# Protection Network — Rete difensiva cross-tenant per agenti IA | Mnemom Protection Network · L0-L5 # La prima rete difensiva cross-tenant progettata specificamente per agenti IA. Mnemom AEGIS — Adaptive Enforcement, Governance & Intelligence Substrate — è la rete di sicurezza runtime di Safe House. Filtra ogni transazione di agente in quattro checkpoint (front door, back door, inside.autonomy, inside.integrity) e collega il Safe House di ciascun cliente in un unico substrato difensivo. La rilevazione di un cliente diventa la difesa di ogni cliente, firmata e propagata entro la finestra SLO. [Apri il threat thermometer](/dashboard/threats)[Recupera il feed STIX 2.1](https://api.mnemom.ai/v1/trust/iocs)[Parla con il commerciale](/contact) Architettura ## L0-L5 — un substrato, tre loop di segnale, quattro checkpoint Source-of-truth: concept.md §Three loops, one substrate. Ogni strato è cablato alla GA; lo stato operativo onesto è esposto live sul threat thermometer e sul IoC feed. Source-of-truth ASCII at concept.md §“Three loops, one substrate”. Every layer of the Protection Network is wired at GA; the visual aligns with the runtime architecture in ADR-AEGIS-01 and ADR-AEGIS-02. Segnale ## Tre sorgenti di segnale. Un’unica pipeline di promozione. Ogni recipe che AEGIS promuove è alimentata da uno di tre loop indipendenti, ciascuno marcato con un writer\_identity distinto (ADR-004). Il percorso di promozione è lo stesso; la postura di fiducia differisce. ### Arena avversariale 15 personas canoniche sondano in continuo ogni Safe House. La porta di mutation-phase (95% di detection-rate per bucket, finestra mobile di 48h, isteresi di 24h) commuta l’arena da discovery a mutation quando un bucket è ben coperto. writer\_identity = arena-bypass ### Report FN / FP del cliente I report di falsi negativi e falsi positivi fluiscono dalle dashboard cliente nella coda dei candidati. Il contributo di ciascun tenant è riconosciuto; solo la recipe risultante si propaga agli altri tenant — mai il report grezzo. writer\_identity = customer-fn-report ### Aggregatore cross-tenant `network_campaign_state` aggrega statistiche per asse su tutti i clienti. Pattern che nessun singolo cliente può vedere — un substrato che mostra anomalie identiche tra organizzazioni — emergono qui come candidati. writer\_identity = internal-observation Strati ## Cosa fa ciascuno strato Cinque strati nominati e cablati sopra il piano dati delle recipe. Lo stato operativo di ciascuno strato è osservabile sul threat thermometer e sulla trust surface. L0 · Axis identity ### Ogni valutazione marcata con il substrate fingerprint a quattro assi Secondo la migrazione 217, ogni valutazione di checkpoint porta una tupla derivata `(substrate, vertical, pattern, source)`. Il substrato è provider × model × SDK@version con un header lockfile-hash opzionale fornito dal cliente. L’axis identity è la chiave di join per la correlazione cross-tenant e la spina dorsale dell’attribuzione supply-chain. [Leggi il brief supply-chain →](/supply-chain) L1 · Aggregatore cross-tenant ### Statistiche mobili per bucket di asse — la visione della rete `network_campaign_state` mantiene finestre mobili di detection-rate e bypass-rate per bucket `(substrate × vertical × pattern × source)`. L’aggregatore è lo strato che intercetta campagne che nessun singolo tenant può rilevare — deviazione comportamentale su tutti i clienti in esecuzione sullo stesso substrato, simultaneamente. L2 · Under-attack overlay ### Auto-elevazione dello strato di composizione, vincolata dal ceiling dell’organizzazione AEGIS adotta il modello additive-ratcheting di Cloudflare. Due manopole di postura per organizzazione: _postura normale_ e _elevation ceiling_. Durante una campagna, il modo effettivo è `max(normal, min(threat_level, elevation_ceiling))`. Il ceiling del cliente viene rispettato. Le protezioni addizionali sul lato integrità (canary piantati, emissione di credenziali congelata, prove AIP complete) operano sotto il ceiling perché non sono modifiche di postura. **Stato operativo onesto:** l’overlay L2 sarà rilasciato in Phase 4 quando la primitiva di composizione delle cards si stabilizzerà. Fino ad allora, un override manuale dell’operatore sul flag dell’organizzazione copre la stessa protezione senza auto-elevazione. L3 · Push Managed Rules ### Candidato dell’arena → review → promozione firmata → soak observe di 24h → enforce Ogni promozione è firmata Ed25519 tramite `RECIPE_PROMOTION_SIGNING_KEY`. KV e R2 portano catene di firma envelope indipendenti (`RECIPE_KV_SIGNING_KEY` / `RECIPE_R2_SIGNING_KEY`) — tre percorsi di compromissione indipendenti sono richiesti per avvelenare il piano delle regole. Le regole tier-3 eseguono un soak observe di 24h prima dell’escalation di modo; una soglia di FP-rate innesca il rollback automatico. **L’invariante di controllo duale:** le regole tier-1 e tier-2 — quelle che bloccherebbero effettivamente il traffico di produzione — non possono mai auto-promuoversi, indipendentemente dalla modalità del revisore. Il vincolo è strutturale (CHECK di schema su `promotion_quorum_met`), non procedurale. **Stato operativo onesto:** il percorso tier-3 è pienamente live alla GA. L’applicazione del controllo duale tier-1/-2 si attiva il 01/06/2026 una volta provisionato il secondo platform-admin (la fase intermedia a operatore singolo è riconosciuta nella catena di audit). L4 · Threat thermometer ### Stato live per asse su /dashboard/threats Dashboard rivolta al cliente che mostra lo stato delle campagne per asse, le Managed Rules attive e il modo di enforcement effettivo dell’organizzazione sotto qualsiasi overlay corrente. Se la rete è calma alla GA, il thermometer dice _calma_ — la pagina non inventa attività. [Apri il thermometer →](/dashboard/threats) L5 · IoC feed + advisories ### Feed STIX 2.1 pubblico e advisories post-incidente firmate Due superfici pubbliche. `/v1/trust/iocs` esporta un Bundle STIX 2.1 che si inserisce nelle pipeline di threat-intel esistenti. `/trust/advisories` pubblica record post-incidente firmati con etichette esplicite sintetico-versus-reale. Alla GA il feed può essere vuoto e la lista delle advisories mostra l’unico seed sintetico — questo è il sistema che dice la verità. [Ispeziona il IoC feed →](/trust/iocs) Il calm-at-GA contract ## Se la rete è genuinamente calma, le superfici lo dicono. Non simuliamo attività. Da `concept.md`: se alla GA la rete è genuinamente calma, il thermometer dice calma, la lista delle advisories mostra un singolo seed sintetico post-mortem chiaramente etichettato come sintetico, e il IoC feed è vuoto. Non è uno stub — è il sistema che dice la verità. Ogni altro fornitore in questo spazio veste un feed vuoto con teatro. Mnemom no. [Vedi la lista delle advisories →](/trust/advisories)·[Ispeziona il IoC feed →](/trust/iocs) Panorama ## Cosa fa — e non fa — ogni altro fornitore di sicurezza per agenti. Il mercato della sicurezza dell’IA agentica si frammenta in guardrails di hyperscaler, piattaforme enterprise riadattate, mono-rilevatori AI-nativi e proxy di inferenza edge. Nessuno è una rete cross-tenant integrata. Fonte: AEGIS-15 positioning brief §3. Capacità Mnemom AEGIS Cloudflare WAF AWS Shield Lakera Guard Cisco AI Defense Palo Alto Prisma AIRS Google Model Armor Rete difensiva cross-tenant per agenti IA Segnale condiviso tra clienti; push di Managed Rules firmato verso ogni gateway. Substrate fingerprinting (provider · model · sdk@ver · lockfile-hash) Rileva deviazioni comportamentali su tutti i clienti sullo stesso substrato. Arena avversariale con mutation-phase gating 15 personas canoniche, per bucket 95% / 48h / isteresi 24h. DB di minacce curato dal fornitore Feedback FN / FP cliente nella pipeline di promozione firmata IoC feed STIX 2.1 pubblico Leggibile da macchina, envelope firmato, nessuna auth richiesta. CMS di advisories firmato append-only Etichettato sintetico-versus-reale secondo il calm-at-GA contract. Invariante di controllo duale sulle promozioni Tier-1 / Tier-2 Vincolo CHECK strutturale, non procedurale. Review solo del fornitore Review solo del fornitore Review solo del fornitore Review solo del fornitore Review solo del fornitore Review solo del fornitore Runtime a quattro checkpoint × quattro modi front door · back door · inside.autonomy · inside.integrity. Singolo filtro inline Embedding al build Piattaforma aggregata Filtro di contenuto inline Progettato per agenti IA (non HTTP / non umani) WAF a livello HTTP DDoS di rete Firewall a livello prompt Guardrails al build Aggregazione di piattaforma Filtro prompt + URL Neutro rispetto al provider (OpenAI · Anthropic · Gemini · self-hosted) n/d Solo AWS Solo Google Vincolato a hyperscaler Mnemom integra — non sostituisce — guardrails, WAF e valutazioni pre-deployment. I clienti che usano Lakera Guard, NeMo Guardrails, Cloudflare WAF, AWS Bedrock Guardrails o Robust Intelligence possono eseguire AEGIS in parallelo. AEGIS è lo strato di rete cross-tenant; gli altri si collocano altrove nello stack. SLO pubblici ## Ciò a cui ci impegniamo, con i numeri. Fonte: ADR-AEGIS-02 §5, pubblicato su /trust/slos. La prima finestra di misurazione di 30 giorni viene pubblicata 30 giorni dopo la GA. Latenza di propagazione P95 ≤ 30s Promozione firmata → gateway caricato Freschezza del rule-set P99 ≤ 5 min In esercizio normale Disponibilità del failover 99,99% KV + R2 + isolate last-known-good [Vedi la tabella SLO completa →](/trust/slos) Iniziare ## Tre vie d’accesso. [ ### Dashboard cliente Il threat thermometer — stato delle campagne per asse, Managed Rules attive, la Sua postura di enforcement effettiva. /dashboard/threats →](/dashboard/threats)[ ### Feed leggibile da macchina curl https://api.mnemom.ai\\ /v1/trust/iocs Recupera il bundle STIX 2.1 →](https://api.mnemom.ai/v1/trust/iocs)[ ### Parla con il commerciale Percorra con noi l’architettura AEGIS, gli impegni SLO, il mapping EU AI Act e cosa significa self-hosted per la Sua postura di conformità. Contattaci →](/contact) --- _Source: /it/protection-network/index.html · Generated by build-markdown-mirrors.mjs · For agent-readability commitment #4 see https://www.mnemom.ai/for-agents_