Protection Network · L0-L5

    Das erste mandantenübergreifende Verteidigungsnetz, das speziell für KI-Agenten gebaut wurde.

    Mnemom AEGIS — Adaptive Enforcement, Governance & Intelligence Substrate — ist das Runtime-Sicherheitsnetz von Safe House. Es prüft jede Agententransaktion an vier Checkpoints (front door, back door, inside.autonomy, inside.integrity) und verbindet das Safe House jedes Kunden zu einem einzigen Verteidigungssubstrat. Die Detektion eines Kunden wird zur Verteidigung jedes Kunden, signiert und innerhalb des SLO-Fensters propagiert.

    Threat thermometer öffnenSTIX 2.1 Feed abrufenMit dem Vertrieb sprechen
    Architektur

    L0-L5 — ein Substrat, drei Signalschleifen, vier Checkpoints

    Source-of-Truth: concept.md §Three loops, one substrate. Jede Schicht ist zur GA verdrahtet; der ehrliche Betriebszustand wird live auf dem threat thermometer und dem IoC feed angezeigt.

    AEGIS Protection Network — L0-L5 data flowCross-tenant defensive network architecture. Layer L0: every evaluation is stamped with substrate, vertical, pattern, and source axes. Three signal sources feed the candidate review queue: an adversarial arena with fifteen canonical personas; customer false-negative and false-positive reports; and a cross-tenant aggregator that rolls up per-axis statistics. Substrate fingerprints from supply-chain telemetry feed the aggregator as an extra axis. Candidates move to a signed promotion step where Ed25519 signatures and dual-control review apply at tier one and tier two. Promotion writes envelopes to Workers KV and R2 with independent signing chains. Gateway loads from the data plane and evaluates every transaction at four checkpoints: front door, back door, inside.autonomy, and inside.integrity. Layer L2 is a composition-layer under-attack overlay that elevates effective enforcement within the org's clamped ceiling. Outputs surface to the L4 threat thermometer at /dashboard/threats; the L5 IoC feed at /v1/trust/iocs in STIX 2.1; and signed L5 advisories at /trust/advisories.THREE SIGNAL LOOPS · ONE SUBSTRATEDATA PLANE · <30S P95 PROPAGATION TARGETPUBLIC SURFACES · L4 + L5axis fingerprintcomposition layerL0Axis identity — substrate · vertical · pattern · sourceEvery evaluation stamped with the four-axis fingerprint (mig 217)SIGNAL · ARENAAdversarial arena15 canonical personas · mutation-phase gatedSIGNAL · CUSTOMERCustomer FN / FP reportsPer-tenant feedback into the candidate queueSIGNAL · NETWORKCross-tenant aggregator (L1)network_campaign_state · rolling stats per axis-bucketSUBSTRATE AXISSubstrate fingerprintprovider · model · sdk@ver · lockfile-hashCANDIDATE QUEUECandidate table + review queuewriter_identity per source · manual default · auto-modes opt-inL3 · PROMOTIONSigned promotion · Ed25519Tier-1 / Tier-2 require dual-control (structural CHECK)DATA PLANE · PRIMARYWorkers KV (signed envelope)RECIPE_KV_SIGNING_KEY · 300s TTLDATA PLANE · SECONDARYR2 bucket (signed envelope)RECIPE_R2_SIGNING_KEY · independent chainGATEWAY · RUNTIMEGateway evaluates at four checkpointsfront door · back door · inside.autonomy · inside.integrityL4Threat thermometer/dashboard/threats · live per-axis stateL5 · FEEDIoC feed/v1/trust/iocs · STIX 2.1 bundleL5 · TRANSPARENCYAdvisories/trust/advisories · signed post-incident recordsL2 · OVERLAYUnder-attack overlayAuto-elevation · clamped by org ceiling
    Source-of-truth ASCII at concept.md §“Three loops, one substrate”. Every layer of the Protection Network is wired at GA; the visual aligns with the runtime architecture in ADR-AEGIS-01 and ADR-AEGIS-02.
    Signal

    Drei Signalquellen. Eine Promotion-Pipeline.

    Jede Recipe, die AEGIS promotet, wird von einer von drei unabhängigen Schleifen gespeist, die jeweils mit einer eindeutigen writer_identity gestempelt sind (ADR-004). Der Promotion-Pfad ist derselbe; die Vertrauenshaltung unterscheidet sich.

    Adversariale Arena

    15 kanonische Personas prüfen jedes Safe House kontinuierlich. Das mutation-phase Gate (95 % Detektionsrate pro Bucket, 48h gleitendes Fenster, 24h Hysterese) schaltet die Arena von Discovery auf Mutation, sobald ein Bucket gut abgedeckt ist.

    writer_identity = arena-bypass

    Kunden-FN-/FP-Berichte

    Falsch-negative und falsch-positive Berichte fließen aus den Kunden-Dashboards in die Kandidaten-Queue. Der Beitrag jedes Mandanten wird quittiert; nur die resultierende Recipe propagiert zu anderen Mandanten — niemals der Rohbericht.

    writer_identity = customer-fn-report

    Mandantenübergreifender Aggregator

    network_campaign_state rollt achsenbezogene Statistiken über alle Kunden hinweg. Muster, die kein einzelner Kunde sehen kann — ein Substrat, das identische Anomalien über Organisationen hinweg zeigt — erscheinen hier als Kandidaten.

    writer_identity = internal-observation

    Schichten

    Was jede Schicht leistet

    Fünf benannte, verdrahtete Schichten oberhalb der Recipe-Datenebene. Der Betriebszustand jeder Schicht ist auf dem threat thermometer und der trust surface beobachtbar.

    L0 · Axis identity

    Jede Auswertung mit dem Vier-Achsen-substrate fingerprint gestempelt

    Gemäß Migration 217 trägt jede Checkpoint-Auswertung ein abgeleitetes Tupel (substrate, vertical, pattern, source). Substrate ist provider × model × SDK@version mit einem optionalen, vom Kunden gelieferten lockfile-hash-Header. Die axis identity ist der Join-Schlüssel für mandantenübergreifende Korrelation und das Rückgrat der Supply-Chain-Attribution.

    Das Supply-Chain-Brief lesen
    L1 · Mandantenübergreifender Aggregator

    Gleitende Statistiken pro Achsen-Bucket — die Sicht des Netzes

    network_campaign_state hält gleitende Fenster für Detektions- und Bypass-Rate pro Bucket (substrate × vertical × pattern × source). Der Aggregator ist die Schicht, die Kampagnen erkennt, die kein einzelner Mandant erkennen kann — Verhaltensabweichungen über alle Kunden hinweg, die auf demselben Substrat laufen, gleichzeitig.

    L2 · Under-attack overlay

    Auto-Eskalation der Kompositionsschicht, begrenzt durch das Org-Ceiling

    AEGIS übernimmt das additive-ratcheting-Modell von Cloudflare. Zwei Posture-Regler pro Organisation: normale Posture und Elevation Ceiling. Während einer Kampagne ist der effektive Modus max(normal, min(threat_level, elevation_ceiling)).

    Das Ceiling des Kunden wird respektiert. Zusätzliche Schutzmaßnahmen auf der Integritätsseite (gepflanzte Canaries, eingefrorene Credential-Ausgabe, vollständige AIP-Beweise) laufen unterhalb des Ceilings, da sie keine Posture-Änderungen sind.

    Ehrlicher Betriebszustand: Das L2-Overlay wird in Phase 4 ausgeliefert, sobald das Cards-Kompositions-Primitive stabilisiert ist. Bis dahin deckt eine manuelle Operator-Override am Org-Flag denselben Schutz ohne Auto-Eskalation ab.
    L3 · Managed Rules Push

    Arena-Kandidat → Review → signierte Promotion → 24h observe-Soak → enforce

    Jede Promotion ist Ed25519-signiert via RECIPE_PROMOTION_SIGNING_KEY. KV und R2 tragen unabhängige Envelope-Signaturketten (RECIPE_KV_SIGNING_KEY / RECIPE_R2_SIGNING_KEY) — drei unabhängige Kompromittierungspfade sind nötig, um die Regelebene zu vergiften. Tier-3-Regeln durchlaufen einen 24h observe-Soak vor der Mode-Eskalation; ein FP-Raten-Schwellenwert löst Auto-Rollback aus.

    Die Dual-Control-Invariante: tier-1- und tier-2-Regeln — diejenigen, die tatsächlich Produktionsverkehr blockieren würden — können sich niemals automatisch promoten, unabhängig vom Reviewer-Modus. Die Einschränkung ist strukturell (Schema-CHECK auf promotion_quorum_met), nicht prozedural.

    Ehrlicher Betriebszustand: Der tier-3-Pfad ist zur GA vollständig live. Die tier-1/-2-Dual-Control-Durchsetzung wird am 01.06.2026 aktiv, sobald der zweite Platform-Admin bereitgestellt ist (die Einzeloperator-Übergangsphase ist in der Audit-Kette dokumentiert).
    L4 · Threat thermometer

    Live-Zustand pro Achse auf /dashboard/threats

    Kundenseitiges Dashboard, das den Kampagnenzustand pro Achse, die aktiven Managed Rules und den effektiven Durchsetzungsmodus der Organisation unter jedem aktuellen Overlay zeigt. Ist das Netz zur GA ruhig, sagt der Thermometer ruhig — die Seite erfindet keine Aktivität.

    Den Thermometer öffnen
    L5 · IoC feed + Advisories

    Öffentlicher STIX 2.1 Feed und signierte Post-Incident-Advisories

    Zwei öffentliche Oberflächen. /v1/trust/iocs exportiert ein STIX 2.1 Bundle, das sich in bestehende Threat-Intel-Pipelines einfügt. /trust/advisories veröffentlicht signierte Post-Incident-Datensätze mit expliziter Synthetisch-versus-Real-Kennzeichnung. Zur GA kann der Feed leer sein und die Advisory-Liste zeigt den einen synthetischen Seed — das ist das System, das die Wahrheit sagt.

    Den IoC feed prüfen
    Der calm-at-GA contract

    Ist das Netz wirklich ruhig, sagen die Oberflächen das. Wir täuschen keine Aktivität vor.

    Aus concept.md: Ist das Netz zur GA wirklich ruhig, sagt der Thermometer ruhig, die Advisory-Liste zeigt einen synthetischen Seed-Postmortem, klar als synthetisch markiert, und der IoC feed ist leer. Das ist kein Stub — das ist das System, das die Wahrheit sagt. Jeder andere Anbieter in diesem Raum drapiert einen leeren Feed mit Theater. Mnemom nicht.

    Advisory-Liste ansehen →·IoC feed prüfen →
    Landschaft

    Was jeder andere Agent-Security-Anbieter tut — und nicht tut.

    Der Markt für Agentic-AI-Security fragmentiert sich in Hyperscaler-Guardrails, nachgerüstete Enterprise-Plattformen, AI-native Einzeldetektoren und Edge-Inference-Proxies. Keiner ist ein integriertes mandantenübergreifendes Netz. Quelle: AEGIS-15 positioning brief §3.

    FähigkeitMnemom AEGISCloudflare WAFAWS ShieldLakera GuardCisco AI DefensePalo Alto Prisma AIRSGoogle Model Armor
    Mandantenübergreifendes Verteidigungsnetz für KI-Agenten
    Signal über Kunden hinweg gebündelt; signierter Managed Rules Push an jedes Gateway.
    Substrate fingerprinting (provider · model · sdk@ver · lockfile-hash)
    Erkennt Verhaltensabweichungen bei allen Kunden auf demselben Substrat.
    Adversariale Arena mit mutation-phase gating
    15 kanonische Personas, pro Bucket 95 % / 48h / 24h-Hysterese.
    		Vom Anbieter kuratierte Threat-DB
    Kunden-FN-/FP-Feedback in signierte Promotion-Pipeline
    Öffentlicher STIX 2.1 IoC feed
    Maschinenlesbar, signierte Hülle, keine Auth erforderlich.
    Append-only signiertes Advisory-CMS
    Synthetisch-versus-real gekennzeichnet gemäß calm-at-GA contract.
    Dual-Control-Invariante auf Tier-1- / Tier-2-Promotions
    Strukturelle CHECK-Constraint, nicht prozedural.
    		Nur Anbieter-ReviewNur Anbieter-ReviewNur Anbieter-ReviewNur Anbieter-ReviewNur Anbieter-ReviewNur Anbieter-Review
    Vier-Checkpoint × Vier-Mode-Runtime
    front door · back door · inside.autonomy · inside.integrity.
    		Einzelner Inline-FilterBuild-Time-EmbeddingAggregierte PlattformContent-Filter inline
    Für KI-Agenten entworfen (nicht HTTP / nicht Menschen)
    		HTTP-Schicht-WAFNetzwerk-DDoSPrompt-Schicht-FirewallBuild-Time-GuardrailsPlattform-AggregationPrompt- + URL-Filter
    Provider-neutral (OpenAI · Anthropic · Gemini · selbstgehostet)
    		n/aNur AWSNur Google
    Hyperscaler-gebunden

    Mnemom ergänzt — ersetzt nicht — Guardrails, WAFs und Pre-Deployment-Evals. Kunden, die Lakera Guard, NeMo Guardrails, Cloudflare WAF, AWS Bedrock Guardrails oder Robust Intelligence betreiben, können AEGIS parallel laufen lassen. AEGIS ist die mandantenübergreifende Netzwerkschicht; die anderen sitzen an anderen Stellen im Stack.

    Öffentliche SLOs

    Wozu wir uns verpflichten — mit Zahlen.

    Quelle: ADR-AEGIS-02 §5, veröffentlicht auf /trust/slos. Das erste 30-Tage-Messfenster wird 30 Tage nach der GA veröffentlicht.

    Propagationslatenz
    P95 ≤ 30s
    Signierte Promotion → Gateway geladen
    Rule-Set-Frische
    P99 ≤ 5 min
    Im Normalbetrieb
    Failover-Verfügbarkeit
    99,99 %
    KV + R2 + isolate last-known-good
    Vollständige SLO-Tabelle ansehen →
    Loslegen

    Drei Wege hinein.

    Kunden-Dashboard

    Der threat thermometer — Kampagnenzustand pro Achse, aktive Managed Rules, Ihre effektive Enforcement-Posture.

    /dashboard/threats →

    Maschinenlesbarer Feed

    curl https://api.mnemom.ai\
  /v1/trust/iocs
    STIX 2.1 Bundle abrufen →

    Mit dem Vertrieb sprechen

    Gehen Sie mit uns die AEGIS-Architektur, die SLO-Zusagen, das EU AI Act Mapping und die Bedeutung von Self-Hosting für Ihre Compliance-Posture durch.

    Kontakt aufnehmen →
    Featured on There's An AI For That