismen, die auf dem integrierten Bild agieren. Keine Schicht gibt vor, die vorhergehende zu sein.

Calm-at-GA-Contract

Wenn das Netzwerk ruhig ist, sagt die Seite ruhig.

Zum GA ist der IoC feed by design leer. Die Advisory-Liste zeigt einen synthetischen Post-Mortem, eindeutig als synthetic gekennzeichnet. Die threat thermometer ist ruhig. Wir täuschen keine Aktivität vor. Mutation-Phase Gating ist live; die erste Aktivierung in Produktion wird auf /trust/advisories gemeldet, wenn sie eintritt. Tier-3-Vier-Augen-Prüfung ist live; Tier-1/-2-Vier-Augen-Prüfung beginnt, wenn unser zweiter Platform-Admin onboardet.

Netzwerk inspizieren.

Drei Signalquellen. Eine signierte Pipeline. Jede Promotion, jede Advisory, jeder IoC öffentlich verifizierbar.

Ansehen, was wir screenen/v1/network/threat-state abrufenDashboard öffnen
Featured on There's An AI For That