# Protection Network — Red defensiva inter-tenant para agentes de IA | Mnemom Protection Network · L0-L5 # La primera red defensiva inter-tenant diseñada específicamente para agentes de IA. Mnemom AEGIS — Adaptive Enforcement, Governance & Intelligence Substrate — es la red de seguridad runtime de Safe House. Filtra cada transacción de agente en cuatro checkpoints (front door, back door, inside.autonomy, inside.integrity) y enlaza el Safe House de cada cliente en un único substrato defensivo. La detección de un cliente se convierte en la defensa de cada cliente, firmada y propagada dentro de la ventana SLO. [Abrir el threat thermometer](/dashboard/threats)[Obtener el feed STIX 2.1](https://api.mnemom.ai/v1/trust/iocs)[Hablar con ventas](/contact) Arquitectura ## L0-L5 — un substrato, tres bucles de señal, cuatro checkpoints Fuente de verdad: concept.md §Three loops, one substrate. Cada capa está cableada en la GA; el estado operativo honesto se expone en vivo en el threat thermometer y el IoC feed. Source-of-truth ASCII at concept.md §“Three loops, one substrate”. Every layer of the Protection Network is wired at GA; the visual aligns with the runtime architecture in ADR-AEGIS-01 and ADR-AEGIS-02. Señal ## Tres fuentes de señal. Una sola tubería de promoción. Cada recipe que AEGIS promueve es alimentada por uno de tres bucles independientes, cada uno sellado con un writer\_identity distinto (ADR-004). La ruta de promoción es la misma; la postura de confianza difiere. ### Arena adversaria 15 personas canónicas sondean continuamente cada Safe House. La compuerta de mutation-phase (95 % de tasa de detección por bucket, ventana móvil de 48h, histéresis de 24h) conmuta la arena de descubrimiento a mutación cuando un bucket está bien cubierto. writer\_identity = arena-bypass ### Reportes FN / FP de cliente Los reportes de falsos negativos y falsos positivos fluyen desde los dashboards del cliente hacia la cola de candidatos. La contribución de cada tenant se reconoce; solo la recipe resultante se propaga a otros tenants — nunca el reporte en bruto. writer\_identity = customer-fn-report ### Agregador inter-tenant `network_campaign_state` consolida estadísticas por eje a través de todos los clientes. Patrones que ningún cliente individual puede ver — un substrato que muestra anomalías idénticas entre organizaciones — emergen aquí como candidatos. writer\_identity = internal-observation Capas ## Qué hace cada capa Cinco capas con nombre y cableadas sobre el plano de datos de recipes. El estado operativo de cada capa es observable en el threat thermometer y la trust surface. L0 · Axis identity ### Cada evaluación sellada con el substrate fingerprint de cuatro ejes Conforme a la migración 217, cada evaluación de checkpoint lleva una tupla derivada `(substrate, vertical, pattern, source)`. El substrate es provider × model × SDK@version con una cabecera lockfile-hash opcional proporcionada por el cliente. La axis identity es la clave de unión para la correlación inter-tenant y la columna vertebral de la atribución supply-chain. [Leer el brief de supply-chain →](/supply-chain) L1 · Agregador inter-tenant ### Estadísticas móviles por bucket de eje — la visión de la red `network_campaign_state` mantiene ventanas móviles de tasa de detección y tasa de bypass por bucket `(substrate × vertical × pattern × source)`. El agregador es la capa que captura campañas que ningún tenant individual puede — desviación de comportamiento a través de todos los clientes que corren sobre el mismo substrato, simultáneamente. L2 · Under-attack overlay ### Auto-elevación de la capa de composición, acotada por el techo de la organización AEGIS adopta el modelo additive-ratcheting de Cloudflare. Dos perillas de postura por organización: _postura normal_ y _techo de elevación_. Durante una campaña, el modo efectivo es `max(normal, min(threat_level, elevation_ceiling))`. Se respeta el techo del cliente. Las protecciones adicionales del lado de integridad (canaries plantados, emisión de credenciales congelada, pruebas AIP completas) operan bajo el techo porque no son cambios de postura. **Estado operativo honesto:** el overlay L2 se entregará en Phase 4 cuando se estabilice la primitiva de composición de cards. Hasta entonces, una anulación manual del operador sobre el flag de la organización cubre la misma protección sin auto-elevación. L3 · Push de Managed Rules ### Candidato de arena → revisión → promoción firmada → soak observe de 24h → enforce Cada promoción está firmada con Ed25519 mediante `RECIPE_PROMOTION_SIGNING_KEY`. KV y R2 portan cadenas de firma de envelope independientes (`RECIPE_KV_SIGNING_KEY` / `RECIPE_R2_SIGNING_KEY`) — se requieren tres rutas de compromiso independientes para envenenar el plano de reglas. Las reglas tier-3 ejecutan un soak observe de 24h antes del escalado de modo; un umbral de tasa de FP dispara un rollback automático. **El invariante de doble control:** las reglas tier-1 y tier-2 — las que efectivamente bloquearían tráfico de producción — nunca pueden auto-promoverse, sin importar el modo del revisor. La restricción es estructural (CHECK de esquema sobre `promotion_quorum_met`), no procedural. **Estado operativo honesto:** la ruta tier-3 está plenamente en vivo en la GA. La aplicación del doble control tier-1/-2 se activa el 01/06/2026 una vez aprovisionado el segundo platform-admin (la fase intermedia de operador único queda reconocida en la cadena de auditoría). L4 · Threat thermometer ### Estado en vivo por eje en /dashboard/threats Dashboard orientado al cliente que muestra el estado de campaña por eje, las Managed Rules activas y el modo de enforcement efectivo de la organización bajo cualquier overlay vigente. Si la red está en calma en la GA, el thermometer dice _calma_ — la página no inventa actividad. [Abrir el thermometer →](/dashboard/threats) L5 · IoC feed + advisories ### Feed STIX 2.1 público y advisories post-incidente firmadas Dos superficies públicas. `/v1/trust/iocs` exporta un Bundle STIX 2.1 que encaja en pipelines de threat-intel existentes. `/trust/advisories` publica registros post-incidente firmados con etiquetas explícitas sintético-versus-real. En la GA el feed puede estar vacío y la lista de advisories muestra la única semilla sintética — eso es el sistema diciendo la verdad. [Inspeccionar el IoC feed →](/trust/iocs) El calm-at-GA contract ## Si la red está genuinamente en calma, las superficies lo dicen. No fingimos actividad. De `concept.md`: si en la GA la red está genuinamente en calma, el thermometer dice calma, la lista de advisories muestra una única semilla sintética post-mortem claramente etiquetada como sintética, y el IoC feed está vacío. Eso no es un stub — es el sistema diciendo la verdad. Cualquier otro proveedor en este espacio viste un feed vacío con teatro. Mnemom no. [Ver la lista de advisories →](/trust/advisories)·[Inspeccionar el IoC feed →](/trust/iocs) Panorama ## Lo que hace — y no hace — cualquier otro proveedor de seguridad de agentes. El mercado de seguridad de IA agéntica se fragmenta en guardrails de hyperscalers, plataformas empresariales readaptadas, mono-detectores AI-nativos y proxies de inferencia en el borde. Ninguno es una red inter-tenant integrada. Fuente: AEGIS-15 positioning brief §3. Capacidad Mnemom AEGIS Cloudflare WAF AWS Shield Lakera Guard Cisco AI Defense Palo Alto Prisma AIRS Google Model Armor Red defensiva inter-tenant para agentes de IA Señal compartida entre clientes; push de Managed Rules firmado hacia cada gateway. Substrate fingerprinting (provider · model · sdk@ver · lockfile-hash) Detecta desviación de comportamiento en todos los clientes sobre el mismo substrato. Arena adversaria con mutation-phase gating 15 personas canónicas, por bucket 95 % / 48h / histéresis 24h. BD de amenazas curada por el proveedor Feedback FN / FP de cliente en tubería de promoción firmada IoC feed STIX 2.1 público Legible por máquina, envelope firmado, sin auth requerida. CMS de advisories firmado append-only Etiquetado sintético-versus-real conforme al calm-at-GA contract. Invariante de doble control en promociones Tier-1 / Tier-2 Restricción CHECK estructural, no procedural. Revisión solo del proveedor Revisión solo del proveedor Revisión solo del proveedor Revisión solo del proveedor Revisión solo del proveedor Revisión solo del proveedor Runtime de cuatro checkpoints × cuatro modos front door · back door · inside.autonomy · inside.integrity. Filtro inline único Embedding en build Plataforma agregada Filtro de contenido inline Diseñado para agentes de IA (no HTTP / no humanos) WAF de capa HTTP DDoS de red Firewall de capa prompt Guardrails en build Agregación de plataforma Filtro prompt + URL Neutral respecto al proveedor (OpenAI · Anthropic · Gemini · auto-alojado) n/d Solo AWS Solo Google Atado a hyperscaler Mnemom complementa — no reemplaza — guardrails, WAFs y evaluaciones pre-despliegue. Los clientes que usen Lakera Guard, NeMo Guardrails, Cloudflare WAF, AWS Bedrock Guardrails o Robust Intelligence pueden correr AEGIS en paralelo. AEGIS es la capa de red inter-tenant; los demás se sitúan en otro lugar del stack. SLOs públicos ## A qué nos comprometemos, con números. Fuente: ADR-AEGIS-02 §5, publicado en /trust/slos. La primera ventana de medición de 30 días se publica 30 días después de la GA. Latencia de propagación P95 ≤ 30s Promoción firmada → gateway cargado Frescura del rule-set P99 ≤ 5 min En operación normal Disponibilidad de failover 99.99% KV + R2 + isolate last-known-good [Ver la tabla SLO completa →](/trust/slos) Empezar ## Tres puertas de entrada. [ ### Dashboard del cliente El threat thermometer — estado de campañas por eje, Managed Rules activas, su postura de enforcement efectiva. /dashboard/threats →](/dashboard/threats)[ ### Feed legible por máquina curl https://api.mnemom.ai\\ /v1/trust/iocs Obtener el bundle STIX 2.1 →](https://api.mnemom.ai/v1/trust/iocs)[ ### Hablar con ventas Recorra con nosotros la arquitectura AEGIS, los compromisos SLO, el mapeo del EU AI Act y lo que significa el auto-alojamiento para su postura de cumplimiento. Contáctenos →](/contact) --- _Source: /es/protection-network/index.html · Generated by build-markdown-mirrors.mjs · For agent-readability commitment #4 see https://www.mnemom.ai/for-agents_