Protection Network

Das erste mandantenübergreifende Verteidigungsnetz, das speziell für KI-Agenten gebaut wurde.

Mnemom AEGIS ist das Runtime-Sicherheitsnetz hinter Safe House. Es prüft jede Agententransaktion — die eingehenden Prompts, die Tool-Aufrufe und Tool-Ergebnisse dazwischen und die ausgehenden Aktionen — an vier Checkpoints: front door, back door, inside.autonomy und inside.integrity. Und es verbindet jeden Kunden zu einer Verteidigung: Erkennt AEGIS einen neuen Angriff auf irgendeinen Agenten im Netz, wird der Schutz signiert und an alle ausgerollt.

Architektur

Ein Netz. Drei Signalquellen. Vier Checkpoints.

Drei unabhängige Quellen speisen eine einzige Pipeline. Bestätigte Detektionen werden geprüft, signiert und an jedes Gateway ausgerollt, wo sie an vier Checkpoints durchgesetzt werden. Was heute live ist, wird ehrlich gezeigt — auf dem threat thermometer und dem öffentlichen Feed.

AEGIS Protection Network — L0-L5 data flowCross-tenant defensive network architecture. Layer L0: every check is fingerprinted by the agent's software supply chain — its provider, model, SDK version, and dependency lockfile. Three signal sources feed one review queue: continuous adversarial testing by fifteen attacker personas; customer reports of missed attacks and false alarms; and cross-tenant patterns rolled up across every customer. The agent's supply-chain fingerprint feeds the cross-tenant view as an extra dimension. Candidates move to a signed promotion step where Ed25519 signatures apply and the highest-impact rules require two-person review. Promotion ships through two independent, separately-signed delivery paths. The gateway loads the rules and checks every transaction at four checkpoints: front door, back door, inside.autonomy, and inside.integrity. Layer L2 is an under-attack overlay that automatically raises enforcement during a campaign, never past the customer's ceiling. Outputs surface to the L4 threat thermometer at /dashboard/threats; the L5 IoC feed at /v1/trust/iocs in STIX 2.1; and signed L5 advisories at /trust/advisories.THREE SIGNAL SOURCES · ONE PIPELINESIGNED PROPAGATION · P95 ≤ 30S TARGETPUBLIC SURFACES · L4 + L5L0 · IDENTITYEvery check fingerprinted by the agent's supply chainprovider · model · SDK version · dependency lockfileSIGNAL · TESTINGAdversarial testing15 attacker personas · around the clockSIGNAL · CUSTOMERCustomer reportsMissed attacks & false alarms, from the dashboardSIGNAL · NETWORK (L1)Cross-tenant patternsRolling patterns across every customerSUPPLY CHAINSubstrate fingerprintprovider · model · SDK · lockfileREVIEW QUEUEReview queueEvery candidate reviewed before it can promoteL3 · MANAGED RULESSigned promotion · Ed25519High-impact rules require two-person reviewDELIVERY · PRIMARYPrimary path (signed)Independent signing chainDELIVERY · BACKUPBackup path (signed)Independent signing chainGATEWAY · RUNTIMEGateway checks every transaction at four checkpointsfront door · back door · inside.autonomy · inside.integrityL4 · VISIBILITYThreat thermometer/dashboard/threats · your live threat pictureL5 · FEEDIoC feed/v1/trust/iocs · STIX 2.1 bundleL5 · TRANSPARENCYAdvisories/trust/advisories · signed post-incident recordsL2 · UNDER ATTACKUnder-attack overlayAuto-elevation, capped at ceiling
How a detection becomes a defense: three signal sources feed one review queue, confirmed rules are signed and propagated through two independent paths, and the gateway enforces them at four checkpoints — surfacing to the threat thermometer, the public feed, and signed advisories.
Signal

Drei Signalquellen. Eine Pipeline.

Jeder Schutz, den AEGIS ausliefert, stammt aus einer von drei unabhängigen Quellen. Der Weg zur Promotion ist derselbe; was sich unterscheidet, ist der Ursprung des Signals.

Adversariales Testen

Ein ständiges Red Team aus fünfzehn Angreifer-Personas prüft jedes Safe House kontinuierlich, rund um die Uhr — und deckt neue Bypässe auf, bevor sie einen Kunden erreichen.

Kundenmeldungen

Meldet ein Kunde aus seinem Dashboard einen übersehenen Angriff oder einen Fehlalarm, gelangt dieser in die Review-Queue. Sein Beitrag wird gewürdigt — aber nur der daraus resultierende Schutz wird mit anderen Kunden geteilt, niemals die zugrunde liegende Meldung.

Mandantenübergreifende Muster

AEGIS bündelt anonymisierte Signale über alle Kunden hinweg. Muster, die kein einzelner Kunde allein sehen könnte — dieselbe Anomalie, die gleichzeitig in vielen Organisationen auftritt — erscheinen hier.

Schichten

Was jede Schicht leistet

Sechs Schichten, vom Fingerprint auf jeder Prüfung bis zum öffentlichen Feed, den jeder prüfen kann. Was heute live ist, ist auf dem threat thermometer und der trust surface beobachtbar.

L0 · Identität

Jede Prüfung wird durch die Software-Lieferkette des Agenten fingerprinted

Jede Auswertung trägt den substrate fingerprint des Agenten — Provider, Modell, SDK-Version und Dependency-Lockfile — zusammen mit der Art des Angriffs und seiner Herkunft. Dieser Fingerprint ist es, der AEGIS denselben Angriff über alle Kunden hinweg verbinden lässt, die auf demselben Stack laufen.

Das Supply-Chain-Brief lesen
L1 · Netz

Gleitende Muster über alle Kunden hinweg

AEGIS verfolgt Detektions- und Bypass-Raten für jede Kombination aus Lieferkette, Anwendungsfall und Angriffsart. Dies ist die Schicht, die koordinierte Kampagnen erkennt, die kein einzelner Kunde sehen kann — dasselbe Verhalten, das gleichzeitig bei vielen Kunden auf demselben Stack abweicht.

L2 · Unter Angriff

Automatische Eskalation während einer aktiven Kampagne, begrenzt durch Ihr Ceiling

AEGIS übernimmt das Under-Attack-Modell von Cloudflare. Sie legen pro Organisation zwei Stufen fest: Ihre normale Posture und ein Ceiling dafür, wie hoch AEGIS eigenständig eskalieren darf. Während einer Kampagne hebt AEGIS die Durchsetzung in Richtung dieses Ceilings an — und niemals darüber hinaus.

Ihr Ceiling wird stets respektiert. Zusätzliche Schutzmaßnahmen auf der Integritätsseite — das Pflanzen von Canaries, das Pausieren neuer Credential-Ausgaben, vollständige Integritätsbeweise — greifen darunter, weil sie die Verifikation verschärfen, ohne Ihre Enforcement-Posture zu ändern.

Ehrlicher Status: Die automatische Eskalation wird kurz nach der GA ausgeliefert. Bis dahin hebt ein Operator denselben Schutz von Hand an — die Verteidigung ist identisch; nur der Auslöser ist manuell.
L3 · Managed Rules

Vom Kandidaten zur Durchsetzung — geprüft, signiert und Soak-getestet

Jeder Schutz wird kryptografisch signiert (Ed25519), bevor er ausgeliefert wird, und durchläuft zwei unabhängige, separat signierte Auslieferungspfade — sodass eine Manipulation der Regeln, die Ihr Gateway erreichen, das Brechen von mehr als einem davon zugleich bedeuten würde. Neue Regeln laufen 24 Stunden im observe-only-Modus, bevor sie eskalieren können; steigen die Fehlalarme, rollt ein Operator sie zurück — automatisches Rollback folgt kurz nach GA.

Vier-Augen-Prüfung, vom System erzwungen. Die Regeln, die mächtig genug sind, um auf Live-Verkehr zu wirken, können niemals von einer einzelnen Person promotet werden — die Anforderung ist in die Plattform eingebaut, nicht dem Prozess überlassen.

Ehrlicher Status: Der Soak-getestete Pfad ist zur GA vollständig live. Die Vier-Augen-Promotion für die wirkungsstärksten Regeln ist in Betrieb; während der kurzen Übergangszeit, bis der zweite Freigeber vollständig bereitgestellt ist, wird jede Promotion in der Audit-Kette protokolliert.
L4 · Sichtbarkeit

Ihr Live-Bedrohungsbild

Ein Kunden-Dashboard, das den aktuellen Kampagnenzustand über Ihren Stack hinweg zeigt, die gerade aktiven Managed Rules und Ihre effektive Enforcement-Stufe unter jeder Eskalation. Ist das Netz ruhig, sagt das Dashboard ruhig — wir erfinden niemals Aktivität.

threat thermometer öffnen
L5 · Transparenz

Öffentlicher Threat-Feed und signierte Advisories

Zwei öffentliche Oberflächen. Ein STIX 2.1 Feed, der sich direkt in Ihre bestehende Threat-Intelligence-Pipeline einfügt, und signierte Post-Incident-Advisories, die klar kennzeichnen, was eine echte Kampagne und was eine synthetische Übung war. Zum Start kann der Feed leer sein und die Advisory-Liste einen einzelnen, klar gekennzeichneten synthetischen Seed zeigen — das ist das System, das die Wahrheit sagt, kein Platzhalter.

Threat-Feed prüfen
Der calm-at-GA contract

Ist das Netz wirklich ruhig, sagen unsere Oberflächen das. Wir täuschen keine Aktivität vor.

Hier ist unser Versprechen: Ist das Netz zum Start wirklich ruhig, sagt das threat thermometer ruhig, die Advisory-Liste zeigt eine einzelne, klar gekennzeichnete synthetische Übung, und der öffentliche Feed ist leer. Das ist keine unfertige Seite — es ist das System, das die Wahrheit sagt. Jeder andere Anbieter in diesem Bereich drapiert einen leeren Feed mit Theater. Wir nicht.

Aktuell

Aktuelle Advisories

Advisories werden geladen…

Die Landschaft

Jedes andere Tool sichert den Prompt. AEGIS sichert den Agenten — und das Netz, in dem er läuft.

Die Sicherheit für KI-Agenten teilt sich in vier Kategorien. Jede erfüllt ihre Aufgabe gut, und AEGIS läuft neben jeder von ihnen. Wir haben AEGIS für die Aufgabe gebaut, die keine von ihnen erfüllt: zu beobachten, was ein Agent tatsächlich tut, und die Detektion eines Kunden zur Verteidigung aller zu machen.

Hyperscaler-Guardrails

AWS Bedrock Guardrails · Google Model Armor

Stark bei: Konfigurierbare Inhaltsfilterung, gebündelt mit Ihrer Modellplattform — Screening auf Injection und Jailbreak, PII-Redaktion, gesperrte Themen, Grounding- und Malicious-URL-Prüfungen.

Wo es endet: Cloud-gebunden und mandantenisoliert. Sie prüfen den Prompt und die Antwort, nicht das, was der Agent dazwischen tut — und die Detektion eines Kunden wird niemals zur Verteidigung eines anderen.

Enterprise-AI-Security-Plattformen

Palo Alto Prisma AIRS · Cisco AI Defense

Stark bei: Breite Abdeckung — Model Scanning, Posture Management, Red-Teaming und Runtime-Schutz — gestützt auf erstklassige Threat-Research-Teams.

Wo es endet: Die Runtime-Telemetrie bleibt innerhalb Ihrer eigenen Organisation. Ihre Intelligence ist anbieterkuratierte Forschung, kein lebendiges Kunde-zu-Kunde-Netz: Der erkannte Angriff eines Kunden wird nicht signiert und an jeden anderen Kunden ausgerollt.

Inline-Detektoren & Guardrail-Frameworks

Lakera Guard · NVIDIA NeMo Guardrails

Stark bei: Schnelle, präzise Verteidigung auf der Konversationsebene — verwaltete Prompt-Injection-Erkennung, die aus Millionen von crowdsourcten Angriffen lernt, und quelloffene, programmierbare Rails, die Sie in Ihre App einbetten.

Wo es endet: Sie wirken auf jeweils eine Konversation und verbessern ein gemeinsames Modell in einem Release-Rhythmus. Keiner von beiden verteilt eine signierte Verteidigung über ein lebendiges Netz in dem Moment, in dem ein Kunde getroffen wird.

Edge-AI-Gateways

Cloudflare AI Gateway · AI Security for Apps

Stark bei: Erstklassige HTTP- und Edge-Verteidigung, mit einem echten mandantenübergreifenden Netzwerkeffekt — Injection- und PII-Erkennung, Rate-Limiting, Caching und Observability vor jedem Modell.

Wo es endet: Dieses Netz arbeitet auf der Web-Traffic-Ebene, gebaut für Apps und Menschen. Es reicht nicht bis zur Agenten-Entscheidungsebene — die Tool-Aufrufe, die ein Agent macht, die Tool-Ergebnisse, denen er vertraut, die Aktionen, die er ergreift.

Mnemom AEGIS

Was nur ein mandantenübergreifendes Agentennetz leistet

  • Prüft die Agenten-Entscheidungsebene — eingehende Prompts, Tool-Aufrufe, Tool-Ergebnisse und ausgehende Aktionen, nicht nur den Text, der hinein- und hinausgeht.
  • Macht die bestätigte Detektion eines Kunden zu einer signierten Managed Rule, die sich automatisch über das Netz verbreitet.
  • Erstellt einen Fingerabdruck der Software-Lieferkette — Provider, Modell, SDK-Version, Dependency-Lockfile — sodass die Anomalie eines einzelnen Mandanten den Schutz für jeden Kunden erhöhen kann, der denselben Stack betreibt.
  • Veröffentlicht seine Threat Intelligence offen — einen STIX 2.1 Feed und signierte Advisories — statt sie in einer Anbieterdatenbank einzuschließen.

AEGIS ergänzt die Tools, die Sie bereits betreiben. Belassen Sie Bedrock- oder Model-Armor-Guardrails am Modell, Lakera oder NeMo am Prompt und Cloudflare am Edge — und betreiben Sie AEGIS als die mandantenübergreifende Schicht, die beobachtet, was Ihre Agenten tatsächlich tun.

Öffentliche SLOs

Wozu wir uns verpflichten — mit Zahlen und mit Ehrlichkeit darüber, was gemessen ist.

Dies sind veröffentlichte Ziele. Das erste 30-Tage-Messfenster öffnet 30 Tage nach der GA; bis dahin nennen wir sie als Ziele, nicht als Ergebnisse. Wir kündigen keine Zahlen an, die wir nicht verteidigen können.

Propagationslatenz
P95 ≤ 30s
Ziel · von der signierten Promotion bis zum Laden an Ihrem Gateway
Rule-Set-Frische
P99 ≤ 5 min
Ziel · im Normalbetrieb
Verfügbarkeit
99,99 %
Ziel · gestaffeltes Failover hält den letzten funktionierenden Regelsatz am Laufen
Loslegen

Drei Wege hinein.

Featured on There's An AI For That