Mnemom AEGIS — Adaptive Enforcement, Governance & Intelligence Substrate — è la rete di sicurezza runtime di Safe House. Filtra ogni transazione di agente in quattro checkpoint (front door, back door, inside.autonomy, inside.integrity) e collega il Safe House di ciascun cliente in un unico substrato difensivo. La rilevazione di un cliente diventa la difesa di ogni cliente, firmata e propagata entro la finestra SLO.
Source-of-truth: concept.md §Three loops, one substrate. Ogni strato è cablato alla GA; lo stato operativo onesto è esposto live sul threat thermometer e sul IoC feed.
Ogni recipe che AEGIS promuove è alimentata da uno di tre loop indipendenti, ciascuno marcato con un writer_identity distinto (ADR-004). Il percorso di promozione è lo stesso; la postura di fiducia differisce.
15 personas canoniche sondano in continuo ogni Safe House. La porta di mutation-phase (95% di detection-rate per bucket, finestra mobile di 48h, isteresi di 24h) commuta l’arena da discovery a mutation quando un bucket è ben coperto.
writer_identity = arena-bypass
I report di falsi negativi e falsi positivi fluiscono dalle dashboard cliente nella coda dei candidati. Il contributo di ciascun tenant è riconosciuto; solo la recipe risultante si propaga agli altri tenant — mai il report grezzo.
writer_identity = customer-fn-report
network_campaign_state aggrega statistiche per asse su tutti i clienti. Pattern che nessun singolo cliente può vedere — un substrato che mostra anomalie identiche tra organizzazioni — emergono qui come candidati.
writer_identity = internal-observation
Cinque strati nominati e cablati sopra il piano dati delle recipe. Lo stato operativo di ciascuno strato è osservabile sul threat thermometer e sulla trust surface.
Secondo la migrazione 217, ogni valutazione di checkpoint porta una tupla derivata (substrate, vertical, pattern, source). Il substrato è provider × model × SDK@version con un header lockfile-hash opzionale fornito dal cliente. L’axis identity è la chiave di join per la correlazione cross-tenant e la spina dorsale dell’attribuzione supply-chain.
network_campaign_state mantiene finestre mobili di detection-rate e bypass-rate per bucket (substrate × vertical × pattern × source). L’aggregatore è lo strato che intercetta campagne che nessun singolo tenant può rilevare — deviazione comportamentale su tutti i clienti in esecuzione sullo stesso substrato, simultaneamente.
AEGIS adotta il modello additive-ratcheting di Cloudflare. Due manopole di postura per organizzazione: postura normale e elevation ceiling. Durante una campagna, il modo effettivo è max(normal, min(threat_level, elevation_ceiling)).
Il ceiling del cliente viene rispettato. Le protezioni addizionali sul lato integrità (canary piantati, emissione di credenziali congelata, prove AIP complete) operano sotto il ceiling perché non sono modifiche di postura.
Ogni promozione è firmata Ed25519 tramite RECIPE_PROMOTION_SIGNING_KEY. KV e R2 portano catene di firma envelope indipendenti (RECIPE_KV_SIGNING_KEY / RECIPE_R2_SIGNING_KEY) — tre percorsi di compromissione indipendenti sono richiesti per avvelenare il piano delle regole. Le regole tier-3 eseguono un soak observe di 24h prima dell’escalation di modo; una soglia di FP-rate innesca il rollback automatico.
L’invariante di controllo duale: le regole tier-1 e tier-2 — quelle che bloccherebbero effettivamente il traffico di produzione — non possono mai auto-promuoversi, indipendentemente dalla modalità del revisore. Il vincolo è strutturale (CHECK di schema su promotion_quorum_met), non procedurale.
Dashboard rivolta al cliente che mostra lo stato delle campagne per asse, le Managed Rules attive e il modo di enforcement effettivo dell’organizzazione sotto qualsiasi overlay corrente. Se la rete è calma alla GA, il thermometer dice calma — la pagina non inventa attività.
Due superfici pubbliche. /v1/trust/iocs esporta un Bundle STIX 2.1 che si inserisce nelle pipeline di threat-intel esistenti. /trust/advisories pubblica record post-incidente firmati con etichette esplicite sintetico-versus-reale. Alla GA il feed può essere vuoto e la lista delle advisories mostra l’unico seed sintetico — questo è il sistema che dice la verità.
Da concept.md: se alla GA la rete è genuinamente calma, il thermometer dice calma, la lista delle advisories mostra un singolo seed sintetico post-mortem chiaramente etichettato come sintetico, e il IoC feed è vuoto. Non è uno stub — è il sistema che dice la verità. Ogni altro fornitore in questo spazio veste un feed vuoto con teatro. Mnemom no.
Il mercato della sicurezza dell’IA agentica si frammenta in guardrails di hyperscaler, piattaforme enterprise riadattate, mono-rilevatori AI-nativi e proxy di inferenza edge. Nessuno è una rete cross-tenant integrata. Fonte: AEGIS-15 positioning brief §3.
| Capacità | Mnemom AEGIS | Cloudflare WAF | AWS Shield | Lakera Guard | Cisco AI Defense | Palo Alto Prisma AIRS | Google Model Armor |
|---|---|---|---|---|---|---|---|
Rete difensiva cross-tenant per agenti IA Segnale condiviso tra clienti; push di Managed Rules firmato verso ogni gateway. | |||||||
Substrate fingerprinting (provider · model · sdk@ver · lockfile-hash) Rileva deviazioni comportamentali su tutti i clienti sullo stesso substrato. | |||||||
Arena avversariale con mutation-phase gating 15 personas canoniche, per bucket 95% / 48h / isteresi 24h. | DB di minacce curato dal fornitore | ||||||
Feedback FN / FP cliente nella pipeline di promozione firmata | |||||||
IoC feed STIX 2.1 pubblico Leggibile da macchina, envelope firmato, nessuna auth richiesta. | |||||||
CMS di advisories firmato append-only Etichettato sintetico-versus-reale secondo il calm-at-GA contract. | |||||||
Invariante di controllo duale sulle promozioni Tier-1 / Tier-2 Vincolo CHECK strutturale, non procedurale. | Review solo del fornitore | Review solo del fornitore | Review solo del fornitore | Review solo del fornitore | Review solo del fornitore | Review solo del fornitore | |
Runtime a quattro checkpoint × quattro modi front door · back door · inside.autonomy · inside.integrity. | Singolo filtro inline | Embedding al build | Piattaforma aggregata | Filtro di contenuto inline | |||
Progettato per agenti IA (non HTTP / non umani) | WAF a livello HTTP | DDoS di rete | Firewall a livello prompt | Guardrails al build | Aggregazione di piattaforma | Filtro prompt + URL | |
Neutro rispetto al provider (OpenAI · Anthropic · Gemini · self-hosted) | n/d | Solo AWS | Solo Google | ||||
Vincolato a hyperscaler |
Mnemom integra — non sostituisce — guardrails, WAF e valutazioni pre-deployment. I clienti che usano Lakera Guard, NeMo Guardrails, Cloudflare WAF, AWS Bedrock Guardrails o Robust Intelligence possono eseguire AEGIS in parallelo. AEGIS è lo strato di rete cross-tenant; gli altri si collocano altrove nello stack.
Fonte: ADR-AEGIS-02 §5, pubblicato su /trust/slos. La prima finestra di misurazione di 30 giorni viene pubblicata 30 giorni dopo la GA.
Il threat thermometer — stato delle campagne per asse, Managed Rules attive, la Sua postura di enforcement effettiva.
/dashboard/threats →curl https://api.mnemom.ai\ /v1/trust/iocsRecupera il bundle STIX 2.1 →
Percorra con noi l’architettura AEGIS, gli impegni SLO, il mapping EU AI Act e cosa significa self-hosted per la Sua postura di conformità.
Contattaci →