Protection Network · L0-Substrat

    Die mandantenspezifische Erkennung hat versagt. Substrate Fingerprinting erfasst, was Sigstore nicht erfassen kann.

    Mnemom AEGIS — das Adaptive Enforcement, Governance & Intelligence Substrate — stempelt jede Agentenauswertung mit dem Substrat, auf dem sie lief (Provider, Modell, SDK-Version, optionaler lockfile hash). Wenn der Auswertungsstrom eines Kunden eine Verhaltensabweichung zeigt, die mit einem kompromittierten Substrat übereinstimmt, sieht der mandantenübergreifende Aggregator diese gleichzeitig über alle Kunden auf diesem Substrat hinweg. Eine signierte Managed Rule landet innerhalb des Propagations-SLO auf jedes Gateway im Netzwerk.

    AEGIS erkennt Verhaltenssignaturen, die mit einer Kompromittierung der Lieferkette übereinstimmen. Es ersetzt nicht die Provenienzprüfung auf Paketebene; es ist die Laufzeitschicht, die erfasst, was Sigstore nicht erfassen kann.

    1 · Bedrohungsmodell

    Wie eine Kompromittierung der agentischen Lieferkette aussieht

    Drei Kompromittierungsklassen liegen oberhalb der Agenten-Laufzeit und sind für die mandantenspezifische Erkennung unsichtbar, weil jeder Mandant dasselbe vergiftete Artefakt erhält.

    Schadhafter SDK-Patch

    Ein Point-Release eines veröffentlichten Agenten-SDK liefert Exfiltrationslogik aus — Credential-Stealer, Prompt-Bleed oder eine bedingte Nutzlast, die durch die Form eines Tool-Calls ausgelöst wird.

    Kompromittiertes Fine-Tune

    Ein weit verbreiteter Modell-Checkpoint wird durch ein Fine-Tune ersetzt oder ergänzt, das auf ein verdecktes Auslöse-Token reagiert. Sigstore bestätigt, dass die Datei die ist, die der Fine-Tuner veröffentlicht hat; das Verhalten ist die offene Frage.

    Eingebettete Prompt-Vorlage

    Eine Community-Prompt-Vorlage, die über Tausende Agenten-Codebases kopiert wurde, trägt eine versteckte indirekte Injektion, die nur gegen einen bestimmten Tool-Namen oder ein bestimmtes Dokumentmuster aktiviert wird.

    2 · Anker des Bedrohungsmodells

    Der Mini Shai-Hulud-Wurm — 11. Mai 2026

    Am 11. Mai 2026 startete der unter TeamPCP geführte Bedrohungsakteur einen koordinierten Lieferkettenangriff gegen npm und PyPI. 170+ npm-Pakete und 2 PyPI-Pakete wurden in 404 bösartigen Versionen kompromittiert. Die betroffene Menge entspricht exakt der Form einer agentischen Lieferkette: TanStack-Router (42 Pakete), die SDK-Suite von Mistral AI auf npm und PyPI, das Automatisierungs-Tooling von UiPath (65 Pakete), OpenSearch auf npm (1,3M wöchentliche Downloads) und — bemerkenswert — Guardrails AI auf PyPI.

    Die npm-Sigstore-Attestierungen auf den kompromittierten @tanstack/*-Versionen waren gültige SLSA Build Level 3-Provenienz — der erste dokumentierte Fall eines Wurms, der legitime signierte Attestierungen für bösartige Pakete erzeugt. Die Provenienzprüfung auf Paketebene bestätigte, dass die Artefakte aus der Build-Pipeline stammten, die sie angaben. Das taten sie. Die Build-Pipeline war der Angreifer.

    Bedrohungen wie Mini Shai-Hulud entsprechen genau dem Substrate-Fingerprint-Muster, das AEGIS mandantenübergreifend erkennen soll. Mnemom hat Shai-Hulud nicht erkannt — der Vorfall liegt vor der GA von AEGIS, und der calm-at-GA contract auf /trust/advisories spiegelt das ehrlich wider. Der Sinn der Zitierung liegt im Bedrohungsmodell: Jeder Kunde, der auf einem kompromittierten SDK läuft, wird zum ersten Opfer jeder neuen Angriffsklasse. Das ist der Fehlermodus, gegen den AEGIS gebaut wurde.

    Öffentliche Quellen

    The Hacker News, 2026-05-12 — „Mini Shai-Hulud Worm Compromises TanStack, Mistral AI, Guardrails AI & More Packages.“

    Unit 42, Palo Alto Networks — ursprüngliche Zuordnung des Shai-Hulud-Wurms, November 2025.

    Sicherheitsforschung von Snyk und Wiz — unabhängige Kompromittierungsanalysen, Mai 2026.

    3 · Die Primitive

    Substrate Fingerprint — Definition

    Jede Auswertung, die durch die verwaltete Mnemom-Gateway läuft, wird mit einem substrate fingerprint versehen: dem Tupel provider + model + sdk@ver, plus einem optionalen, vom Kunden gesetzten lockfile-hash-Header für höhere Granularität. Der Fingerprint wird zu einer von vier axis identities — Substrat, Vertikale, Muster, Quelle — auf jeder Zeile, die der mandantenübergreifende Aggregator liest. (Siehe /protection-network für die L0-L5-Schichtung; siehe Migration 217 für die Form der Datenebene.)

    Substrate Fingerprint, schematisch
    {
  "provider": "anthropic",
  "model":    "claude-sonnet-4.7",
  "sdk":      "@anthropic-ai/[email protected]",
  "lockfile_hash": "sha256:9f3b...",   // optional, customer-supplied
  "fingerprint":   "sub_a4f1c8e7..."   // stable hash of the tuple
}
    4 · Das mandantenübergreifende Signal

    Der Substrat-Achsen-Aggregator

    Der Auswertungsstrom eines einzelnen Kunden kann isoliert unauffällig wirken. Über alle Kunden hinweg, die auf demselben Substrate Fingerprint laufen, lässt dieselbe Verhaltensabweichung die rollenden Statistiken des L1-Aggregators aufleuchten. AEGIS schreibt die Anomalie dem Substrat zu, hebt den Bucket automatisch innerhalb der vom Kunden konfigurierten Obergrenze an (gemäß dem under-attack additiven Ratcheting-Modell), und eine signierte Managed Rule landet mit P95 ≤ 30 Sekunden von der signierten Promotion bis zum Gateway-Laden auf jedes Gateway. (Siehe /trust/slos.)

    KundenauswertungenKunde Asub_a4f1c8e7Kunde Bsub_a4f1c8e7Kunde Csub_a4f1c8e7L0 · Substrat-Stempelprovider · model · sdk+ optionaler lockfile-hashMigration 217L1 · Aggregatorrollende Stats proAchsen-Bucketnetwork_campaign_stateL3 · ManagedRuleEd25519-signiertP95 ≤ 30sJede Gateway im Netzwerk — A, B, C und jeder andere Mandant auf diesem Substrat
    Der Aggregator sieht Muster, die kein einzelner Kunde sehen kann. Drei unabhängige Kunden mit demselben Substrate Fingerprint erzeugen ein Signal, das der L1-Worker zuordnen kann; eine signierte Managed Rule wird an jedes Gateway auf diesem Substrat verteilt.
    5 · Opt-in-Granularität

    Der lockfile-hash-Header

    Der Basis-Substrate-Fingerprint (provider + model + sdk@ver) wird standardmäßig mit jedem Gateway-Aufruf gesendet. Für höhere Granularität senden Sie bei jeder Anfrage einen X-Mnemom-Lockfile-Hash-Header: den SHA-256 Ihres aufgelösten Dependency-Manifests. AEGIS verwendet nur den Hex-Digest — das Roh-Lockfile verlässt niemals Ihre Umgebung.

    Mit dem lockfile-hash kann der Aggregator Anomalien nicht nur „Kunden, die diesen Provider + Modell + SDK ausführen“, sondern „Kunden, die genau diesen aufgelösten Dependency-Baum ausführen“ zuordnen. Diese Granularität ist es, die einen schadhaften SDK-Patch erkennt, bevor der Rest des Substrats ihn sieht.

    Form der Anfrage
    # Opt into substrate-fingerprint granularity by sending the lockfile-hash
# header on every gateway request. The hash is computed over your
# resolved dependency manifest (package-lock.json, pnpm-lock.yaml,
# poetry.lock, requirements.txt) and never leaves your environment in
# raw form — only the hex digest reaches AEGIS.

curl https://gateway.mnemom.ai/v1/messages \
  -H "X-Mnemom-Api-Key: $MNEMOM_KEY" \
  -H "X-Mnemom-Lockfile-Hash: sha256:9f3b…" \
  -H "Content-Type: application/json" \
  -d @payload.json
    6 · OWASP-Mapping

    ASI06 · Agentic Supply Chain Compromise

    Die OWASP Foundation veröffentlichte die OWASP Top 10 for Agentic Applications im Dezember 2025 — die erste formelle, peer-review-geprüfte Taxonomie von Risiken, die für autonome KI-Agenten spezifisch sind (ASI01 bis ASI10). Die Kategorie ASI06 — Agentic Supply Chain Compromise deckt die Bedrohungsklasse dieser Seite ab: ein vergiftetes Upstream-Artefakt erreicht intakt die Agenten-Laufzeit.

    Der Substrate Fingerprint von AEGIS ist die Laufzeitkontrolle für ASI06. Während der Rest der agentischen KI-Sicherheitskategorie ASI06 über Paket-Provenienz zur Build-Zeit oder Dependency-Scans vor dem Deployment adressiert, fügt AEGIS die mandantenübergreifende Laufzeit-Erkennungsschicht hinzu, die eine Kompromittierung erfasst, nachdem das Artefakt ausgeliefert wurde und sobald das Verhalten von der Baseline des Substrats abweicht.

    7 · Die strukturelle Lücke

    Warum Cloudflare WAF, AWS Shield und Lakera Guard das nicht leisten können

    Substrat-zugeordnete mandantenübergreifende Erkennung ist nichts, was die aktuelle KI-Sicherheitskategorie nachträglich integrieren kann. Die Gründe sind architektonisch, nicht Produkt-Roadmap-bedingt.

    Cloudflare WAF · AWS Shield

    HTTP-Schicht. Sie schützen Webanwendungen vor Web-Angreifern. Sie haben keinerlei Konzept davon, welche Modellversion diesen Token-Stream erzeugt hat — das Substrat ist auf L7 unsichtbar.

    Lakera Guard · NeMo Guardrails

    Einzelner Detektor zur Laufzeit. Sie bewerten den Prompt einer Anfrage gegen eine kuratierte Bedrohungsdatenbank. Sie aggregieren nicht mandantenübergreifend, weil sie kein mandantenübergreifendes Netzwerk haben — sie werden als In-Process-Bibliotheken oder als Per-Mandanten-Proxys ausgeliefert.

    Cisco AI Defense · Palo Alto Prisma AIRS

    Policy-Einbettung zur Build-Zeit. Sie konsolidieren KI-Sicherheitsprimitive auf SDK- und Gateway-Ebene innerhalb der Tenancy eines einzelnen Kunden. Keine signierte Managed Rule fließt von der Erkennung bei Kunde A zur Gateway von Kunde B — es gibt kein gemeinsames Netzwerk.

    Mnemom ergänzt diese Werkzeuge. Kunden, die Lakera Guard, NeMo Guardrails, Cloudflare WAF, AWS Bedrock Guardrails oder Cisco AI Defense einsetzen, können AEGIS parallel betreiben; der Substrate Fingerprint ist das Netzwerksignal, das nichts anderes in der Kategorie produziert.

    8 · Maschinen-Oberfläche

    Der Substrate-Fingerprint-IoC-Feed

    Substrate-Fingerprint-Indikatoren erscheinen im öffentlichen STIX 2.1-IoC-Feed unter dem Filter type=substrate_fingerprint. Bei GA ist der Feed bewusst leer — der calm-at-GA contract auf /trust/iocs spiegelt das wider. Indikatoren werden veröffentlicht, wenn AEGIS eine Kampagne schließt und ein signierter Advisory auf /trust/advisories ausgeliefert wird.

    curl + jq
    # Subscribe to the substrate-fingerprint slice of the public IoC feed.
# STIX 2.1 Bundle; empty by design at GA per the calm-at-GA contract.

curl -sS 'https://api.mnemom.ai/v1/trust/iocs?type=substrate_fingerprint' \
  | jq '.objects[] | select(.type=="indicator")'
    9 · Nächste Schritte

    Wohin von hier

    Kunden-Dashboard

    Eine dedizierte Sicht auf Lieferketten-Risiken im Kunden-Dashboard ist auf Phase 4 verschoben. Bis dahin zeigt der L4-Threat-Thermometer auf /dashboard/threats den Zustand der Substrat-Achse zusammen mit den anderen drei Achsen. Wir werden den Auslöser für die Aufhebung der Verschiebung auf /changelog benennen.

    lockfile-hash aktivieren

    Header-Format, welche Granularität hinzukommt und die Datenschutzimplikationen. Der Header wird mit jedem Gateway-Aufruf mitgesendet, sobald Sie ihn übertragen.

    lockfile-hash-Leitfaden

    AEGIS erkennt Verhaltenssignaturen, die mit einer Kompromittierung der Lieferkette übereinstimmen — über alle Kunden hinweg, die auf demselben Substrat laufen, simultan. Es ersetzt nicht die Provenienzprüfung auf Paketebene (Sigstore, SLSA, SBOM-Attestierungen); es ist die Laufzeitschicht, die erfasst, was diese nicht erfassen können.

    Bedrohungsmodell-Verweise auf dieser Seite beziehen sich auf öffentliche Berichte von The Hacker News (2026-05-12), Unit 42 / Palo Alto Networks (November 2025 + Mai 2026), Snyk und Wiz. OWASP Top 10 for Agentic Applications (ASI01–ASI10) wurde im Dezember 2025 von der OWASP Foundation veröffentlicht.

    Featured on There's An AI For That