> **Agent?** Fastest path: MCP at `https://api.mnemom.ai/mcp` — call `get_started` first (zero-auth, no args). Full agent guide: <https://www.mnemom.ai/agents.txt>

# Protection Network — Mandantenübergreifende Verteidigung für KI-Agenten | Mnemom

Protection Network

# Das erste mandantenübergreifende Verteidigungsnetz, das speziell für KI-Agenten gebaut wurde.

Mnemom AEGIS ist das Runtime-Sicherheitsnetz hinter Safe House. Es prüft jede Agententransaktion — die eingehenden Prompts, die Tool-Aufrufe und Tool-Ergebnisse dazwischen und die ausgehenden Aktionen — an vier Checkpoints: front door, back door, inside.autonomy und inside.integrity. Und es verbindet jeden Kunden zu einer Verteidigung: Erkennt AEGIS einen neuen Angriff auf irgendeinen Agenten im Netz, wird der Schutz signiert und an alle ausgerollt.

[threat thermometer öffnen](/dashboard/threats)[Threat-Feed abrufen (STIX 2.1)](https://api.mnemom.ai/v1/trust/iocs)[Mit dem Vertrieb sprechen](/contact)

Architektur

## Ein Netz. Drei Signalquellen. Vier Checkpoints.

Drei unabhängige Quellen speisen eine einzige Pipeline. Bestätigte Detektionen werden geprüft, signiert und an jedes Gateway ausgerollt, wo sie an vier Checkpoints durchgesetzt werden. Was heute live ist, wird ehrlich gezeigt — auf dem threat thermometer und dem öffentlichen Feed.

How a detection becomes a defense: three signal sources feed one review queue, confirmed rules are signed and propagated through two independent paths, and the gateway enforces them at four checkpoints — surfacing to the threat thermometer, the public feed, and signed advisories.

Signal

## Drei Signalquellen. Eine Pipeline.

Jeder Schutz, den AEGIS ausliefert, stammt aus einer von drei unabhängigen Quellen. Der Weg zur Promotion ist derselbe; was sich unterscheidet, ist der Ursprung des Signals.

### Adversariales Testen

Ein ständiges Red Team aus fünfzehn Angreifer-Personas prüft jedes Safe House kontinuierlich, rund um die Uhr — und deckt neue Bypässe auf, bevor sie einen Kunden erreichen.

### Kundenmeldungen

Meldet ein Kunde aus seinem Dashboard einen übersehenen Angriff oder einen Fehlalarm, gelangt dieser in die Review-Queue. Sein Beitrag wird gewürdigt — aber nur der daraus resultierende Schutz wird mit anderen Kunden geteilt, niemals die zugrunde liegende Meldung.

### Mandantenübergreifende Muster

AEGIS bündelt anonymisierte Signale über alle Kunden hinweg. Muster, die kein einzelner Kunde allein sehen könnte — dieselbe Anomalie, die gleichzeitig in vielen Organisationen auftritt — erscheinen hier.

Schichten

## Was jede Schicht leistet

Sechs Schichten, vom Fingerprint auf jeder Prüfung bis zum öffentlichen Feed, den jeder prüfen kann. Was heute live ist, ist auf dem threat thermometer und der trust surface beobachtbar.

L0 · Identität

### Jede Prüfung wird durch die Software-Lieferkette des Agenten fingerprinted

Jede Auswertung trägt den **substrate fingerprint** des Agenten — Provider, Modell, SDK-Version und Dependency-Lockfile — zusammen mit der Art des Angriffs und seiner Herkunft. Dieser Fingerprint ist es, der AEGIS denselben Angriff über alle Kunden hinweg verbinden lässt, die auf demselben Stack laufen.

[Das Supply-Chain-Brief lesen →](/supply-chain)

L1 · Netz

### Gleitende Muster über alle Kunden hinweg

AEGIS verfolgt Detektions- und Bypass-Raten für jede Kombination aus Lieferkette, Anwendungsfall und Angriffsart. Dies ist die Schicht, die koordinierte Kampagnen erkennt, die kein einzelner Kunde sehen kann — dasselbe Verhalten, das gleichzeitig bei vielen Kunden auf demselben Stack abweicht.

L2 · Unter Angriff

### Automatische Eskalation während einer aktiven Kampagne, begrenzt durch Ihr Ceiling

AEGIS übernimmt das Under-Attack-Modell von Cloudflare. Sie legen pro Organisation zwei Stufen fest: Ihre **normale Posture** und ein **Ceiling** dafür, wie hoch AEGIS eigenständig eskalieren darf. Während einer Kampagne hebt AEGIS die Durchsetzung in Richtung dieses Ceilings an — und niemals darüber hinaus.

Ihr Ceiling wird stets respektiert. Zusätzliche Schutzmaßnahmen auf der Integritätsseite — das Pflanzen von Canaries, das Pausieren neuer Credential-Ausgaben, vollständige Integritätsbeweise — greifen darunter, weil sie die Verifikation verschärfen, ohne Ihre Enforcement-Posture zu ändern.

**Ehrlicher Status:** Die automatische Eskalation wird kurz nach der GA ausgeliefert. Bis dahin hebt ein Operator denselben Schutz von Hand an — die Verteidigung ist identisch; nur der Auslöser ist manuell.

L3 · Managed Rules

### Vom Kandidaten zur Durchsetzung — geprüft, signiert und Soak-getestet

Jeder Schutz wird kryptografisch signiert (Ed25519), bevor er ausgeliefert wird, und durchläuft zwei unabhängige, separat signierte Auslieferungspfade — sodass eine Manipulation der Regeln, die Ihr Gateway erreichen, das Brechen von mehr als einem davon zugleich bedeuten würde. Neue Regeln laufen 24 Stunden im observe-only-Modus, bevor sie eskalieren können; steigen die Fehlalarme, rollt ein Operator sie zurück — automatisches Rollback folgt kurz nach GA.

**Vier-Augen-Prüfung, vom System erzwungen.** Die Regeln, die mächtig genug sind, um auf Live-Verkehr zu wirken, können niemals von einer einzelnen Person promotet werden — die Anforderung ist in die Plattform eingebaut, nicht dem Prozess überlassen.

**Ehrlicher Status:** Der Soak-getestete Pfad ist zur GA vollständig live. Die Vier-Augen-Promotion für die wirkungsstärksten Regeln ist in Betrieb; während der kurzen Übergangszeit, bis der zweite Freigeber vollständig bereitgestellt ist, wird jede Promotion in der Audit-Kette protokolliert.

L4 · Sichtbarkeit

### Ihr Live-Bedrohungsbild

Ein Kunden-Dashboard, das den aktuellen Kampagnenzustand über Ihren Stack hinweg zeigt, die gerade aktiven Managed Rules und Ihre effektive Enforcement-Stufe unter jeder Eskalation. Ist das Netz ruhig, sagt das Dashboard ruhig — wir erfinden niemals Aktivität.

[threat thermometer öffnen →](/dashboard/threats)

L5 · Transparenz

### Öffentlicher Threat-Feed und signierte Advisories

Zwei öffentliche Oberflächen. Ein STIX 2.1 Feed, der sich direkt in Ihre bestehende Threat-Intelligence-Pipeline einfügt, und signierte Post-Incident-Advisories, die klar kennzeichnen, was eine echte Kampagne und was eine synthetische Übung war. Zum Start kann der Feed leer sein und die Advisory-Liste einen einzelnen, klar gekennzeichneten synthetischen Seed zeigen — das ist das System, das die Wahrheit sagt, kein Platzhalter.

[Threat-Feed prüfen →](/trust/iocs)

Der calm-at-GA contract

## Ist das Netz wirklich ruhig, sagen unsere Oberflächen das. Wir täuschen keine Aktivität vor.

Hier ist unser Versprechen: Ist das Netz zum Start wirklich ruhig, sagt das threat thermometer **ruhig**, die Advisory-Liste zeigt eine einzelne, klar gekennzeichnete synthetische Übung, und der öffentliche Feed ist leer. Das ist keine unfertige Seite — es ist das System, das die Wahrheit sagt. Jeder andere Anbieter in diesem Bereich drapiert einen leeren Feed mit Theater. Wir nicht.

[Advisory-Liste ansehen →](/trust/advisories)·[Threat-Feed prüfen →](/trust/iocs)

Aktuell

## Aktuelle Advisories

Advisories werden geladen…

[Alle Advisories anzeigen →](/trust/advisories)

Die Landschaft

## Jedes andere Tool sichert den Prompt. AEGIS sichert den Agenten — und das Netz, in dem er läuft.

Die Sicherheit für KI-Agenten teilt sich in vier Kategorien. Jede erfüllt ihre Aufgabe gut, und AEGIS läuft neben jeder von ihnen. Wir haben AEGIS für die Aufgabe gebaut, die keine von ihnen erfüllt: zu beobachten, was ein Agent tatsächlich tut, und die Detektion eines Kunden zur Verteidigung aller zu machen.

### Hyperscaler-Guardrails

AWS Bedrock Guardrails · Google Model Armor

Stark bei: Konfigurierbare Inhaltsfilterung, gebündelt mit Ihrer Modellplattform — Screening auf Injection und Jailbreak, PII-Redaktion, gesperrte Themen, Grounding- und Malicious-URL-Prüfungen.

Wo es endet: Cloud-gebunden und mandantenisoliert. Sie prüfen den Prompt und die Antwort, nicht das, was der Agent dazwischen tut — und die Detektion eines Kunden wird niemals zur Verteidigung eines anderen.

### Enterprise-AI-Security-Plattformen

Palo Alto Prisma AIRS · Cisco AI Defense

Stark bei: Breite Abdeckung — Model Scanning, Posture Management, Red-Teaming und Runtime-Schutz — gestützt auf erstklassige Threat-Research-Teams.

Wo es endet: Die Runtime-Telemetrie bleibt innerhalb Ihrer eigenen Organisation. Ihre Intelligence ist anbieterkuratierte Forschung, kein lebendiges Kunde-zu-Kunde-Netz: Der erkannte Angriff eines Kunden wird nicht signiert und an jeden anderen Kunden ausgerollt.

### Inline-Detektoren & Guardrail-Frameworks

Lakera Guard · NVIDIA NeMo Guardrails

Stark bei: Schnelle, präzise Verteidigung auf der Konversationsebene — verwaltete Prompt-Injection-Erkennung, die aus Millionen von crowdsourcten Angriffen lernt, und quelloffene, programmierbare Rails, die Sie in Ihre App einbetten.

Wo es endet: Sie wirken auf jeweils eine Konversation und verbessern ein gemeinsames Modell in einem Release-Rhythmus. Keiner von beiden verteilt eine signierte Verteidigung über ein lebendiges Netz in dem Moment, in dem ein Kunde getroffen wird.

### Edge-AI-Gateways

Cloudflare AI Gateway · AI Security for Apps

Stark bei: Erstklassige HTTP- und Edge-Verteidigung, mit einem echten mandantenübergreifenden Netzwerkeffekt — Injection- und PII-Erkennung, Rate-Limiting, Caching und Observability vor jedem Modell.

Wo es endet: Dieses Netz arbeitet auf der Web-Traffic-Ebene, gebaut für Apps und Menschen. Es reicht nicht bis zur Agenten-Entscheidungsebene — die Tool-Aufrufe, die ein Agent macht, die Tool-Ergebnisse, denen er vertraut, die Aktionen, die er ergreift.

Mnemom AEGIS

### Was nur ein mandantenübergreifendes Agentennetz leistet

-   Prüft die Agenten-Entscheidungsebene — eingehende Prompts, Tool-Aufrufe, Tool-Ergebnisse und ausgehende Aktionen, nicht nur den Text, der hinein- und hinausgeht.
-   Macht die bestätigte Detektion eines Kunden zu einer signierten Managed Rule, die sich automatisch über das Netz verbreitet.
-   Erstellt einen Fingerabdruck der Software-Lieferkette — Provider, Modell, SDK-Version, Dependency-Lockfile — sodass die Anomalie eines einzelnen Mandanten den Schutz für jeden Kunden erhöhen kann, der denselben Stack betreibt.
-   Veröffentlicht seine Threat Intelligence offen — einen STIX 2.1 Feed und signierte Advisories — statt sie in einer Anbieterdatenbank einzuschließen.

AEGIS ergänzt die Tools, die Sie bereits betreiben. Belassen Sie Bedrock- oder Model-Armor-Guardrails am Modell, Lakera oder NeMo am Prompt und Cloudflare am Edge — und betreiben Sie AEGIS als die mandantenübergreifende Schicht, die beobachtet, was Ihre Agenten tatsächlich tun.

Öffentliche SLOs

## Wozu wir uns verpflichten — mit Zahlen und mit Ehrlichkeit darüber, was gemessen ist.

Dies sind veröffentlichte Ziele. Das erste 30-Tage-Messfenster öffnet 30 Tage nach der GA; bis dahin nennen wir sie als Ziele, nicht als Ergebnisse. Wir kündigen keine Zahlen an, die wir nicht verteidigen können.

Propagationslatenz

P95 ≤ 30s

Ziel · von der signierten Promotion bis zum Laden an Ihrem Gateway

Rule-Set-Frische

P99 ≤ 5 min

Ziel · im Normalbetrieb

Verfügbarkeit

99,99 %

Ziel · gestaffeltes Failover hält den letzten funktionierenden Regelsatz am Laufen

[Vollständige SLO-Tabelle ansehen →](/trust/slos)

Loslegen

## Drei Wege hinein.

[

### Kunden-Dashboard

Ihr Live-Bedrohungsbild — aktueller Kampagnenzustand, aktive Managed Rules und Ihre effektive Enforcement-Stufe.

Dashboard öffnen →](/dashboard/threats)[

### Maschinenlesbarer Feed

curl https://api.mnemom.ai\\
  /v1/trust/iocs

STIX 2.1 Bundle abrufen →](https://api.mnemom.ai/v1/trust/iocs)[

### Mit dem Vertrieb sprechen

Gehen Sie mit uns die Architektur, die SLO-Zusagen, das EU AI Act Mapping und die Bedeutung von Self-Hosting für Ihre Compliance-Posture durch.

Kontakt aufnehmen →](/contact)

---
_Source: /de/protection-network/index.html · Generated by build-markdown-mirrors.mjs · For agent-readability commitment #4 see https://www.mnemom.ai/for-agents/_
