# Lieferketten-Erkennung — Mnemom AEGIS

Protection Network · L0-Substrat

# Die mandantenspezifische Erkennung hat versagt. Substrate Fingerprinting erfasst, was Sigstore nicht erfassen kann.

Mnemom AEGIS — das Adaptive Enforcement, Governance & Intelligence Substrate — stempelt jede Agentenauswertung mit dem Substrat, auf dem sie lief (Provider, Modell, SDK-Version, optionaler lockfile hash). Wenn der Auswertungsstrom eines Kunden eine Verhaltensabweichung zeigt, die mit einem kompromittierten Substrat übereinstimmt, sieht der mandantenübergreifende Aggregator diese gleichzeitig über alle Kunden auf diesem Substrat hinweg. Eine signierte Managed Rule landet innerhalb des Propagations-SLO auf jedes Gateway im Netzwerk.

AEGIS erkennt Verhaltenssignaturen, die mit einer Kompromittierung der Lieferkette übereinstimmen. Es ersetzt nicht die Provenienzprüfung auf Paketebene; es ist die Laufzeitschicht, die erfasst, was Sigstore nicht erfassen kann.

1 · Bedrohungsmodell

## Wie eine Kompromittierung der agentischen Lieferkette aussieht

Drei Kompromittierungsklassen liegen oberhalb der Agenten-Laufzeit und sind für die mandantenspezifische Erkennung unsichtbar, weil jeder Mandant dasselbe vergiftete Artefakt erhält.

### Schadhafter SDK-Patch

Ein Point-Release eines veröffentlichten Agenten-SDK liefert Exfiltrationslogik aus — Credential-Stealer, Prompt-Bleed oder eine bedingte Nutzlast, die durch die Form eines Tool-Calls ausgelöst wird.

### Kompromittiertes Fine-Tune

Ein weit verbreiteter Modell-Checkpoint wird durch ein Fine-Tune ersetzt oder ergänzt, das auf ein verdecktes Auslöse-Token reagiert. Sigstore bestätigt, dass die Datei die ist, die der Fine-Tuner veröffentlicht hat; das Verhalten ist die offene Frage.

### Eingebettete Prompt-Vorlage

Eine Community-Prompt-Vorlage, die über Tausende Agenten-Codebases kopiert wurde, trägt eine versteckte indirekte Injektion, die nur gegen einen bestimmten Tool-Namen oder ein bestimmtes Dokumentmuster aktiviert wird.

2 · Anker des Bedrohungsmodells

## Der Mini Shai-Hulud-Wurm — 11. Mai 2026

Am 11. Mai 2026 startete der unter TeamPCP geführte Bedrohungsakteur einen koordinierten Lieferkettenangriff gegen npm und PyPI. **170+ npm-Pakete und 2 PyPI-Pakete wurden in 404 bösartigen Versionen kompromittiert.** Die betroffene Menge entspricht exakt der Form einer agentischen Lieferkette: TanStack-Router (42 Pakete), die SDK-Suite von Mistral AI auf npm und PyPI, das Automatisierungs-Tooling von UiPath (65 Pakete), OpenSearch auf npm (1,3M wöchentliche Downloads) und — bemerkenswert — Guardrails AI auf PyPI.

Die npm-Sigstore-Attestierungen auf den kompromittierten `@tanstack/*`\-Versionen waren **gültige SLSA Build Level 3-Provenienz** — der erste dokumentierte Fall eines Wurms, der legitime signierte Attestierungen für bösartige Pakete erzeugt. Die Provenienzprüfung auf Paketebene bestätigte, dass die Artefakte aus der Build-Pipeline stammten, die sie angaben. Das taten sie. Die Build-Pipeline war der Angreifer.

Bedrohungen wie Mini Shai-Hulud entsprechen genau dem Substrate-Fingerprint-Muster, das AEGIS mandantenübergreifend erkennen soll. Mnemom hat Shai-Hulud nicht erkannt — der Vorfall liegt vor der GA von AEGIS, und der calm-at-GA contract auf [/trust/advisories](/trust/advisories) spiegelt das ehrlich wider. Der Sinn der Zitierung liegt im Bedrohungsmodell: Jeder Kunde, der auf einem kompromittierten SDK läuft, wird zum ersten Opfer jeder neuen Angriffsklasse. Das ist der Fehlermodus, gegen den AEGIS gebaut wurde.

Öffentliche Quellen

_The Hacker News_, 2026-05-12 — „Mini Shai-Hulud Worm Compromises TanStack, Mistral AI, Guardrails AI & More Packages.“

Unit 42, Palo Alto Networks — ursprüngliche Zuordnung des Shai-Hulud-Wurms, November 2025.

Sicherheitsforschung von Snyk und Wiz — unabhängige Kompromittierungsanalysen, Mai 2026.

3 · Die Primitive

## Substrate Fingerprint — Definition

Jede Auswertung, die durch die verwaltete Mnemom-Gateway läuft, wird mit einem **substrate fingerprint** versehen: dem Tupel `provider + model + sdk@ver`, plus einem optionalen, vom Kunden gesetzten `lockfile-hash`\-Header für höhere Granularität. Der Fingerprint wird zu einer von vier axis identities — Substrat, Vertikale, Muster, Quelle — auf jeder Zeile, die der mandantenübergreifende Aggregator liest. (Siehe [/protection-network](/protection-network) für die L0-L5-Schichtung; siehe Migration 217 für die Form der Datenebene.)

Substrate Fingerprint, schematisch

{
  "provider": "anthropic",
  "model":    "claude-sonnet-4.7",
  "sdk":      "@anthropic-ai/sdk@0.41.2",
  "lockfile\_hash": "sha256:9f3b...",   // optional, customer-supplied
  "fingerprint":   "sub\_a4f1c8e7..."   // stable hash of the tuple
}

4 · Das mandantenübergreifende Signal

## Der Substrat-Achsen-Aggregator

Der Auswertungsstrom eines einzelnen Kunden kann isoliert unauffällig wirken. Über alle Kunden hinweg, die auf demselben Substrate Fingerprint laufen, lässt dieselbe Verhaltensabweichung die rollenden Statistiken des L1-Aggregators aufleuchten. AEGIS schreibt die Anomalie dem Substrat zu, hebt den Bucket automatisch innerhalb der vom Kunden konfigurierten Obergrenze an (gemäß dem under-attack additiven Ratcheting-Modell), und eine signierte Managed Rule landet mit **P95 ≤ 30 Sekunden** von der signierten Promotion bis zum Gateway-Laden auf jedes Gateway. (Siehe [/trust/slos](/trust/slos).)

Der Aggregator sieht Muster, die kein einzelner Kunde sehen kann. Drei unabhängige Kunden mit demselben Substrate Fingerprint erzeugen ein Signal, das der L1-Worker zuordnen kann; eine signierte Managed Rule wird an jedes Gateway auf diesem Substrat verteilt.

5 · Opt-in-Granularität

## Der lockfile-hash-Header

Der Basis-Substrate-Fingerprint (`provider + model + sdk@ver`) wird standardmäßig mit jedem Gateway-Aufruf gesendet. Für höhere Granularität senden Sie bei jeder Anfrage einen `X-Mnemom-Lockfile-Hash`\-Header: den SHA-256 Ihres aufgelösten Dependency-Manifests. AEGIS verwendet nur den Hex-Digest — das Roh-Lockfile verlässt niemals Ihre Umgebung.

Mit dem lockfile-hash kann der Aggregator Anomalien nicht nur _„Kunden, die diesen Provider + Modell + SDK ausführen“_, sondern _„Kunden, die genau diesen aufgelösten Dependency-Baum ausführen“_ zuordnen. Diese Granularität ist es, die einen schadhaften SDK-Patch erkennt, bevor der Rest des Substrats ihn sieht.

Form der Anfrage

\# Opt into substrate-fingerprint granularity by sending the lockfile-hash
# header on every gateway request. The hash is computed over your
# resolved dependency manifest (package-lock.json, pnpm-lock.yaml,
# poetry.lock, requirements.txt) and never leaves your environment in
# raw form — only the hex digest reaches AEGIS.

curl https://gateway.mnemom.ai/v1/messages \\
  -H "X-Mnemom-Api-Key: $MNEMOM\_KEY" \\
  -H "X-Mnemom-Lockfile-Hash: sha256:9f3b…" \\
  -H "Content-Type: application/json" \\
  -d @payload.json

6 · OWASP-Mapping

## ASI06 · Agentic Supply Chain Compromise

Die OWASP Foundation veröffentlichte die **OWASP Top 10 for Agentic Applications** im Dezember 2025 — die erste formelle, peer-review-geprüfte Taxonomie von Risiken, die für autonome KI-Agenten spezifisch sind (ASI01 bis ASI10). Die Kategorie **ASI06 — Agentic Supply Chain Compromise** deckt die Bedrohungsklasse dieser Seite ab: ein vergiftetes Upstream-Artefakt erreicht intakt die Agenten-Laufzeit.

Der Substrate Fingerprint von AEGIS ist die Laufzeitkontrolle für ASI06. Während der Rest der agentischen KI-Sicherheitskategorie ASI06 über Paket-Provenienz zur Build-Zeit oder Dependency-Scans vor dem Deployment adressiert, fügt AEGIS die mandantenübergreifende Laufzeit-Erkennungsschicht hinzu, die eine Kompromittierung erfasst, nachdem das Artefakt ausgeliefert wurde und sobald das Verhalten von der Baseline des Substrats abweicht.

7 · Die strukturelle Lücke

## Warum Cloudflare WAF, AWS Shield und Lakera Guard das nicht leisten können

Substrat-zugeordnete mandantenübergreifende Erkennung ist nichts, was die aktuelle KI-Sicherheitskategorie nachträglich integrieren kann. Die Gründe sind architektonisch, nicht Produkt-Roadmap-bedingt.

### Cloudflare WAF · AWS Shield

HTTP-Schicht. Sie schützen Webanwendungen vor Web-Angreifern. Sie haben keinerlei Konzept davon, _welche Modellversion diesen Token-Stream erzeugt hat_ — das Substrat ist auf L7 unsichtbar.

### Lakera Guard · NeMo Guardrails

Einzelner Detektor zur Laufzeit. Sie bewerten den Prompt einer Anfrage gegen eine kuratierte Bedrohungsdatenbank. Sie aggregieren nicht mandantenübergreifend, weil sie kein mandantenübergreifendes Netzwerk haben — sie werden als In-Process-Bibliotheken oder als Per-Mandanten-Proxys ausgeliefert.

### Cisco AI Defense · Palo Alto Prisma AIRS

Policy-Einbettung zur Build-Zeit. Sie konsolidieren KI-Sicherheitsprimitive auf SDK- und Gateway-Ebene innerhalb der Tenancy eines einzelnen Kunden. Keine signierte Managed Rule fließt von der Erkennung bei Kunde A zur Gateway von Kunde B — es gibt kein gemeinsames Netzwerk.

Mnemom ergänzt diese Werkzeuge. Kunden, die Lakera Guard, NeMo Guardrails, Cloudflare WAF, AWS Bedrock Guardrails oder Cisco AI Defense einsetzen, können AEGIS parallel betreiben; der Substrate Fingerprint ist das Netzwerksignal, das nichts anderes in der Kategorie produziert.

8 · Maschinen-Oberfläche

## Der Substrate-Fingerprint-IoC-Feed

Substrate-Fingerprint-Indikatoren erscheinen im öffentlichen STIX 2.1-IoC-Feed unter dem Filter `type=substrate_fingerprint`. Bei GA ist der Feed bewusst leer — der calm-at-GA contract auf [/trust/iocs](/trust/iocs) spiegelt das wider. Indikatoren werden veröffentlicht, wenn AEGIS eine Kampagne schließt und ein signierter Advisory auf [/trust/advisories](/trust/advisories) ausgeliefert wird.

curl + jq

\# Subscribe to the substrate-fingerprint slice of the public IoC feed.
# STIX 2.1 Bundle; empty by design at GA per the calm-at-GA contract.

curl -sS 'https://api.mnemom.ai/v1/trust/iocs?type=substrate\_fingerprint' \\
  | jq '.objects\[\] | select(.type=="indicator")'

9 · Nächste Schritte

## Wohin von hier

### Kunden-Dashboard

Eine dedizierte Sicht auf Lieferketten-Risiken im Kunden-Dashboard ist auf Phase 4 verschoben. Bis dahin zeigt der L4-Threat-Thermometer auf [/dashboard/threats](/dashboard/threats) den Zustand der Substrat-Achse zusammen mit den anderen drei Achsen. Wir werden den Auslöser für die Aufhebung der Verschiebung auf [/changelog](/changelog) benennen.

### IoC-Feed abonnieren

Ziehen Sie den Substrate-Fingerprint-Slice in Ihre bestehende Threat-Intel-Pipeline. STIX 2.1-Bundle; keine Authentifizierung erforderlich.

[/v1/trust/iocs?type=substrate\_fingerprint](https://api.mnemom.ai/v1/trust/iocs?type=substrate_fingerprint)

### lockfile-hash aktivieren

Header-Format, welche Granularität hinzukommt und die Datenschutzimplikationen. Der Header wird mit jedem Gateway-Aufruf mitgesendet, sobald Sie ihn übertragen.

[lockfile-hash-Leitfaden](https://docs.mnemom.ai/guides/lockfile-hash-opt-in)

AEGIS erkennt Verhaltenssignaturen, die mit einer Kompromittierung der Lieferkette übereinstimmen — über alle Kunden hinweg, die auf demselben Substrat laufen, simultan. Es ersetzt nicht die Provenienzprüfung auf Paketebene (Sigstore, SLSA, SBOM-Attestierungen); es ist die Laufzeitschicht, die erfasst, was diese nicht erfassen können.

Bedrohungsmodell-Verweise auf dieser Seite beziehen sich auf öffentliche Berichte von The Hacker News (2026-05-12), Unit 42 / Palo Alto Networks (November 2025 + Mai 2026), Snyk und Wiz. OWASP Top 10 for Agentic Applications (ASI01–ASI10) wurde im Dezember 2025 von der OWASP Foundation veröffentlicht.

---
_Source: /de/supply-chain/index.html · Generated by build-markdown-mirrors.mjs · For agent-readability commitment #4 see https://www.mnemom.ai/for-agents_