Mnemom AEGIS — Adaptive Enforcement, Governance & Intelligence Substrate — es la red de seguridad runtime de Safe House. Filtra cada transacción de agente en cuatro checkpoints (front door, back door, inside.autonomy, inside.integrity) y enlaza el Safe House de cada cliente en un único substrato defensivo. La detección de un cliente se convierte en la defensa de cada cliente, firmada y propagada dentro de la ventana SLO.
Fuente de verdad: concept.md §Three loops, one substrate. Cada capa está cableada en la GA; el estado operativo honesto se expone en vivo en el threat thermometer y el IoC feed.
Cada recipe que AEGIS promueve es alimentada por uno de tres bucles independientes, cada uno sellado con un writer_identity distinto (ADR-004). La ruta de promoción es la misma; la postura de confianza difiere.
15 personas canónicas sondean continuamente cada Safe House. La compuerta de mutation-phase (95 % de tasa de detección por bucket, ventana móvil de 48h, histéresis de 24h) conmuta la arena de descubrimiento a mutación cuando un bucket está bien cubierto.
writer_identity = arena-bypass
Los reportes de falsos negativos y falsos positivos fluyen desde los dashboards del cliente hacia la cola de candidatos. La contribución de cada tenant se reconoce; solo la recipe resultante se propaga a otros tenants — nunca el reporte en bruto.
writer_identity = customer-fn-report
network_campaign_state consolida estadísticas por eje a través de todos los clientes. Patrones que ningún cliente individual puede ver — un substrato que muestra anomalías idénticas entre organizaciones — emergen aquí como candidatos.
writer_identity = internal-observation
Cinco capas con nombre y cableadas sobre el plano de datos de recipes. El estado operativo de cada capa es observable en el threat thermometer y la trust surface.
Conforme a la migración 217, cada evaluación de checkpoint lleva una tupla derivada (substrate, vertical, pattern, source). El substrate es provider × model × SDK@version con una cabecera lockfile-hash opcional proporcionada por el cliente. La axis identity es la clave de unión para la correlación inter-tenant y la columna vertebral de la atribución supply-chain.
network_campaign_state mantiene ventanas móviles de tasa de detección y tasa de bypass por bucket (substrate × vertical × pattern × source). El agregador es la capa que captura campañas que ningún tenant individual puede — desviación de comportamiento a través de todos los clientes que corren sobre el mismo substrato, simultáneamente.
AEGIS adopta el modelo additive-ratcheting de Cloudflare. Dos perillas de postura por organización: postura normal y techo de elevación. Durante una campaña, el modo efectivo es max(normal, min(threat_level, elevation_ceiling)).
Se respeta el techo del cliente. Las protecciones adicionales del lado de integridad (canaries plantados, emisión de credenciales congelada, pruebas AIP completas) operan bajo el techo porque no son cambios de postura.
Cada promoción está firmada con Ed25519 mediante RECIPE_PROMOTION_SIGNING_KEY. KV y R2 portan cadenas de firma de envelope independientes (RECIPE_KV_SIGNING_KEY / RECIPE_R2_SIGNING_KEY) — se requieren tres rutas de compromiso independientes para envenenar el plano de reglas. Las reglas tier-3 ejecutan un soak observe de 24h antes del escalado de modo; un umbral de tasa de FP dispara un rollback automático.
El invariante de doble control: las reglas tier-1 y tier-2 — las que efectivamente bloquearían tráfico de producción — nunca pueden auto-promoverse, sin importar el modo del revisor. La restricción es estructural (CHECK de esquema sobre promotion_quorum_met), no procedural.
Dashboard orientado al cliente que muestra el estado de campaña por eje, las Managed Rules activas y el modo de enforcement efectivo de la organización bajo cualquier overlay vigente. Si la red está en calma en la GA, el thermometer dice calma — la página no inventa actividad.
Dos superficies públicas. /v1/trust/iocs exporta un Bundle STIX 2.1 que encaja en pipelines de threat-intel existentes. /trust/advisories publica registros post-incidente firmados con etiquetas explícitas sintético-versus-real. En la GA el feed puede estar vacío y la lista de advisories muestra la única semilla sintética — eso es el sistema diciendo la verdad.
De concept.md: si en la GA la red está genuinamente en calma, el thermometer dice calma, la lista de advisories muestra una única semilla sintética post-mortem claramente etiquetada como sintética, y el IoC feed está vacío. Eso no es un stub — es el sistema diciendo la verdad. Cualquier otro proveedor en este espacio viste un feed vacío con teatro. Mnemom no.
El mercado de seguridad de IA agéntica se fragmenta en guardrails de hyperscalers, plataformas empresariales readaptadas, mono-detectores AI-nativos y proxies de inferencia en el borde. Ninguno es una red inter-tenant integrada. Fuente: AEGIS-15 positioning brief §3.
| Capacidad | Mnemom AEGIS | Cloudflare WAF | AWS Shield | Lakera Guard | Cisco AI Defense | Palo Alto Prisma AIRS | Google Model Armor |
|---|---|---|---|---|---|---|---|
Red defensiva inter-tenant para agentes de IA Señal compartida entre clientes; push de Managed Rules firmado hacia cada gateway. | |||||||
Substrate fingerprinting (provider · model · sdk@ver · lockfile-hash) Detecta desviación de comportamiento en todos los clientes sobre el mismo substrato. | |||||||
Arena adversaria con mutation-phase gating 15 personas canónicas, por bucket 95 % / 48h / histéresis 24h. | BD de amenazas curada por el proveedor | ||||||
Feedback FN / FP de cliente en tubería de promoción firmada | |||||||
IoC feed STIX 2.1 público Legible por máquina, envelope firmado, sin auth requerida. | |||||||
CMS de advisories firmado append-only Etiquetado sintético-versus-real conforme al calm-at-GA contract. | |||||||
Invariante de doble control en promociones Tier-1 / Tier-2 Restricción CHECK estructural, no procedural. | Revisión solo del proveedor | Revisión solo del proveedor | Revisión solo del proveedor | Revisión solo del proveedor | Revisión solo del proveedor | Revisión solo del proveedor | |
Runtime de cuatro checkpoints × cuatro modos front door · back door · inside.autonomy · inside.integrity. | Filtro inline único | Embedding en build | Plataforma agregada | Filtro de contenido inline | |||
Diseñado para agentes de IA (no HTTP / no humanos) | WAF de capa HTTP | DDoS de red | Firewall de capa prompt | Guardrails en build | Agregación de plataforma | Filtro prompt + URL | |
Neutral respecto al proveedor (OpenAI · Anthropic · Gemini · auto-alojado) | n/d | Solo AWS | Solo Google | ||||
Atado a hyperscaler |
Mnemom complementa — no reemplaza — guardrails, WAFs y evaluaciones pre-despliegue. Los clientes que usen Lakera Guard, NeMo Guardrails, Cloudflare WAF, AWS Bedrock Guardrails o Robust Intelligence pueden correr AEGIS en paralelo. AEGIS es la capa de red inter-tenant; los demás se sitúan en otro lugar del stack.
Fuente: ADR-AEGIS-02 §5, publicado en /trust/slos. La primera ventana de medición de 30 días se publica 30 días después de la GA.
El threat thermometer — estado de campañas por eje, Managed Rules activas, su postura de enforcement efectiva.
/dashboard/threats →curl https://api.mnemom.ai\ /v1/trust/iocsObtener el bundle STIX 2.1 →
Recorra con nosotros la arquitectura AEGIS, los compromisos SLO, el mapeo del EU AI Act y lo que significa el auto-alojamiento para su postura de cumplimiento.
Contáctenos →