> **Agent?** Fastest path: MCP at `https://api.mnemom.ai/mcp` — call `get_started` first (zero-auth, no args). Full agent guide: <https://www.mnemom.ai/agents.txt>

# Protection Network — Difesa cross-tenant per agenti IA | Mnemom

Protection Network

# La prima rete di difesa cross-tenant costruita appositamente per gli agenti IA.

Mnemom AEGIS è la rete di sicurezza in esecuzione dietro Safe House. Ispeziona ogni transazione dell'agente — i prompt in entrata, le chiamate agli strumenti e i risultati degli strumenti nel mezzo, e le azioni in uscita — in quattro checkpoint: front door, back door, inside.autonomy e inside.integrity. E collega ogni cliente in un'unica difesa: quando AEGIS rileva un nuovo attacco contro qualsiasi agente della rete, la protezione viene firmata e distribuita a tutti.

[Apri il threat thermometer](/dashboard/threats)[Ottieni il feed delle minacce (STIX 2.1)](https://api.mnemom.ai/v1/trust/iocs)[Parla con le vendite](/contact)

Architettura

## Una rete. Tre fonti di segnale. Quattro checkpoint.

Tre fonti indipendenti alimentano un'unica pipeline. I rilevamenti confermati vengono esaminati, firmati e inviati a ogni gateway, dove sono applicati in quattro checkpoint. Ciò che è attivo oggi viene mostrato con onestà — sul threat thermometer e sul feed pubblico.

How a detection becomes a defense: three signal sources feed one review queue, confirmed rules are signed and propagated through two independent paths, and the gateway enforces them at four checkpoints — surfacing to the threat thermometer, the public feed, and signed advisories.

Segnale

## Tre fonti di segnale. Una pipeline.

Ogni protezione che AEGIS distribuisce proviene da una di tre fonti indipendenti. Il percorso fino alla promozione è lo stesso; ciò che cambia è da dove nasce il segnale.

### Test avversari

Un red team permanente di quindici persona attaccanti sonda ogni Safe House in modo continuo, 24 ore su 24 — portando alla luce nuovi bypass prima che raggiungano un cliente.

### Segnalazioni dei clienti

Quando un cliente segnala dalla propria dashboard un attacco non rilevato o un falso allarme, questo entra nella coda di revisione. Il suo contributo viene riconosciuto, ma con gli altri clienti si condivide solo la protezione che ne deriva, mai la segnalazione originaria.

### Pattern cross-tenant

AEGIS aggrega segnali anonimizzati provenienti da tutti i clienti. Qui emergono i pattern che nessun singolo cliente potrebbe vedere da solo: la stessa anomalia che compare in molte organizzazioni nello stesso momento.

Livelli

## Cosa fa ciascun livello

Sei livelli, dall'impronta su ogni controllo fino al feed pubblico che chiunque può verificare. Ciò che è attivo oggi è osservabile sul threat thermometer e sulla trust surface.

L0 · Identità

### Ogni controllo porta l'impronta della supply chain software dell'agente

Ogni valutazione porta il **substrate fingerprint** dell'agente — il suo provider, modello, versione dell'SDK e lockfile delle dipendenze — insieme al tipo di attacco e alla sua provenienza. È questa impronta che permette ad AEGIS di collegare lo stesso attacco tra tutti i clienti che girano sullo stesso stack.

[Leggi il brief sulla supply chain →](/supply-chain)

L1 · Rete

### Pattern mobili tra tutti i clienti

AEGIS traccia i tassi di rilevamento e di bypass per ogni combinazione di supply chain, caso d'uso e tipo di attacco. È il livello che coglie le campagne coordinate che nessun singolo cliente può vedere: lo stesso comportamento che devia presso molti clienti sullo stesso stack, nello stesso momento.

L2 · Sotto attacco

### Elevazione automatica durante una campagna attiva, limitata dal suo tetto

AEGIS adotta il modello «sotto attacco» di Cloudflare. Lei imposta due livelli per organizzazione: la sua **postura normale** e un **tetto** che indica fin dove AEGIS può elevare da solo. Durante una campagna, AEGIS alza l'applicazione verso quel tetto, e mai oltre.

Il suo tetto è sempre rispettato. Le protezioni aggiuntive sul lato integrità — la posa di canary, la sospensione dell'emissione di nuove credenziali, le prove di integrità complete — agiscono al di sotto di esso, perché rafforzano la verifica senza cambiare la sua postura di applicazione.

**Stato onesto:** l'elevazione automatica arriva poco dopo la GA. Fino ad allora, un operatore alza a mano la stessa protezione: la difesa è identica; solo l'innesco è manuale.

L3 · Managed Rules

### Da candidata ad applicata — esaminata, firmata e collaudata in osservazione

Ogni protezione è firmata crittograficamente (Ed25519) prima di essere distribuita e viaggia attraverso due percorsi di consegna indipendenti, firmati separatamente — così corrompere le regole che raggiungono il Suo gateway significherebbe violarne più di uno contemporaneamente. Le nuove regole girano in modalità observe-only per 24 ore prima di poter escalare; se i falsi allarmi aumentano, un operatore esegue il rollback — il rollback automatico arriverà poco dopo la GA.

**Revisione a quattro occhi, imposta dal sistema.** Le regole abbastanza potenti da agire sul traffico in produzione non possono mai essere promosse da una sola persona: il requisito è integrato nella piattaforma, non lasciato al processo.

**Stato onesto:** il percorso collaudato in osservazione è pienamente attivo alla GA. La promozione a quattro occhi per le regole a maggiore impatto è operativa; durante la breve transizione, finché il secondo approvatore non sarà completamente predisposto, ogni promozione viene registrata nella catena di audit.

L4 · Visibilità

### Il suo quadro delle minacce in tempo reale

Una dashboard per i clienti che mostra lo stato delle campagne in corso su tutto il suo stack, le Managed Rules attive in questo momento e il suo livello di applicazione effettivo sotto qualsiasi elevazione. Se la rete è calma, la dashboard dice calma: non fabbrichiamo mai attività.

[Apri il thermometer →](/dashboard/threats)

L5 · Trasparenza

### Feed pubblico delle minacce e advisories firmati

Due superfici pubbliche. Un feed STIX 2.1 che si integra direttamente nella sua pipeline di threat intelligence, e advisories post-incidente firmati che etichettano con chiarezza ciò che è stata una campagna reale e ciò che è stato un esercizio sintetico. Al lancio il feed può essere vuoto e la lista degli advisories mostrare un unico seme sintetico chiaramente etichettato: è il sistema che dice la verità, non un segnaposto.

[Ispeziona il feed delle minacce →](/trust/iocs)

Il calm-at-GA contract

## Se la rete è davvero calma, le nostre superfici lo dicono. Non simuliamo attività.

Ecco la nostra promessa: se la rete è davvero tranquilla al lancio, il threat thermometer dice **calma**, la lista degli advisories mostra un unico esercizio sintetico chiaramente etichettato e il feed pubblico è vuoto. Non è una pagina incompiuta: è il sistema che dice la verità. Ogni altro fornitore in questo spazio veste un feed vuoto di teatro. Noi no.

[Vedi la lista degli advisories →](/trust/advisories)·[Ispeziona il feed delle minacce →](/trust/iocs)

In tempo reale

## Advisories recenti

Caricamento degli advisories…

[Vedi tutti gli advisories →](/trust/advisories)

Il panorama

## Ogni altro strumento protegge il prompt. AEGIS protegge l'agente — e la rete su cui gira.

La sicurezza per gli agenti IA si sta dividendo in quattro categorie. Ciascuna fa bene il proprio lavoro, e AEGIS funziona accanto a una qualsiasi di esse. Abbiamo costruito AEGIS per il lavoro che nessuna fa: osservare ciò che un agente fa davvero e trasformare il rilevamento di un cliente nella difesa di tutti.

### Guardrail degli hyperscaler

AWS Bedrock Guardrails · Google Model Armor

Punti di forza: Filtraggio dei contenuti configurabile incluso nella sua piattaforma di modelli: rilevamento di injection e jailbreak, redazione delle PII, argomenti vietati e controlli di grounding e di URL malevoli.

Dove si ferma: Legati al cloud e mono-tenant. Esaminano il prompt e la risposta, non ciò che l'agente fa nel mezzo, e il rilevamento di un cliente non diventa mai la difesa di un altro.

### Piattaforme enterprise di sicurezza IA

Palo Alto Prisma AIRS · Cisco AI Defense

Punti di forza: Ampia copertura — scansione dei modelli, gestione della postura, red-teaming e protezione in esecuzione — sostenuta da team di ricerca sulle minacce di primo livello.

Dove si ferma: La telemetria in esecuzione resta all'interno della sua stessa organizzazione. La loro intelligence è ricerca curata dal fornitore, non una rete viva da cliente a cliente: l'attacco rilevato da un cliente non viene firmato né inviato a tutti gli altri clienti.

### Rilevatori inline e framework di guardrail

Lakera Guard · NVIDIA NeMo Guardrails

Punti di forza: Difesa rapida e precisa a livello di conversazione: rilevamento gestito di prompt injection che impara da milioni di attacchi in crowdsourcing, e rail programmabili open source che lei integra nella sua applicazione.

Dove si ferma: Agiscono una conversazione alla volta e migliorano un modello condiviso al ritmo delle release. Nessuno dei due propaga una difesa firmata su una rete viva nel momento in cui un cliente viene colpito.

### Gateway IA edge

Cloudflare AI Gateway · AI Security for Apps

Punti di forza: Difesa HTTP ed edge di primo livello, con un autentico effetto rete cross-tenant: rilevamento di injection e di PII, rate-limiting, caching e osservabilità davanti a qualsiasi modello.

Dove si ferma: Quella rete opera al livello del traffico web, pensata per applicazioni e persone. Non arriva al livello decisionale dell'agente: le chiamate agli strumenti che un agente effettua, i risultati degli strumenti di cui si fida, le azioni che intraprende.

Mnemom AEGIS

### Ciò che solo una rete di agenti cross-tenant fa

-   Ispeziona il livello decisionale dell'agente: prompt in entrata, chiamate agli strumenti, risultati degli strumenti e azioni in uscita, non solo il testo che entra ed esce.
-   Trasforma il rilevamento confermato di un cliente in una Managed Rule firmata che si propaga automaticamente attraverso la rete.
-   Rileva il fingerprint della catena di approvvigionamento software — provider, modello, versione dell'SDK, dependency lockfile — così l'anomalia di un singolo tenant può innalzare la protezione per ogni cliente che esegue lo stesso stack.
-   Pubblica la propria threat intelligence in chiaro — un feed STIX 2.1 e advisories firmati — invece di chiuderla in un database del fornitore.

AEGIS completa gli strumenti che lei già utilizza. Mantenga i guardrail di Bedrock o Model Armor sul modello, Lakera o NeMo sul prompt e Cloudflare in edge — e faccia girare AEGIS come il livello cross-tenant che osserva ciò che i suoi agenti fanno davvero.

SLO pubblici

## Ciò a cui ci impegniamo — con numeri e con onestà su ciò che è misurato.

Questi sono obiettivi pubblicati. La prima finestra di misurazione di 30 giorni si apre 30 giorni dopo la GA; fino ad allora li presentiamo come obiettivi, non come risultati. Non annunciamo numeri che non possiamo difendere.

Latenza di propagazione

P95 ≤ 30s

Obiettivo · dalla promozione firmata fino al caricamento sul suo gateway

Freschezza del set di regole

P99 ≤ 5 min

Obiettivo · in funzionamento normale

Disponibilità

99,99 %

Obiettivo · un failover a livelli mantiene in servizio l'ultimo set di regole valido

[Vedi la tabella completa degli SLO →](/trust/slos)

Inizia

## Tre modi per entrare.

[

### Dashboard per i clienti

Il suo quadro delle minacce in tempo reale: stato delle campagne in corso, Managed Rules attive e il suo livello di applicazione effettivo.

Apri la dashboard →](/dashboard/threats)[

### Feed leggibile dalle macchine

curl https://api.mnemom.ai\\
  /v1/trust/iocs

Ottieni il bundle STIX 2.1 →](https://api.mnemom.ai/v1/trust/iocs)[

### Parla con le vendite

Esaminiamo insieme l'architettura, gli impegni di SLO, la mappatura con l'EU AI Act e cosa significa il self-hosting per la sua postura di conformità.

Contattaci →](/contact)

---
_Source: /it/protection-network/index.html · Generated by build-markdown-mirrors.mjs · For agent-readability commitment #4 see https://www.mnemom.ai/for-agents/_
