Protection Network

La primera red de defensa entre clientes diseñada específicamente para agentes de IA.

Mnemom AEGIS es la red de seguridad en tiempo de ejecución que está detrás de Safe House. Inspecciona cada transacción del agente —los prompts que entran, las llamadas a herramientas y los resultados de herramientas intermedios, y las acciones que salen— en cuatro checkpoints: front door, back door, inside.autonomy e inside.integrity. Y conecta a todos los clientes en una sola defensa: cuando AEGIS detecta un nuevo ataque contra cualquier agente de la red, la protección se firma y se despliega para todos.

Arquitectura

Una red. Tres fuentes de señal. Cuatro checkpoints.

Tres fuentes independientes alimentan una única pipeline. Las detecciones confirmadas se revisan, se firman y se envían a cada gateway, donde se aplican en cuatro checkpoints. Lo que está activo hoy se muestra con honestidad: en el threat thermometer y en el feed público.

AEGIS Protection Network — L0-L5 data flowCross-tenant defensive network architecture. Layer L0: every check is fingerprinted by the agent's software supply chain — its provider, model, SDK version, and dependency lockfile. Three signal sources feed one review queue: continuous adversarial testing by fifteen attacker personas; customer reports of missed attacks and false alarms; and cross-tenant patterns rolled up across every customer. The agent's supply-chain fingerprint feeds the cross-tenant view as an extra dimension. Candidates move to a signed promotion step where Ed25519 signatures apply and the highest-impact rules require two-person review. Promotion ships through two independent, separately-signed delivery paths. The gateway loads the rules and checks every transaction at four checkpoints: front door, back door, inside.autonomy, and inside.integrity. Layer L2 is an under-attack overlay that automatically raises enforcement during a campaign, never past the customer's ceiling. Outputs surface to the L4 threat thermometer at /dashboard/threats; the L5 IoC feed at /v1/trust/iocs in STIX 2.1; and signed L5 advisories at /trust/advisories.THREE SIGNAL SOURCES · ONE PIPELINESIGNED PROPAGATION · P95 ≤ 30S TARGETPUBLIC SURFACES · L4 + L5L0 · IDENTITYEvery check fingerprinted by the agent's supply chainprovider · model · SDK version · dependency lockfileSIGNAL · TESTINGAdversarial testing15 attacker personas · around the clockSIGNAL · CUSTOMERCustomer reportsMissed attacks & false alarms, from the dashboardSIGNAL · NETWORK (L1)Cross-tenant patternsRolling patterns across every customerSUPPLY CHAINSubstrate fingerprintprovider · model · SDK · lockfileREVIEW QUEUEReview queueEvery candidate reviewed before it can promoteL3 · MANAGED RULESSigned promotion · Ed25519High-impact rules require two-person reviewDELIVERY · PRIMARYPrimary path (signed)Independent signing chainDELIVERY · BACKUPBackup path (signed)Independent signing chainGATEWAY · RUNTIMEGateway checks every transaction at four checkpointsfront door · back door · inside.autonomy · inside.integrityL4 · VISIBILITYThreat thermometer/dashboard/threats · your live threat pictureL5 · FEEDIoC feed/v1/trust/iocs · STIX 2.1 bundleL5 · TRANSPARENCYAdvisories/trust/advisories · signed post-incident recordsL2 · UNDER ATTACKUnder-attack overlayAuto-elevation, capped at ceiling
How a detection becomes a defense: three signal sources feed one review queue, confirmed rules are signed and propagated through two independent paths, and the gateway enforces them at four checkpoints — surfacing to the threat thermometer, the public feed, and signed advisories.
Señal

Tres fuentes de señal. Una pipeline.

Cada protección que AEGIS despliega proviene de una de tres fuentes independientes. El camino hasta la promoción es el mismo; lo que cambia es de dónde nace la señal.

Pruebas adversarias

Un red team permanente de quince personas atacantes sondea cada Safe House de forma continua, las 24 horas, sacando a la luz nuevos bypasses antes de que lleguen a un cliente.

Informes de clientes

Cuando un cliente señala desde su panel un ataque no detectado o una falsa alarma, este entra en la cola de revisión. Su aportación se reconoce, pero solo se comparte con los demás clientes la protección resultante, nunca el informe original.

Patrones entre clientes

AEGIS agrega señales anonimizadas de todos los clientes. Aquí afloran los patrones que ningún cliente podría ver por sí solo: la misma anomalía apareciendo en muchas organizaciones a la vez.

Capas

Qué hace cada capa

Seis capas, desde la huella en cada comprobación hasta el feed público que cualquiera puede auditar. Lo que está activo hoy es observable en el threat thermometer y en la trust surface.

L0 · Identidad

Cada comprobación lleva la huella de la cadena de suministro de software del agente

Cada evaluación lleva el substrate fingerprint del agente —su proveedor, modelo, versión del SDK y lockfile de dependencias— junto con el tipo de ataque y su procedencia. Esa huella es lo que permite a AEGIS conectar el mismo ataque entre todos los clientes que corren sobre el mismo stack.

Leer el informe de cadena de suministro
L1 · Red

Patrones móviles a través de todos los clientes

AEGIS sigue las tasas de detección y de bypass para cada combinación de cadena de suministro, caso de uso y tipo de ataque. Esta es la capa que detecta las campañas coordinadas que ningún cliente puede ver por sí solo: el mismo comportamiento desviándose en muchos clientes del mismo stack, al mismo tiempo.

L2 · Bajo ataque

Elevación automática durante una campaña activa, limitada por su techo

AEGIS adopta el modelo de Cloudflare para situaciones de ataque. Usted define dos niveles por organización: su postura normal y un techo que marca hasta dónde puede elevar AEGIS por su cuenta. Durante una campaña, AEGIS sube la aplicación hacia ese techo, y nunca por encima de él.

Su techo se respeta siempre. Las protecciones adicionales del lado de la integridad —plantar canarios, pausar la emisión de nuevas credenciales, ejecutar pruebas de integridad completas— actúan por debajo de él, porque refuerzan la verificación sin cambiar su postura de aplicación.

Estado honesto: la elevación automática se entrega poco después de la GA. Hasta entonces, un operador eleva a mano la misma protección: la defensa es idéntica; solo el disparador es manual.
L3 · Managed Rules

De candidata a aplicada: revisada, firmada y probada en reposo

Cada protección se firma criptográficamente (Ed25519) antes de distribuirse, y viaja a través de dos rutas de entrega independientes y firmadas por separado — de modo que corromper las reglas que llegan a su gateway implicaría romper más de una a la vez. Las nuevas reglas se ejecutan en modo observe-only durante 24 horas antes de poder escalar; si las falsas alarmas aumentan, un operador las revierte — la reversión automática llegará poco después de la GA.

Revisión a cuatro ojos, impuesta por el sistema. Las reglas con poder suficiente para actuar sobre el tráfico en producción nunca pueden ser promocionadas por una sola persona: el requisito está integrado en la plataforma, no dejado al proceso.

Estado honesto: la ruta probada en reposo está plenamente activa en la GA. La promoción a cuatro ojos para las reglas de mayor impacto está operativa; durante el breve periodo de transición, hasta que el segundo aprobador esté completamente aprovisionado, cada promoción queda registrada en la cadena de auditoría.
L4 · Visibilidad

Su panorama de amenazas en vivo

Un panel para clientes que muestra el estado de campaña actual en todo su stack, las Managed Rules activas en este momento y su nivel de aplicación efectivo bajo cualquier elevación. Si la red está en calma, el panel dice calma: nunca fabricamos actividad.

Abrir el thermometer
L5 · Transparencia

Feed de amenazas público y advisories firmados

Dos superficies públicas. Un feed STIX 2.1 que se integra directamente en su pipeline de inteligencia de amenazas, y advisories de postincidente firmados que etiquetan con claridad qué fue una campaña real y qué fue un ejercicio sintético. En el lanzamiento, el feed puede estar vacío y la lista de advisories mostrar una única semilla sintética claramente etiquetada: eso es el sistema diciendo la verdad, no un marcador de posición.

Inspeccionar el feed de amenazas
El calm-at-GA contract

Si la red está genuinamente en calma, nuestras superficies lo dicen. No fingimos actividad.

Esta es nuestra promesa: si la red está genuinamente tranquila en el lanzamiento, el threat thermometer dice calma, la lista de advisories muestra un único ejercicio sintético claramente etiquetado y el feed público está vacío. Eso no es una página sin terminar: es el sistema diciendo la verdad. Cualquier otro proveedor de este espacio disfraza un feed vacío con teatro. Nosotros no.

En vivo

Advisories recientes

Cargando advisories…

El panorama

Cualquier otra herramienta protege el prompt. AEGIS protege al agente, y a la red en la que corre.

La seguridad para agentes de IA se está dividiendo en cuatro categorías. Cada una hace bien su trabajo, y AEGIS funciona junto a cualquiera de ellas. Creamos AEGIS para el trabajo que ninguna hace: observar lo que un agente realmente hace y convertir la detección de un cliente en la defensa de todos.

Guardrails de hiperescaladores

AWS Bedrock Guardrails · Google Model Armor

Fuerte en: Filtrado de contenido configurable incluido en su plataforma de modelos: detección de injection y jailbreak, redacción de PII, temas vetados y comprobaciones de grounding y de URLs maliciosas.

Dónde se detiene: Atados a la nube y de un solo cliente. Revisan el prompt y la respuesta, no lo que el agente hace en medio, y la detección de un cliente nunca se convierte en la defensa de otro.

Plataformas empresariales de seguridad de IA

Palo Alto Prisma AIRS · Cisco AI Defense

Fuerte en: Cobertura amplia —escaneo de modelos, gestión de postura, red-teaming y protección en tiempo de ejecución— respaldada por equipos de investigación de amenazas de primer nivel.

Dónde se detiene: La telemetría en tiempo de ejecución se queda dentro de su propia organización. Su inteligencia es investigación curada por el proveedor, no una red viva de cliente a cliente: el ataque detectado por un cliente no se firma ni se envía a todos los demás clientes.

Detectores en línea y frameworks de guardrails

Lakera Guard · NVIDIA NeMo Guardrails

Fuerte en: Defensa rápida y precisa en la capa de conversación: detección de prompt injection gestionada que aprende de millones de ataques colaborativos, y rails programables de código abierto que usted integra en su aplicación.

Dónde se detiene: Actúan sobre una conversación cada vez y mejoran un modelo compartido con cadencia de versiones. Ninguno propaga una defensa firmada por una red viva en el momento en que un cliente es atacado.

Gateways de IA en el edge

Cloudflare AI Gateway · AI Security for Apps

Fuerte en: Defensa HTTP y de edge de primer nivel, con un auténtico efecto de red entre clientes: detección de injection y de PII, rate-limiting, caching y observabilidad por delante de cualquier modelo.

Dónde se detiene: Esa red opera en la capa del tráfico web, pensada para aplicaciones y personas. No llega a la capa de decisión del agente: las llamadas a herramientas que hace un agente, los resultados de herramientas en los que confía, las acciones que emprende.

Mnemom AEGIS

Lo que solo hace una red de agentes entre clientes

  • Inspecciona la capa de decisión del agente: prompts entrantes, llamadas a herramientas, resultados de herramientas y acciones salientes, no solo el texto que entra y sale.
  • Convierte la detección confirmada de un cliente en una Managed Rule firmada que se propaga automáticamente por toda la red.
  • Toma la huella de la cadena de suministro de software — proveedor, modelo, versión del SDK, lockfile de dependencias — de modo que la anomalía de un único inquilino puede elevar la protección para cada cliente que ejecute la misma pila.
  • Publica su inteligencia de amenazas en abierto —un feed STIX 2.1 y advisories firmados— en lugar de encerrarla en una base de datos del proveedor.

AEGIS complementa las herramientas que ya utiliza. Mantenga los guardrails de Bedrock o Model Armor en el modelo, Lakera o NeMo en el prompt y Cloudflare en el edge, y ejecute AEGIS como la capa entre clientes que observa lo que sus agentes realmente hacen.

SLOs públicos

A qué nos comprometemos: con números y con honestidad sobre lo que está medido.

Estos son objetivos publicados. La primera ventana de medición de 30 días se abre 30 días después de la GA; hasta entonces los presentamos como objetivos, no como resultados. No anunciamos cifras que no podamos defender.

Latencia de propagación
P95 ≤ 30s
Objetivo · desde la promoción firmada hasta que se carga en su gateway
Frescura del conjunto de reglas
P99 ≤ 5 min
Objetivo · en operación normal
Disponibilidad
99,99 %
Objetivo · un failover por capas mantiene sirviendo el último conjunto de reglas válido
Empezar

Tres formas de entrar.

Featured on There's An AI For That