Protection Network · substrato L0

La detección por tenant ha fallado. El substrate fingerprinting capta lo que Sigstore no puede captar.

Mnemom AEGIS — el Adaptive Enforcement, Governance & Intelligence Substrate — estampa cada evaluación de agente con el substrato sobre el que se ejecutó (proveedor, modelo, versión del SDK, lockfile hash opcional). Cuando el flujo de evaluación de un cliente muestra una desviación de comportamiento compatible con un substrato comprometido, el agregador entre tenants la observa en todos los clientes de ese substrato, simultáneamente. Una Managed Rule firmada llega a cada gateway de la red dentro del SLO de propagación.

AEGIS detecta firmas de comportamiento compatibles con una compromisión de la cadena de suministro. No sustituye la verificación de procedencia a nivel de paquete; es la capa de ejecución que capta lo que Sigstore no puede captar.

1 · Modelo de amenaza

Qué aspecto tiene una compromisión de la cadena de suministro agéntica

Tres clases de compromisión se sitúan aguas arriba del runtime del agente, invisibles para la detección por tenant porque cada tenant recibe el mismo artefacto envenenado.

Parche SDK malicioso

Una versión puntual de un SDK de agente publicado incluye lógica de exfiltración — credential-stealer, prompt-bleed o una carga útil condicional activada por la forma de una tool-call.

Fine-tune comprometido

Un checkpoint de modelo muy utilizado es sustituido o ampliado con un fine-tune que responde a un token desencadenante encubierto. Sigstore afirma que el archivo es el que publicó el fine-tuner; lo que está en cuestión es el comportamiento.

Plantilla de prompt incrustada

Una plantilla de prompt comunitaria, copiada en miles de codebases de agentes, transporta una inyección indirecta oculta que solo se activa contra un nombre de herramienta o un patrón de documento concretos.

2 · Anclaje del modelo de amenaza

El gusano Mini Shai-Hulud — 11 de mayo de 2026

El 11 de mayo de 2026, el actor de amenazas rastreado como TeamPCP lanzó un ataque coordinado a la cadena de suministro contra npm y PyPI. 170+ paquetes npm y 2 paquetes PyPI fueron comprometidos en 404 versiones maliciosas. El conjunto afectado tiene exactamente la forma de una cadena de suministro agéntica: el router TanStack (42 paquetes), la suite SDK de Mistral AI tanto en npm como en PyPI, las herramientas de automatización de UiPath (65 paquetes), OpenSearch en npm (1,3M de descargas semanales) y — de modo especialmente relevante — Guardrails AI en PyPI.

Las atestaciones npm Sigstore sobre las versiones @tanstack/* comprometidas eran procedencia SLSA Build Level 3 válida — el primer caso documentado de un gusano que produce atestaciones firmadas legítimas para paquetes maliciosos. La verificación de procedencia a nivel de paquete confirmó que los artefactos provenían del pipeline de build que declaraban. Y así era. El pipeline de build era el atacante.

Amenazas como Mini Shai-Hulud corresponden exactamente al patrón substrate-fingerprint que AEGIS está diseñado para detectar entre tenants. Mnemom no detectó Shai-Hulud — el incidente es anterior a la GA de AEGIS, y el calm-at-GA contract en /trust/advisories lo refleja con honestidad. El sentido de citarlo es el modelo de amenaza: cada cliente que se ejecuta sobre un SDK comprometido se convierte en la primera víctima de cada nueva clase de ataque. Ese es precisamente el modo de fallo contra el que se construyó AEGIS.

Referencias públicas

The Hacker News, 2026-05-12 — «Mini Shai-Hulud Worm Compromises TanStack, Mistral AI, Guardrails AI & More Packages».

Unit 42, Palo Alto Networks — atribución original del gusano Shai-Hulud, noviembre de 2025.

Investigación de seguridad de Snyk y Wiz — análisis independientes de la compromisión, mayo de 2026.

3 · La primitiva

Substrate fingerprint — definición

Cada evaluación que pasa por el gateway gestionado de Mnemom queda estampada con un substrate fingerprint: la tupla provider + model + SDK version, más una cabecera lockfile-hash opcional fijada por el cliente para una granularidad superior. El fingerprint se convierte en una de las cuatro axis identities — substrato, vertical, patrón, fuente — en cada fila que lee el agregador entre tenants. (Véase /protection-network para entender cómo encajan las capas L0-L5.)

Substrate fingerprint, esquemático
{
  "provider": "anthropic",
  "model":    "claude-sonnet-4.7",
  "sdk":      "@anthropic-ai/[email protected]",
  "lockfile_hash": "sha256:9f3b...",   // optional, customer-supplied
  "fingerprint":   "sub_a4f1c8e7..."   // stable hash of the tuple
}
4 · La señal entre tenants

El agregador de eje substrato

El flujo de evaluación de un cliente puede parecer poco destacable de forma aislada. A través de cada cliente que se ejecuta sobre la misma substrate fingerprint, la misma desviación de comportamiento se ilumina en las estadísticas móviles del agregador L1. AEGIS atribuye la anomalía al substrate, eleva el bucket dentro del techo configurado por el cliente (según el modelo de ratcheting aditivo bajo ataque) y una Managed Rule firmada se propaga a cada gateway — apuntando a P95 ≤ 30 segundos desde la promoción firmada hasta la carga en el gateway (un objetivo; las primeras mediciones se publican 30 días después de la GA). (Véase /trust/slos.)

Evaluaciones de clientesCliente Asub_a4f1c8e7Cliente Bsub_a4f1c8e7Cliente Csub_a4f1c8e7L0 · Sello de substratoprovider · model · sdk+ lockfile-hash opcionaldigest SHA-256L1 · Agregadorstats rodantes poreje substratoestado de campañaL3 · ManagedRuleFirmada Ed25519P95 ≤ 30sCada gateway de la red — A, B, C y cualquier otro tenant sobre este substrato
El agregador ve patrones que ningún cliente aislado puede ver. Tres clientes independientes con el mismo substrate fingerprint producen una señal que el worker L1 puede atribuir; una Managed Rule firmada se distribuye a cada gateway sobre ese substrato.
5 · Granularidad opt-in

La cabecera X-Mnemom-Lockfile-Hash

El substrate fingerprint base (provider + model + SDK version) se envía por defecto con cada llamada al gateway. Para una granularidad superior, envíe una cabecera X-Mnemom-Lockfile-Hash en cada petición: el SHA-256 de su manifiesto de dependencias resuelto. AEGIS usa solo el digest hexadecimal — el lockfile en bruto no abandona nunca su entorno.

Con el lockfile-hash presente, el agregador puede atribuir las anomalías no solo a los «clientes que ejecutan este provider + model + SDK version», sino a los «clientes que ejecutan exactamente este árbol de dependencias resuelto». Es esa granularidad la que capta el parche SDK malicioso antes de que el resto del substrato lo vea.

Forma de la petición
# Opt into substrate-fingerprint granularity by sending the lockfile-hash
# header on every gateway request. The hash is computed over your
# resolved dependency manifest (package-lock.json, pnpm-lock.yaml,
# poetry.lock, requirements.txt) and never leaves your environment in
# raw form — only the hex digest reaches AEGIS.

curl https://gateway.mnemom.ai/v1/messages \
  -H "X-Mnemom-Api-Key: $MNEMOM_KEY" \
  -H "X-Mnemom-Lockfile-Hash: sha256:9f3b…" \
  -H "Content-Type: application/json" \
  -d @payload.json
6 · Mapeo OWASP

ASI04 · Agentic Supply Chain Vulnerabilities

La OWASP Foundation publicó el OWASP Top 10 for Agentic Applications en diciembre de 2025 — la primera taxonomía formal revisada por pares de los riesgos específicos de los agentes de IA autónomos (de ASI01 a ASI10). La categoría ASI04 — Agentic Supply Chain Vulnerabilities cubre la clase de amenaza de esta página: un artefacto aguas arriba envenenado que alcanza intacto el runtime del agente.

El substrate fingerprint de AEGIS es el control de runtime para ASI04. Donde el resto de la categoría de seguridad de IA agéntica aborda ASI04 mediante la procedencia de paquetes en build o escaneos de dependencias previos al despliegue, AEGIS añade la capa de detección de runtime entre tenants que capta una compromisión después de que el artefacto se haya distribuido, cuando el comportamiento diverge de la baseline del substrato.

Ver la fuente OWASP
7 · La brecha estructural

Por qué Cloudflare WAF, AWS Shield y Lakera Guard no pueden hacer esto

La detección entre tenants atribuida al substrato no es algo que la categoría actual de seguridad de IA pueda adaptar a posteriori. Las razones son arquitectónicas, no de roadmap de producto.

Cloudflare WAF · AWS Shield

Capa HTTP. Protegen aplicaciones web frente a atacantes web. No tienen ningún concepto de qué versión de modelo produjo este flujo de tokens — el substrato es invisible en L7.

Lakera Guard · NeMo Guardrails

Detector único en runtime. Evalúan el prompt de una petición frente a una base de amenazas curada. No agregan entre tenants porque no tienen una red entre tenants — se distribuyen como bibliotecas in-process o como proxies por tenant.

Cisco AI Defense · Palo Alto Prisma AIRS

Incrustación de política en build. Consolidan las primitivas de seguridad de IA a nivel de SDK y gateway dentro de la tenancy de un solo cliente. Ninguna Managed Rule firmada fluye desde la detección del cliente A hacia la gateway del cliente B — no hay red compartida.

Mnemom complementa estas herramientas. Los clientes que ejecutan Lakera Guard, NeMo Guardrails, Cloudflare WAF, AWS Bedrock Guardrails o Cisco AI Defense pueden ejecutar AEGIS en paralelo; el substrate fingerprint es la señal de red que nada más en la categoría produce.

8 · Superficie máquina

El feed IoC substrate-fingerprint

Los indicadores substrate-fingerprint aparecen en el feed IoC público STIX 2.1 bajo el filtro type=substrate_fingerprint. En GA el feed está vacío por diseño — el calm-at-GA contract en /trust/iocs lo refleja. Los indicadores se publican cuando AEGIS cierra una campaña y se distribuye un advisory firmado en /trust/advisories.

En vivo · /v1/trust/iocs?type=substrate_fingerprintComprobando feed…
curl + jq
# Subscribe to the substrate-fingerprint slice of the public IoC feed.
# STIX 2.1 Bundle; empty by design at GA per the calm-at-GA contract.

curl -sS 'https://api.mnemom.ai/v1/trust/iocs?type=substrate_fingerprint' \
  | jq '.objects[] | select(.type=="indicator")'
9 · Próximos pasos

Hacia dónde ir desde aquí

Panel del cliente

Una vista dedicada al riesgo de la cadena de suministro dentro del panel del cliente está en la hoja de ruta. Hasta entonces, el threat thermometer en /dashboard/threats muestra el estado del eje substrato junto a los otros tres ejes. Lo anunciaremos en /changelog.

Activar la cabecera lockfile-hash

Formato de la cabecera, qué granularidad añade y las implicaciones de privacidad. La cabecera viaja con cada llamada a la gateway una vez que usted comience a enviarla.

Guía del lockfile-hash

AEGIS detecta firmas de comportamiento compatibles con una compromisión de la cadena de suministro — en todos los clientes que se ejecutan sobre el mismo substrato, simultáneamente. No sustituye la verificación de procedencia a nivel de paquete (Sigstore, SLSA, atestaciones SBOM); es la capa de ejecución que capta lo que estas no pueden captar.

Las citas del modelo de amenaza en esta página remiten a publicaciones públicas de The Hacker News (2026-05-12), Unit 42 / Palo Alto Networks (noviembre de 2025 + mayo de 2026), Snyk y Wiz. El OWASP Top 10 for Agentic Applications (ASI01–ASI10) fue publicado por la OWASP Foundation en diciembre de 2025.

Featured on There's An AI For That