Mnemom AEGIS — Adaptive Enforcement, Governance & Intelligence Substrate — est le réseau de sécurité runtime de Safe House. Il filtre chaque transaction d’agent à quatre checkpoints (front door, back door, inside.autonomy, inside.integrity) et relie le Safe House de chaque client en un substrat défensif unique. La détection d’un client devient la défense de tous les clients, signée et propagée à l’intérieur de la fenêtre SLO.
Source de vérité : concept.md §Three loops, one substrate. Chaque couche est câblée dès la GA ; l’état opérationnel honnête est exposé en direct sur le threat thermometer et le IoC feed.
Chaque recipe qu’AEGIS promeut est alimentée par l’une de trois boucles indépendantes, chacune estampillée d’un writer_identity distinct (ADR-004). Le chemin de promotion est identique ; la posture de confiance diffère.
15 personas canoniques sondent en continu chaque Safe House. La porte de mutation-phase (95 % de taux de détection par bucket, fenêtre glissante de 48h, hystérésis de 24h) bascule l’arène de la découverte à la mutation lorsqu’un bucket est bien couvert.
writer_identity = arena-bypass
Les rapports de faux négatifs et faux positifs remontent des tableaux de bord clients vers la file de candidats. La contribution de chaque tenant est reconnue ; seule la recipe résultante se propage aux autres tenants — jamais le rapport brut.
writer_identity = customer-fn-report
network_campaign_state agrège les statistiques par axe sur l’ensemble des clients. Les motifs qu’aucun client seul ne peut voir — un substrat présentant des anomalies identiques entre organisations — émergent ici comme candidats.
writer_identity = internal-observation
Cinq couches nommées et câblées au-dessus du plan de données des recipes. L’état opérationnel de chaque couche est observable sur le threat thermometer et la trust surface.
Selon la migration 217, chaque évaluation de checkpoint porte un tuple dérivé (substrate, vertical, pattern, source). Le substrate est provider × model × SDK@version avec un en-tête lockfile-hash optionnel fourni par le client. L’axis identity est la clé de jointure pour la corrélation inter-tenants et la colonne vertébrale de l’attribution supply-chain.
network_campaign_state maintient des fenêtres glissantes de taux de détection et de taux de contournement par bucket (substrate × vertical × pattern × source). L’agrégateur est la couche qui capte les campagnes qu’aucun tenant individuel ne peut détecter — la déviation comportementale chez tous les clients tournant sur le même substrat, simultanément.
AEGIS adopte le modèle additive-ratcheting de Cloudflare. Deux molettes de posture par organisation : posture normale et plafond d’élévation. Pendant une campagne, le mode effectif est max(normal, min(threat_level, elevation_ceiling)).
Le plafond du client est respecté. Les protections supplémentaires côté intégrité (canaries déployés, émission d’identifiants gelée, preuves AIP complètes) opèrent sous le plafond car ce ne sont pas des changements de posture.
Chaque promotion est signée Ed25519 via RECIPE_PROMOTION_SIGNING_KEY. KV et R2 portent des chaînes de signature d’enveloppe indépendantes (RECIPE_KV_SIGNING_KEY / RECIPE_R2_SIGNING_KEY) — trois chemins de compromission indépendants sont nécessaires pour empoisonner le plan de règles. Les règles de tier-3 effectuent un soak observe de 24h avant l’escalade de mode ; un seuil de taux de FP déclenche un rollback automatique.
L’invariant de double contrôle : les règles tier-1 et tier-2 — celles qui bloqueraient effectivement du trafic de production — ne peuvent jamais s�’auto-promouvoir, quel que soit le mode du relecteur. La contrainte est structurelle (CHECK de schéma sur promotion_quorum_met), pas procédurale.
Tableau de bord côté client affichant l’état des campagnes par axe, les Managed Rules actives, et le mode d’enforcement effectif de l’organisation sous tout overlay courant. Si le réseau est calme à la GA, le thermometer affiche calme — la page n’invente pas d’activité.
Deux surfaces publiques. /v1/trust/iocs exporte un Bundle STIX 2.1 qui s’insère dans les pipelines de threat-intel existants. /trust/advisories publie des enregistrements post-incident signés avec des étiquettes explicites synthétique-versus-réel. À la GA, le flux peut être vide et la liste d’advisories n’affiche que la seule semence synthétique — c’est le système qui dit la vérité.
D’après concept.md : si à la GA le réseau est véritablement calme, le thermometer dit calme, la liste d’advisories affiche une unique semence synthétique post-mortem clairement étiquetée synthétique, et le IoC feed est vide. Ce n’est pas un stub — c’est le système qui dit la vérité. Tous les autres fournisseurs de cet espace habillent un flux vide d’une mise en scène. Mnemom ne le fait pas.
Le marché de la sécurité de l’IA agentique se fragmente en guardrails d’hyperscalers, plateformes d’entreprise réadaptées, mono-détecteurs AI-natifs et proxys d’inférence en périphérie. Aucun n’est un réseau inter-tenants intégré. Source : AEGIS-15 positioning brief §3.
| Capacité | Mnemom AEGIS | Cloudflare WAF | AWS Shield | Lakera Guard | Cisco AI Defense | Palo Alto Prisma AIRS | Google Model Armor |
|---|---|---|---|---|---|---|---|
Réseau défensif inter-tenants pour agents IA Signal mutualisé entre clients ; push de Managed Rules signé vers chaque gateway. | |||||||
Substrate fingerprinting (provider · model · sdk@ver · lockfile-hash) Détecte la déviation comportementale chez tous les clients sur le même substrat. | |||||||
Arène adversariale avec mutation-phase gating 15 personas canoniques, par bucket 95 % / 48h / hystérésis 24h. | BD de menaces curatée par le fournisseur | ||||||
Feedback FN / FP client dans pipeline de promotion signé | |||||||
IoC feed STIX 2.1 public Lisible par machine, enveloppe signée, sans auth requise. | |||||||
CMS d’advisories signées en append-only Étiquetage synthétique-versus-réel par le calm-at-GA contract. | |||||||
Invariant de double contrôle sur les promotions Tier-1 / Tier-2 Contrainte CHECK structurelle, pas procédurale. | Revue par le fournisseur uniquement | Revue par le fournisseur uniquement | Revue par le fournisseur uniquement | Revue par le fournisseur uniquement | Revue par le fournisseur uniquement | Revue par le fournisseur uniquement | |
Runtime quatre checkpoints × quatre modes front door · back door · inside.autonomy · inside.integrity. | Filtre inline unique | Embedding au build | Plateforme agrégée | Filtre de contenu inline | |||
Conçu pour les agents IA (pas HTTP / pas humains) | WAF couche HTTP | DDoS réseau | Pare-feu couche prompt | Guardrails au build | Agrégation de plateforme | Filtre prompt + URL | |
Neutre vis-à-vis du fournisseur (OpenAI · Anthropic · Gemini · auto-hébergé) | n/a | AWS uniquement | Google uniquement | ||||
Verrouillé sur hyperscaler |
Mnemom complète — ne remplace pas — les guardrails, WAFs et évaluations pré-déploiement. Les clients qui utilisent Lakera Guard, NeMo Guardrails, Cloudflare WAF, AWS Bedrock Guardrails ou Robust Intelligence peuvent faire tourner AEGIS en parallèle. AEGIS est la couche réseau inter-tenants ; les autres se situent ailleurs dans la pile.
Source : ADR-AEGIS-02 §5, publié sur /trust/slos. La première fenêtre de mesure de 30 jours est publiée 30 jours après la GA.
Le threat thermometer �— état des campagnes par axe, Managed Rules actives, votre posture d’enforcement effective.
/dashboard/threats →curl https://api.mnemom.ai\ /v1/trust/iocsRécupérer le bundle STIX 2.1 →
Parcourons ensemble l’architecture AEGIS, les engagements SLO, le mapping EU AI Act et ce que l’auto-hébergement signifie pour votre posture de conformité.
Nous contacter ��→