Protection Network · substrato L0

    La detección por tenant ha fallado. El substrate fingerprinting capta lo que Sigstore no puede captar.

    Mnemom AEGIS — el Adaptive Enforcement, Governance & Intelligence Substrate — estampa cada evaluación de agente con el substrato sobre el que se ejecutó (proveedor, modelo, versión del SDK, lockfile hash opcional). Cuando el flujo de evaluación de un cliente muestra una desviación de comportamiento compatible con un substrato comprometido, el agregador entre tenants la observa en todos los clientes de ese substrato, simultáneamente. Una Managed Rule firmada llega a cada gateway de la red dentro del SLO de propagación.

    AEGIS detecta firmas de comportamiento compatibles con una compromisión de la cadena de suministro. No sustituye la verificación de procedencia a nivel de paquete; es la capa de ejecución que capta lo que Sigstore no puede captar.

    1 · Modelo de amenaza

    Qué aspecto tiene una compromisión de la cadena de suministro agéntica

    Tres clases de compromisión se sitúan aguas arriba del runtime del agente, invisibles para la detección por tenant porque cada tenant recibe el mismo artefacto envenenado.

    Parche SDK malicioso

    Una versión puntual de un SDK de agente publicado incluye lógica de exfiltración — credential-stealer, prompt-bleed o una carga útil condicional activada por la forma de una tool-call.

    Fine-tune comprometido

    Un checkpoint de modelo muy utilizado es sustituido o ampliado con un fine-tune que responde a un token desencadenante encubierto. Sigstore afirma que el archivo es el que publicó el fine-tuner; lo que está en cuestión es el comportamiento.

    Plantilla de prompt incrustada

    Una plantilla de prompt comunitaria, copiada en miles de codebases de agentes, transporta una inyección indirecta oculta que solo se activa contra un nombre de herramienta o un patrón de documento concretos.

    2 · Anclaje del modelo de amenaza

    El gusano Mini Shai-Hulud — 11 de mayo de 2026

    El 11 de mayo de 2026, el actor de amenazas rastreado como TeamPCP lanzó un ataque coordinado a la cadena de suministro contra npm y PyPI. 170+ paquetes npm y 2 paquetes PyPI fueron comprometidos en 404 versiones maliciosas. El conjunto afectado tiene exactamente la forma de una cadena de suministro agéntica: el router TanStack (42 paquetes), la suite SDK de Mistral AI tanto en npm como en PyPI, las herramientas de automatización de UiPath (65 paquetes), OpenSearch en npm (1,3M de descargas semanales) y — de modo especialmente relevante — Guardrails AI en PyPI.

    Las atestaciones npm Sigstore sobre las versiones @tanstack/* comprometidas eran procedencia SLSA Build Level 3 válida — el primer caso documentado de un gusano que produce atestaciones firmadas legítimas para paquetes maliciosos. La verificación de procedencia a nivel de paquete confirmó que los artefactos provenían del pipeline de build que declaraban. Y así era. El pipeline de build era el atacante.

    Amenazas como Mini Shai-Hulud corresponden exactamente al patrón substrate-fingerprint que AEGIS está diseñado para detectar entre tenants. Mnemom no detectó Shai-Hulud — el incidente es anterior a la GA de AEGIS, y el calm-at-GA contract en /trust/advisories lo refleja con honestidad. El sentido de citarlo es el modelo de amenaza: cada cliente que se ejecuta sobre un SDK comprometido se convierte en la primera víctima de cada nueva clase de ataque. Ese es precisamente el modo de fallo contra el que se construyó AEGIS.

    Referencias públicas

    The Hacker News, 2026-05-12 — «Mini Shai-Hulud Worm Compromises TanStack, Mistral AI, Guardrails AI & More Packages».

    Unit 42, Palo Alto Networks — atribución original del gusano Shai-Hulud, noviembre de 2025.

    Investigación de seguridad de Snyk y Wiz — análisis independientes de la compromisión, mayo de 2026.

    3 · La primitiva

    Substrate fingerprint — definición

    Cada evaluación que pasa por el gateway gestionado de Mnemom queda estampada con un substrate fingerprint: la tupla provider + model + sdk@ver, más una cabecera lockfile-hash opcional fijada por el cliente para una granularidad superior. El fingerprint se convierte en una de las cuatro axis identities — substrato, vertical, patrón, fuente — en cada fila que lee el agregador entre tenants. (Véase /protection-network para la estratificación L0-L5; véase la migración 217 para la forma del data plane.)

    Substrate fingerprint, esquemático
    {
  "provider": "anthropic",
  "model":    "claude-sonnet-4.7",
  "sdk":      "@anthropic-ai/[email protected]",
  "lockfile_hash": "sha256:9f3b...",   // optional, customer-supplied
  "fingerprint":   "sub_a4f1c8e7..."   // stable hash of the tuple
}
    4 · La señal entre tenants

    El agregador de eje substrato

    El flujo de evaluación de un solo cliente puede parecer irrelevante de manera aislada. En todos los clientes que se ejecutan sobre el mismo substrate fingerprint, la misma desviación de comportamiento enciende las estadísticas rodantes del agregador L1. AEGIS atribuye la anomalía al substrato, eleva automáticamente el bucket dentro del techo configurado por el cliente (según el modelo under-attack de ratcheting aditivo) y una Managed Rule firmada llega a cada gateway con P95 ≤ 30 segundos desde la promoción firmada hasta la carga en la gateway. (Véase /trust/slos.)

    Evaluaciones de clientesCliente Asub_a4f1c8e7Cliente Bsub_a4f1c8e7Cliente Csub_a4f1c8e7L0 · Sello de substratoprovider · model · sdk+ lockfile-hash opcionalmigración 217L1 · Agregadorstats rodantes poraxis-bucketnetwork_campaign_stateL3 · ManagedRuleFirmada Ed25519P95 ≤ 30sCada gateway de la red — A, B, C y cualquier otro tenant sobre este substrato
    El agregador ve patrones que ningún cliente aislado puede ver. Tres clientes independientes con el mismo substrate fingerprint producen una señal que el worker L1 puede atribuir; una Managed Rule firmada se distribuye a cada gateway sobre ese substrato.
    5 · Granularidad opt-in

    La cabecera lockfile-hash

    El substrate fingerprint base (provider + model + sdk@ver) se envía por defecto con cada llamada a la gateway. Para una granularidad superior, envíe una cabecera X-Mnemom-Lockfile-Hash en cada petición: el SHA-256 de su manifiesto de dependencias resuelto. AEGIS usa solo el digest hexadecimal — el lockfile en bruto no abandona nunca su entorno.

    Con el lockfile-hash presente, el agregador puede atribuir las anomalías no solo a los «clientes que ejecutan este provider + model + SDK», sino a los «clientes que ejecutan exactamente este árbol de dependencias resuelto». Es esa granularidad la que capta el parche SDK malicioso antes de que el resto del substrato lo vea.

    Forma de la petición
    # Opt into substrate-fingerprint granularity by sending the lockfile-hash
# header on every gateway request. The hash is computed over your
# resolved dependency manifest (package-lock.json, pnpm-lock.yaml,
# poetry.lock, requirements.txt) and never leaves your environment in
# raw form — only the hex digest reaches AEGIS.

curl https://gateway.mnemom.ai/v1/messages \
  -H "X-Mnemom-Api-Key: $MNEMOM_KEY" \
  -H "X-Mnemom-Lockfile-Hash: sha256:9f3b…" \
  -H "Content-Type: application/json" \
  -d @payload.json
    6 · Mapeo OWASP

    ASI06 · Agentic Supply Chain Compromise

    La OWASP Foundation publicó el OWASP Top 10 for Agentic Applications en diciembre de 2025 — la primera taxonomía formal revisada por pares de los riesgos específicos de los agentes de IA autónomos (de ASI01 a ASI10). La categoría ASI06 — Agentic Supply Chain Compromise cubre la clase de amenaza de esta página: un artefacto aguas arriba envenenado que alcanza intacto el runtime del agente.

    El substrate fingerprint de AEGIS es el control de runtime para ASI06. Donde el resto de la categoría de seguridad de IA agéntica aborda ASI06 mediante la procedencia de paquetes en build o escaneos de dependencias previos al despliegue, AEGIS añade la capa de detección de runtime entre tenants que capta una compromisión después de que el artefacto se haya distribuido, cuando el comportamiento diverge de la baseline del substrato.

    7 · La brecha estructural

    Por qué Cloudflare WAF, AWS Shield y Lakera Guard no pueden hacer esto

    La detección entre tenants atribuida al substrato no es algo que la categoría actual de seguridad de IA pueda adaptar a posteriori. Las razones son arquitectónicas, no de roadmap de producto.

    Cloudflare WAF · AWS Shield

    Capa HTTP. Protegen aplicaciones web frente a atacantes web. No tienen ningún concepto de qué versión de modelo produjo este flujo de tokens — el substrato es invisible en L7.

    Lakera Guard · NeMo Guardrails

    Detector único en runtime. Evalúan el prompt de una petición frente a una base de amenazas curada. No agregan entre tenants porque no tienen una red entre tenants — se distribuyen como bibliotecas in-process o como proxies por tenant.

    Cisco AI Defense · Palo Alto Prisma AIRS

    Incrustación de política en build. Consolidan las primitivas de seguridad de IA a nivel de SDK y gateway dentro de la tenancy de un solo cliente. Ninguna Managed Rule firmada fluye desde la detección del cliente A hacia la gateway del cliente B — no hay red compartida.

    Mnemom complementa estas herramientas. Los clientes que ejecutan Lakera Guard, NeMo Guardrails, Cloudflare WAF, AWS Bedrock Guardrails o Cisco AI Defense pueden ejecutar AEGIS en paralelo; el substrate fingerprint es la señal de red que nada más en la categoría produce.

    8 · Superficie máquina

    El feed IoC substrate-fingerprint

    Los indicadores substrate-fingerprint aparecen en el feed IoC público STIX 2.1 bajo el filtro type=substrate_fingerprint. En GA el feed está vacío por diseño — el calm-at-GA contract en /trust/iocs lo refleja. Los indicadores se publican cuando AEGIS cierra una campaña y se distribuye un advisory firmado en /trust/advisories.

    curl + jq
    # Subscribe to the substrate-fingerprint slice of the public IoC feed.
# STIX 2.1 Bundle; empty by design at GA per the calm-at-GA contract.

curl -sS 'https://api.mnemom.ai/v1/trust/iocs?type=substrate_fingerprint' \
  | jq '.objects[] | select(.type=="indicator")'
    9 · Próximos pasos

    Hacia dónde ir desde aquí

    Panel del cliente

    Una vista dedicada al riesgo de la cadena de suministro dentro del panel del cliente queda pospuesta a la Phase 4. Hasta entonces, el threat thermometer L4 en /dashboard/threats muestra el estado del eje substrato junto a los otros tres ejes. Nombraremos el disparador para des-posponerlo en /changelog.

    Activar el lockfile-hash

    Formato de la cabecera, qué granularidad añade y las implicaciones de privacidad. La cabecera viaja con cada llamada a la gateway una vez que usted comience a enviarla.

    Guía del lockfile-hash

    AEGIS detecta firmas de comportamiento compatibles con una compromisión de la cadena de suministro — en todos los clientes que se ejecutan sobre el mismo substrato, simultáneamente. No sustituye la verificación de procedencia a nivel de paquete (Sigstore, SLSA, atestaciones SBOM); es la capa de ejecución que capta lo que estas no pueden captar.

    Las citas del modelo de amenaza en esta página remiten a publicaciones públicas de The Hacker News (2026-05-12), Unit 42 / Palo Alto Networks (noviembre de 2025 + mayo de 2026), Snyk y Wiz. El OWASP Top 10 for Agentic Applications (ASI01–ASI10) fue publicado por la OWASP Foundation en diciembre de 2025.

    Featured on There's An AI For That