# Detección de la cadena de suministro — Mnemom AEGIS

Protection Network · substrato L0

# La detección por tenant ha fallado. El substrate fingerprinting capta lo que Sigstore no puede captar.

Mnemom AEGIS — el Adaptive Enforcement, Governance & Intelligence Substrate — estampa cada evaluación de agente con el substrato sobre el que se ejecutó (proveedor, modelo, versión del SDK, lockfile hash opcional). Cuando el flujo de evaluación de un cliente muestra una desviación de comportamiento compatible con un substrato comprometido, el agregador entre tenants la observa en todos los clientes de ese substrato, simultáneamente. Una Managed Rule firmada llega a cada gateway de la red dentro del SLO de propagación.

AEGIS detecta firmas de comportamiento compatibles con una compromisión de la cadena de suministro. No sustituye la verificación de procedencia a nivel de paquete; es la capa de ejecución que capta lo que Sigstore no puede captar.

1 · Modelo de amenaza

## Qué aspecto tiene una compromisión de la cadena de suministro agéntica

Tres clases de compromisión se sitúan aguas arriba del runtime del agente, invisibles para la detección por tenant porque cada tenant recibe el mismo artefacto envenenado.

### Parche SDK malicioso

Una versión puntual de un SDK de agente publicado incluye lógica de exfiltración — credential-stealer, prompt-bleed o una carga útil condicional activada por la forma de una tool-call.

### Fine-tune comprometido

Un checkpoint de modelo muy utilizado es sustituido o ampliado con un fine-tune que responde a un token desencadenante encubierto. Sigstore afirma que el archivo es el que publicó el fine-tuner; lo que está en cuestión es el comportamiento.

### Plantilla de prompt incrustada

Una plantilla de prompt comunitaria, copiada en miles de codebases de agentes, transporta una inyección indirecta oculta que solo se activa contra un nombre de herramienta o un patrón de documento concretos.

2 · Anclaje del modelo de amenaza

## El gusano Mini Shai-Hulud — 11 de mayo de 2026

El 11 de mayo de 2026, el actor de amenazas rastreado como TeamPCP lanzó un ataque coordinado a la cadena de suministro contra npm y PyPI. **170+ paquetes npm y 2 paquetes PyPI fueron comprometidos en 404 versiones maliciosas.** El conjunto afectado tiene exactamente la forma de una cadena de suministro agéntica: el router TanStack (42 paquetes), la suite SDK de Mistral AI tanto en npm como en PyPI, las herramientas de automatización de UiPath (65 paquetes), OpenSearch en npm (1,3M de descargas semanales) y — de modo especialmente relevante — Guardrails AI en PyPI.

Las atestaciones npm Sigstore sobre las versiones `@tanstack/*` comprometidas eran **procedencia SLSA Build Level 3 válida** — el primer caso documentado de un gusano que produce atestaciones firmadas legítimas para paquetes maliciosos. La verificación de procedencia a nivel de paquete confirmó que los artefactos provenían del pipeline de build que declaraban. Y así era. El pipeline de build era el atacante.

Amenazas como Mini Shai-Hulud corresponden exactamente al patrón substrate-fingerprint que AEGIS está diseñado para detectar entre tenants. Mnemom no detectó Shai-Hulud — el incidente es anterior a la GA de AEGIS, y el calm-at-GA contract en [/trust/advisories](/trust/advisories) lo refleja con honestidad. El sentido de citarlo es el modelo de amenaza: cada cliente que se ejecuta sobre un SDK comprometido se convierte en la primera víctima de cada nueva clase de ataque. Ese es precisamente el modo de fallo contra el que se construyó AEGIS.

Referencias públicas

_The Hacker News_, 2026-05-12 — «Mini Shai-Hulud Worm Compromises TanStack, Mistral AI, Guardrails AI & More Packages».

Unit 42, Palo Alto Networks — atribución original del gusano Shai-Hulud, noviembre de 2025.

Investigación de seguridad de Snyk y Wiz — análisis independientes de la compromisión, mayo de 2026.

3 · La primitiva

## Substrate fingerprint — definición

Cada evaluación que pasa por el gateway gestionado de Mnemom queda estampada con un **substrate fingerprint**: la tupla `provider + model + sdk@ver`, más una cabecera `lockfile-hash` opcional fijada por el cliente para una granularidad superior. El fingerprint se convierte en una de las cuatro axis identities — substrato, vertical, patrón, fuente — en cada fila que lee el agregador entre tenants. (Véase [/protection-network](/protection-network) para la estratificación L0-L5; véase la migración 217 para la forma del data plane.)

Substrate fingerprint, esquemático

{
  "provider": "anthropic",
  "model":    "claude-sonnet-4.7",
  "sdk":      "@anthropic-ai/sdk@0.41.2",
  "lockfile\_hash": "sha256:9f3b...",   // optional, customer-supplied
  "fingerprint":   "sub\_a4f1c8e7..."   // stable hash of the tuple
}

4 · La señal entre tenants

## El agregador de eje substrato

El flujo de evaluación de un solo cliente puede parecer irrelevante de manera aislada. En todos los clientes que se ejecutan sobre el mismo substrate fingerprint, la misma desviación de comportamiento enciende las estadísticas rodantes del agregador L1. AEGIS atribuye la anomalía al substrato, eleva automáticamente el bucket dentro del techo configurado por el cliente (según el modelo under-attack de ratcheting aditivo) y una Managed Rule firmada llega a cada gateway con **P95 ≤ 30 segundos** desde la promoción firmada hasta la carga en la gateway. (Véase [/trust/slos](/trust/slos).)

El agregador ve patrones que ningún cliente aislado puede ver. Tres clientes independientes con el mismo substrate fingerprint producen una señal que el worker L1 puede atribuir; una Managed Rule firmada se distribuye a cada gateway sobre ese substrato.

5 · Granularidad opt-in

## La cabecera lockfile-hash

El substrate fingerprint base (`provider + model + sdk@ver`) se envía por defecto con cada llamada a la gateway. Para una granularidad superior, envíe una cabecera `X-Mnemom-Lockfile-Hash` en cada petición: el SHA-256 de su manifiesto de dependencias resuelto. AEGIS usa solo el digest hexadecimal — el lockfile en bruto no abandona nunca su entorno.

Con el lockfile-hash presente, el agregador puede atribuir las anomalías no solo a los _«clientes que ejecutan este provider + model + SDK»_, sino a los _«clientes que ejecutan exactamente este árbol de dependencias resuelto»_. Es esa granularidad la que capta el parche SDK malicioso antes de que el resto del substrato lo vea.

Forma de la petición

\# Opt into substrate-fingerprint granularity by sending the lockfile-hash
# header on every gateway request. The hash is computed over your
# resolved dependency manifest (package-lock.json, pnpm-lock.yaml,
# poetry.lock, requirements.txt) and never leaves your environment in
# raw form — only the hex digest reaches AEGIS.

curl https://gateway.mnemom.ai/v1/messages \\
  -H "X-Mnemom-Api-Key: $MNEMOM\_KEY" \\
  -H "X-Mnemom-Lockfile-Hash: sha256:9f3b…" \\
  -H "Content-Type: application/json" \\
  -d @payload.json

6 · Mapeo OWASP

## ASI06 · Agentic Supply Chain Compromise

La OWASP Foundation publicó el **OWASP Top 10 for Agentic Applications** en diciembre de 2025 — la primera taxonomía formal revisada por pares de los riesgos específicos de los agentes de IA autónomos (de ASI01 a ASI10). La categoría **ASI06 — Agentic Supply Chain Compromise** cubre la clase de amenaza de esta página: un artefacto aguas arriba envenenado que alcanza intacto el runtime del agente.

El substrate fingerprint de AEGIS es el control de runtime para ASI06. Donde el resto de la categoría de seguridad de IA agéntica aborda ASI06 mediante la procedencia de paquetes en build o escaneos de dependencias previos al despliegue, AEGIS añade la capa de detección de runtime entre tenants que capta una compromisión después de que el artefacto se haya distribuido, cuando el comportamiento diverge de la baseline del substrato.

7 · La brecha estructural

## Por qué Cloudflare WAF, AWS Shield y Lakera Guard no pueden hacer esto

La detección entre tenants atribuida al substrato no es algo que la categoría actual de seguridad de IA pueda adaptar a posteriori. Las razones son arquitectónicas, no de roadmap de producto.

### Cloudflare WAF · AWS Shield

Capa HTTP. Protegen aplicaciones web frente a atacantes web. No tienen ningún concepto de _qué versión de modelo produjo este flujo de tokens_ — el substrato es invisible en L7.

### Lakera Guard · NeMo Guardrails

Detector único en runtime. Evalúan el prompt de una petición frente a una base de amenazas curada. No agregan entre tenants porque no tienen una red entre tenants — se distribuyen como bibliotecas in-process o como proxies por tenant.

### Cisco AI Defense · Palo Alto Prisma AIRS

Incrustación de política en build. Consolidan las primitivas de seguridad de IA a nivel de SDK y gateway dentro de la tenancy de un solo cliente. Ninguna Managed Rule firmada fluye desde la detección del cliente A hacia la gateway del cliente B — no hay red compartida.

Mnemom complementa estas herramientas. Los clientes que ejecutan Lakera Guard, NeMo Guardrails, Cloudflare WAF, AWS Bedrock Guardrails o Cisco AI Defense pueden ejecutar AEGIS en paralelo; el substrate fingerprint es la señal de red que nada más en la categoría produce.

8 · Superficie máquina

## El feed IoC substrate-fingerprint

Los indicadores substrate-fingerprint aparecen en el feed IoC público STIX 2.1 bajo el filtro `type=substrate_fingerprint`. En GA el feed está vacío por diseño — el calm-at-GA contract en [/trust/iocs](/trust/iocs) lo refleja. Los indicadores se publican cuando AEGIS cierra una campaña y se distribuye un advisory firmado en [/trust/advisories](/trust/advisories).

curl + jq

\# Subscribe to the substrate-fingerprint slice of the public IoC feed.
# STIX 2.1 Bundle; empty by design at GA per the calm-at-GA contract.

curl -sS 'https://api.mnemom.ai/v1/trust/iocs?type=substrate\_fingerprint' \\
  | jq '.objects\[\] | select(.type=="indicator")'

9 · Próximos pasos

## Hacia dónde ir desde aquí

### Panel del cliente

Una vista dedicada al riesgo de la cadena de suministro dentro del panel del cliente queda pospuesta a la Phase 4. Hasta entonces, el threat thermometer L4 en [/dashboard/threats](/dashboard/threats) muestra el estado del eje substrato junto a los otros tres ejes. Nombraremos el disparador para des-posponerlo en [/changelog](/changelog).

### Suscribirse al feed IoC

Incorpore la porción substrate-fingerprint a su pipeline existente de threat-intel. Bundle STIX 2.1; no se requiere autenticación.

[/v1/trust/iocs?type=substrate\_fingerprint](https://api.mnemom.ai/v1/trust/iocs?type=substrate_fingerprint)

### Activar el lockfile-hash

Formato de la cabecera, qué granularidad añade y las implicaciones de privacidad. La cabecera viaja con cada llamada a la gateway una vez que usted comience a enviarla.

[Guía del lockfile-hash](https://docs.mnemom.ai/guides/lockfile-hash-opt-in)

AEGIS detecta firmas de comportamiento compatibles con una compromisión de la cadena de suministro — en todos los clientes que se ejecutan sobre el mismo substrato, simultáneamente. No sustituye la verificación de procedencia a nivel de paquete (Sigstore, SLSA, atestaciones SBOM); es la capa de ejecución que capta lo que estas no pueden captar.

Las citas del modelo de amenaza en esta página remiten a publicaciones públicas de The Hacker News (2026-05-12), Unit 42 / Palo Alto Networks (noviembre de 2025 + mayo de 2026), Snyk y Wiz. El OWASP Top 10 for Agentic Applications (ASI01–ASI10) fue publicado por la OWASP Foundation en diciembre de 2025.

---
_Source: /es/supply-chain/index.html · Generated by build-markdown-mirrors.mjs · For agent-readability commitment #4 see https://www.mnemom.ai/for-agents_