# Protection Network — Mandantenübergreifendes Verteidigungsnetz für KI-Agenten | Mnemom Protection Network · L0-L5 # Das erste mandantenübergreifende Verteidigungsnetz, das speziell für KI-Agenten gebaut wurde. Mnemom AEGIS — Adaptive Enforcement, Governance & Intelligence Substrate — ist das Runtime-Sicherheitsnetz von Safe House. Es prüft jede Agententransaktion an vier Checkpoints (front door, back door, inside.autonomy, inside.integrity) und verbindet das Safe House jedes Kunden zu einem einzigen Verteidigungssubstrat. Die Detektion eines Kunden wird zur Verteidigung jedes Kunden, signiert und innerhalb des SLO-Fensters propagiert. [Threat thermometer öffnen](/dashboard/threats)[STIX 2.1 Feed abrufen](https://api.mnemom.ai/v1/trust/iocs)[Mit dem Vertrieb sprechen](/contact) Architektur ## L0-L5 — ein Substrat, drei Signalschleifen, vier Checkpoints Source-of-Truth: concept.md §Three loops, one substrate. Jede Schicht ist zur GA verdrahtet; der ehrliche Betriebszustand wird live auf dem threat thermometer und dem IoC feed angezeigt. Source-of-truth ASCII at concept.md §“Three loops, one substrate”. Every layer of the Protection Network is wired at GA; the visual aligns with the runtime architecture in ADR-AEGIS-01 and ADR-AEGIS-02. Signal ## Drei Signalquellen. Eine Promotion-Pipeline. Jede Recipe, die AEGIS promotet, wird von einer von drei unabhängigen Schleifen gespeist, die jeweils mit einer eindeutigen writer\_identity gestempelt sind (ADR-004). Der Promotion-Pfad ist derselbe; die Vertrauenshaltung unterscheidet sich. ### Adversariale Arena 15 kanonische Personas prüfen jedes Safe House kontinuierlich. Das mutation-phase Gate (95 % Detektionsrate pro Bucket, 48h gleitendes Fenster, 24h Hysterese) schaltet die Arena von Discovery auf Mutation, sobald ein Bucket gut abgedeckt ist. writer\_identity = arena-bypass ### Kunden-FN-/FP-Berichte Falsch-negative und falsch-positive Berichte fließen aus den Kunden-Dashboards in die Kandidaten-Queue. Der Beitrag jedes Mandanten wird quittiert; nur die resultierende Recipe propagiert zu anderen Mandanten — niemals der Rohbericht. writer\_identity = customer-fn-report ### Mandantenübergreifender Aggregator `network_campaign_state` rollt achsenbezogene Statistiken über alle Kunden hinweg. Muster, die kein einzelner Kunde sehen kann — ein Substrat, das identische Anomalien über Organisationen hinweg zeigt — erscheinen hier als Kandidaten. writer\_identity = internal-observation Schichten ## Was jede Schicht leistet Fünf benannte, verdrahtete Schichten oberhalb der Recipe-Datenebene. Der Betriebszustand jeder Schicht ist auf dem threat thermometer und der trust surface beobachtbar. L0 · Axis identity ### Jede Auswertung mit dem Vier-Achsen-substrate fingerprint gestempelt Gemäß Migration 217 trägt jede Checkpoint-Auswertung ein abgeleitetes Tupel `(substrate, vertical, pattern, source)`. Substrate ist provider × model × SDK@version mit einem optionalen, vom Kunden gelieferten lockfile-hash-Header. Die axis identity ist der Join-Schlüssel für mandantenübergreifende Korrelation und das Rückgrat der Supply-Chain-Attribution. [Das Supply-Chain-Brief lesen →](/supply-chain) L1 · Mandantenübergreifender Aggregator ### Gleitende Statistiken pro Achsen-Bucket — die Sicht des Netzes `network_campaign_state` hält gleitende Fenster für Detektions- und Bypass-Rate pro Bucket `(substrate × vertical × pattern × source)`. Der Aggregator ist die Schicht, die Kampagnen erkennt, die kein einzelner Mandant erkennen kann — Verhaltensabweichungen über alle Kunden hinweg, die auf demselben Substrat laufen, gleichzeitig. L2 · Under-attack overlay ### Auto-Eskalation der Kompositionsschicht, begrenzt durch das Org-Ceiling AEGIS übernimmt das additive-ratcheting-Modell von Cloudflare. Zwei Posture-Regler pro Organisation: _normale Posture_ und _Elevation Ceiling_. Während einer Kampagne ist der effektive Modus `max(normal, min(threat_level, elevation_ceiling))`. Das Ceiling des Kunden wird respektiert. Zusätzliche Schutzmaßnahmen auf der Integritätsseite (gepflanzte Canaries, eingefrorene Credential-Ausgabe, vollständige AIP-Beweise) laufen unterhalb des Ceilings, da sie keine Posture-Änderungen sind. **Ehrlicher Betriebszustand:** Das L2-Overlay wird in Phase 4 ausgeliefert, sobald das Cards-Kompositions-Primitive stabilisiert ist. Bis dahin deckt eine manuelle Operator-Override am Org-Flag denselben Schutz ohne Auto-Eskalation ab. L3 · Managed Rules Push ### Arena-Kandidat → Review → signierte Promotion → 24h observe-Soak → enforce Jede Promotion ist Ed25519-signiert via `RECIPE_PROMOTION_SIGNING_KEY`. KV und R2 tragen unabhängige Envelope-Signaturketten (`RECIPE_KV_SIGNING_KEY` / `RECIPE_R2_SIGNING_KEY`) — drei unabhängige Kompromittierungspfade sind nötig, um die Regelebene zu vergiften. Tier-3-Regeln durchlaufen einen 24h observe-Soak vor der Mode-Eskalation; ein FP-Raten-Schwellenwert löst Auto-Rollback aus. **Die Dual-Control-Invariante:** tier-1- und tier-2-Regeln — diejenigen, die tatsächlich Produktionsverkehr blockieren würden — können sich niemals automatisch promoten, unabhängig vom Reviewer-Modus. Die Einschränkung ist strukturell (Schema-CHECK auf `promotion_quorum_met`), nicht prozedural. **Ehrlicher Betriebszustand:** Der tier-3-Pfad ist zur GA vollständig live. Die tier-1/-2-Dual-Control-Durchsetzung wird am 01.06.2026 aktiv, sobald der zweite Platform-Admin bereitgestellt ist (die Einzeloperator-Übergangsphase ist in der Audit-Kette dokumentiert). L4 · Threat thermometer ### Live-Zustand pro Achse auf /dashboard/threats Kundenseitiges Dashboard, das den Kampagnenzustand pro Achse, die aktiven Managed Rules und den effektiven Durchsetzungsmodus der Organisation unter jedem aktuellen Overlay zeigt. Ist das Netz zur GA ruhig, sagt der Thermometer _ruhig_ — die Seite erfindet keine Aktivität. [Den Thermometer öffnen →](/dashboard/threats) L5 · IoC feed + Advisories ### Öffentlicher STIX 2.1 Feed und signierte Post-Incident-Advisories Zwei öffentliche Oberflächen. `/v1/trust/iocs` exportiert ein STIX 2.1 Bundle, das sich in bestehende Threat-Intel-Pipelines einfügt. `/trust/advisories` veröffentlicht signierte Post-Incident-Datensätze mit expliziter Synthetisch-versus-Real-Kennzeichnung. Zur GA kann der Feed leer sein und die Advisory-Liste zeigt den einen synthetischen Seed — das ist das System, das die Wahrheit sagt. [Den IoC feed prüfen →](/trust/iocs) Der calm-at-GA contract ## Ist das Netz wirklich ruhig, sagen die Oberflächen das. Wir täuschen keine Aktivität vor. Aus `concept.md`: Ist das Netz zur GA wirklich ruhig, sagt der Thermometer ruhig, die Advisory-Liste zeigt einen synthetischen Seed-Postmortem, klar als synthetisch markiert, und der IoC feed ist leer. Das ist kein Stub — das ist das System, das die Wahrheit sagt. Jeder andere Anbieter in diesem Raum drapiert einen leeren Feed mit Theater. Mnemom nicht. [Advisory-Liste ansehen →](/trust/advisories)·[IoC feed prüfen →](/trust/iocs) Landschaft ## Was jeder andere Agent-Security-Anbieter tut — und nicht tut. Der Markt für Agentic-AI-Security fragmentiert sich in Hyperscaler-Guardrails, nachgerüstete Enterprise-Plattformen, AI-native Einzeldetektoren und Edge-Inference-Proxies. Keiner ist ein integriertes mandantenübergreifendes Netz. Quelle: AEGIS-15 positioning brief §3. Fähigkeit Mnemom AEGIS Cloudflare WAF AWS Shield Lakera Guard Cisco AI Defense Palo Alto Prisma AIRS Google Model Armor Mandantenübergreifendes Verteidigungsnetz für KI-Agenten Signal über Kunden hinweg gebündelt; signierter Managed Rules Push an jedes Gateway. Substrate fingerprinting (provider · model · sdk@ver · lockfile-hash) Erkennt Verhaltensabweichungen bei allen Kunden auf demselben Substrat. Adversariale Arena mit mutation-phase gating 15 kanonische Personas, pro Bucket 95 % / 48h / 24h-Hysterese. Vom Anbieter kuratierte Threat-DB Kunden-FN-/FP-Feedback in signierte Promotion-Pipeline Öffentlicher STIX 2.1 IoC feed Maschinenlesbar, signierte Hülle, keine Auth erforderlich. Append-only signiertes Advisory-CMS Synthetisch-versus-real gekennzeichnet gemäß calm-at-GA contract. Dual-Control-Invariante auf Tier-1- / Tier-2-Promotions Strukturelle CHECK-Constraint, nicht prozedural. Nur Anbieter-Review Nur Anbieter-Review Nur Anbieter-Review Nur Anbieter-Review Nur Anbieter-Review Nur Anbieter-Review Vier-Checkpoint × Vier-Mode-Runtime front door · back door · inside.autonomy · inside.integrity. Einzelner Inline-Filter Build-Time-Embedding Aggregierte Plattform Content-Filter inline Für KI-Agenten entworfen (nicht HTTP / nicht Menschen) HTTP-Schicht-WAF Netzwerk-DDoS Prompt-Schicht-Firewall Build-Time-Guardrails Plattform-Aggregation Prompt- + URL-Filter Provider-neutral (OpenAI · Anthropic · Gemini · selbstgehostet) n/a Nur AWS Nur Google Hyperscaler-gebunden Mnemom ergänzt — ersetzt nicht — Guardrails, WAFs und Pre-Deployment-Evals. Kunden, die Lakera Guard, NeMo Guardrails, Cloudflare WAF, AWS Bedrock Guardrails oder Robust Intelligence betreiben, können AEGIS parallel laufen lassen. AEGIS ist die mandantenübergreifende Netzwerkschicht; die anderen sitzen an anderen Stellen im Stack. Öffentliche SLOs ## Wozu wir uns verpflichten — mit Zahlen. Quelle: ADR-AEGIS-02 §5, veröffentlicht auf /trust/slos. Das erste 30-Tage-Messfenster wird 30 Tage nach der GA veröffentlicht. Propagationslatenz P95 ≤ 30s Signierte Promotion → Gateway geladen Rule-Set-Frische P99 ≤ 5 min Im Normalbetrieb Failover-Verfügbarkeit 99,99 % KV + R2 + isolate last-known-good [Vollständige SLO-Tabelle ansehen →](/trust/slos) Loslegen ## Drei Wege hinein. [ ### Kunden-Dashboard Der threat thermometer — Kampagnenzustand pro Achse, aktive Managed Rules, Ihre effektive Enforcement-Posture. /dashboard/threats →](/dashboard/threats)[ ### Maschinenlesbarer Feed curl https://api.mnemom.ai\\ /v1/trust/iocs STIX 2.1 Bundle abrufen →](https://api.mnemom.ai/v1/trust/iocs)[ ### Mit dem Vertrieb sprechen Gehen Sie mit uns die AEGIS-Architektur, die SLO-Zusagen, das EU AI Act Mapping und die Bedeutung von Self-Hosting für Ihre Compliance-Posture durch. Kontakt aufnehmen →](/contact) --- _Source: /de/protection-network/index.html · Generated by build-markdown-mirrors.mjs · For agent-readability commitment #4 see https://www.mnemom.ai/for-agents_