# Rilevamento della supply chain — Mnemom AEGIS

Protection Network · substrato L0

# Il rilevamento per singolo tenant ha fallito. Il substrate fingerprinting coglie ciò che Sigstore non può cogliere.

Mnemom AEGIS — l’Adaptive Enforcement, Governance & Intelligence Substrate — marca ogni valutazione d’agente con il substrato su cui è stata eseguita (provider, modello, versione SDK, lockfile hash opzionale). Quando il flusso di valutazione di un cliente mostra una deviazione comportamentale compatibile con un substrato compromesso, l’aggregatore cross-tenant la rileva simultaneamente su tutti i clienti che girano su quel substrato. Una Managed Rule firmata arriva su ogni gateway della rete entro l’SLO di propagazione.

AEGIS rileva firme comportamentali compatibili con una compromissione della supply chain. Non sostituisce la verifica della provenienza a livello di pacchetto; è il livello di runtime che coglie ciò che Sigstore non può cogliere.

1 · Modello di minaccia

## Che aspetto ha una compromissione della supply chain agentica

Tre classi di compromissione si collocano a monte del runtime dell’agente, invisibili al rilevamento per singolo tenant perché ogni tenant riceve lo stesso artefatto avvelenato.

### Patch SDK malevola

Una release puntuale di un SDK d’agente pubblicato distribuisce logica di esfiltrazione — credential-stealer, prompt-bleed o un payload condizionale attivato dalla forma di una tool-call.

### Fine-tune compromesso

Un checkpoint di modello ampiamente utilizzato viene sostituito o aumentato con un fine-tune che risponde a un token di attivazione nascosto. Sigstore attesta che il file è quello pubblicato dal fine-tuner; il comportamento è il punto in discussione.

### Template di prompt incorporato

Un template di prompt comunitario, copiato in migliaia di codebase di agenti, trasporta una iniezione indiretta nascosta che si attiva soltanto su un nome di tool o uno schema di documento specifici.

2 · Punto di ancoraggio del modello di minaccia

## Il worm Mini Shai-Hulud — 11 maggio 2026

L’11 maggio 2026 l’attore minaccioso tracciato come TeamPCP ha lanciato un attacco coordinato alla supply chain contro npm e PyPI. **170+ pacchetti npm e 2 pacchetti PyPI sono stati compromessi in 404 versioni malevole.** L’insieme colpito ha esattamente la forma di una supply chain agentica: TanStack router (42 pacchetti), la suite SDK di Mistral AI sia su npm sia su PyPI, il tooling di automazione di UiPath (65 pacchetti), OpenSearch su npm (1,3M di download settimanali) e — punto particolarmente rilevante — Guardrails AI su PyPI.

Le attestazioni npm Sigstore sulle versioni `@tanstack/*` compromesse erano **provenienza SLSA Build Level 3 valida** — il primo caso documentato di un worm che produce attestazioni firmate legittime per pacchetti malevoli. La verifica della provenienza a livello di pacchetto ha confermato che gli artefatti provenivano dalla pipeline di build dichiarata. E così era. La pipeline di build era l’attaccante.

Minacce come Mini Shai-Hulud corrispondono esattamente allo schema substrate-fingerprint che AEGIS è progettato per rilevare in modalità cross-tenant. Mnemom non ha rilevato Shai-Hulud — l’incidente precede la GA di AEGIS, e il calm-at-GA contract su [/trust/advisories](/trust/advisories) lo riflette onestamente. Il senso della citazione è il modello di minaccia: ogni cliente che gira su un SDK compromesso diventa la prima vittima di ogni nuova classe d’attacco. È esattamente il modo di guasto contro cui AEGIS è stato costruito.

Riferimenti pubblici

_The Hacker News_, 2026-05-12 — «Mini Shai-Hulud Worm Compromises TanStack, Mistral AI, Guardrails AI & More Packages».

Unit 42, Palo Alto Networks — attribuzione originale del worm Shai-Hulud, novembre 2025.

Ricerca di sicurezza Snyk e Wiz — analisi indipendenti della compromissione, maggio 2026.

3 · La primitiva

## Substrate fingerprint — definizione

Ogni valutazione che transita attraverso il gateway gestito Mnemom viene marcata con un **substrate fingerprint**: la tupla `provider + model + sdk@ver`, più un header `lockfile-hash` opzionale, impostato dal cliente, per una granularità superiore. Il fingerprint diventa una delle quattro axis identities — substrato, verticale, pattern, sorgente — su ogni riga letta dall’aggregatore cross-tenant. (Si veda [/protection-network](/protection-network) per la stratificazione L0-L5; si veda la migration 217 per la forma del data plane.)

Substrate fingerprint, schematico

{
  "provider": "anthropic",
  "model":    "claude-sonnet-4.7",
  "sdk":      "@anthropic-ai/sdk@0.41.2",
  "lockfile\_hash": "sha256:9f3b...",   // optional, customer-supplied
  "fingerprint":   "sub\_a4f1c8e7..."   // stable hash of the tuple
}

4 · Il segnale cross-tenant

## L’aggregatore dell’asse substrato

Il flusso di valutazione di un singolo cliente può sembrare insignificante in isolamento. Su tutti i clienti che girano sullo stesso substrate fingerprint, la medesima deviazione comportamentale accende le statistiche rolling dell’aggregatore L1. AEGIS attribuisce l’anomalia al substrato, eleva automaticamente il bucket entro il tetto configurato dal cliente (secondo il modello under-attack di ratcheting additivo) e una Managed Rule firmata arriva su ogni gateway con **P95 ≤ 30 secondi** dalla promozione firmata al caricamento sul gateway. (Si veda [/trust/slos](/trust/slos).)

L’aggregatore vede pattern che nessun singolo cliente può vedere. Tre clienti indipendenti con lo stesso substrate fingerprint producono un segnale che il worker L1 può attribuire; una Managed Rule firmata viene diffusa a ogni gateway su quel substrato.

5 · Granularità opt-in

## L’header lockfile-hash

Il substrate fingerprint di base (`provider + model + sdk@ver`) viene inviato per default a ogni chiamata gateway. Per una granularità superiore, invii un header `X-Mnemom-Lockfile-Hash` a ogni richiesta: lo SHA-256 del Suo manifest delle dipendenze risolto. AEGIS utilizza solo il digest esadecimale — il lockfile grezzo non lascia mai il Suo ambiente.

Con il lockfile-hash presente, l’aggregatore può attribuire le anomalie non solo ai _«clienti che eseguono questo provider + model + SDK»_ ma ai _«clienti che eseguono esattamente questo albero di dipendenze risolto»_. È questa granularità che intercetta la patch SDK malevola prima che il resto del substrato la veda.

Forma della richiesta

\# Opt into substrate-fingerprint granularity by sending the lockfile-hash
# header on every gateway request. The hash is computed over your
# resolved dependency manifest (package-lock.json, pnpm-lock.yaml,
# poetry.lock, requirements.txt) and never leaves your environment in
# raw form — only the hex digest reaches AEGIS.

curl https://gateway.mnemom.ai/v1/messages \\
  -H "X-Mnemom-Api-Key: $MNEMOM\_KEY" \\
  -H "X-Mnemom-Lockfile-Hash: sha256:9f3b…" \\
  -H "Content-Type: application/json" \\
  -d @payload.json

6 · Mappatura OWASP

## ASI06 · Agentic Supply Chain Compromise

La OWASP Foundation ha pubblicato l’**OWASP Top 10 for Agentic Applications** a dicembre 2025 — la prima tassonomia formale peer-reviewed dei rischi specifici degli agenti IA autonomi (da ASI01 ad ASI10). La categoria **ASI06 — Agentic Supply Chain Compromise** copre la classe di minaccia di questa pagina: un artefatto upstream avvelenato che raggiunge intatto il runtime dell’agente.

Il substrate fingerprint di AEGIS è il controllo di runtime per ASI06. Mentre il resto della categoria di sicurezza dell’IA agentica affronta ASI06 tramite provenienza dei pacchetti al build o scansioni delle dipendenze pre-deployment, AEGIS aggiunge il livello di rilevamento di runtime cross-tenant che coglie una compromissione dopo che l’artefatto è stato distribuito, quando il comportamento diverge dalla baseline del substrato.

7 · Il divario strutturale

## Perché Cloudflare WAF, AWS Shield e Lakera Guard non possono farlo

Il rilevamento cross-tenant attribuito al substrato non è qualcosa che l’attuale categoria di sicurezza IA possa adattare retroattivamente. Le ragioni sono architetturali, non di roadmap di prodotto.

### Cloudflare WAF · AWS Shield

Livello HTTP. Proteggono applicazioni web da attaccanti web. Non hanno alcun concetto di _quale versione del modello abbia prodotto questo flusso di token_ — il substrato è invisibile a livello L7.

### Lakera Guard · NeMo Guardrails

Detector singolo a runtime. Valutano il prompt di una richiesta rispetto a un database di minacce curato. Non aggregano cross-tenant perché non hanno una rete cross-tenant — vengono distribuiti come librerie in-process o proxy per-tenant.

### Cisco AI Defense · Palo Alto Prisma AIRS

Incorporazione di policy al build. Consolidano le primitive di sicurezza IA a livello di SDK e gateway all’interno della tenancy di un singolo cliente. Nessuna Managed Rule firmata fluisce dal rilevamento del cliente A al gateway del cliente B — non esiste una rete condivisa.

Mnemom complementa questi strumenti. I clienti che utilizzano Lakera Guard, NeMo Guardrails, Cloudflare WAF, AWS Bedrock Guardrails o Cisco AI Defense possono eseguire AEGIS in parallelo; il substrate fingerprint è il segnale di rete che nient’altro nella categoria produce.

8 · Superficie macchina

## Il feed IoC substrate-fingerprint

Gli indicatori substrate-fingerprint compaiono nel feed IoC pubblico STIX 2.1 sotto il filtro `type=substrate_fingerprint`. Alla GA il feed è vuoto per design — il calm-at-GA contract su [/trust/iocs](/trust/iocs) lo riflette. Gli indicatori vengono pubblicati quando AEGIS chiude una campagna e un advisory firmato viene distribuito su [/trust/advisories](/trust/advisories).

curl + jq

\# Subscribe to the substrate-fingerprint slice of the public IoC feed.
# STIX 2.1 Bundle; empty by design at GA per the calm-at-GA contract.

curl -sS 'https://api.mnemom.ai/v1/trust/iocs?type=substrate\_fingerprint' \\
  | jq '.objects\[\] | select(.type=="indicator")'

9 · Prossimi passi

## Dove andare da qui

### Dashboard cliente

Una vista dedicata al rischio supply chain all’interno della dashboard cliente è rinviata alla Phase 4. Fino ad allora, il threat thermometer L4 su [/dashboard/threats](/dashboard/threats) mostra lo stato dell’asse substrato accanto agli altri tre assi. Nomineremo il trigger di sblocco su [/changelog](/changelog).

### Iscriversi al feed IoC

Estragga la slice substrate-fingerprint nella Sua pipeline di threat-intel esistente. Bundle STIX 2.1; nessuna autenticazione richiesta.

[/v1/trust/iocs?type=substrate\_fingerprint](https://api.mnemom.ai/v1/trust/iocs?type=substrate_fingerprint)

### Attivare il lockfile-hash

Formato dell’header, la granularità che aggiunge e le implicazioni sulla privacy. L’header viaggia con ogni chiamata gateway una volta che inizia a inviarlo.

[Guida lockfile-hash](https://docs.mnemom.ai/guides/lockfile-hash-opt-in)

AEGIS rileva firme comportamentali compatibili con una compromissione della supply chain — su tutti i clienti che girano sullo stesso substrato, simultaneamente. Non sostituisce la verifica della provenienza a livello di pacchetto (Sigstore, SLSA, attestazioni SBOM); è il livello di runtime che coglie ciò che queste non possono cogliere.

Le citazioni del modello di minaccia in questa pagina fanno riferimento a pubblicazioni pubbliche di The Hacker News (2026-05-12), Unit 42 / Palo Alto Networks (novembre 2025 + maggio 2026), Snyk e Wiz. L’OWASP Top 10 for Agentic Applications (ASI01–ASI10) è stato pubblicato dalla OWASP Foundation a dicembre 2025.

---
_Source: /it/supply-chain/index.html · Generated by build-markdown-mirrors.mjs · For agent-readability commitment #4 see https://www.mnemom.ai/for-agents_