Dynamika psaní na klávesnici, R² trajektorie myši, vzorce posouvání, dotykové události, časování vyplňování formulářů, doba setrvání na stránce — vícesignálové vstupy přiváděné do lokálního skórovacího modulu a do skórovacího řetězce na backendu.
Shield pod kapotou.
Technický pohled na to, jak Shield chrání webové vstupy, stávající chat AI, LLM proxy a nástroje MCP: architektura, tok rozhodování, audit a srovnání se WAF / reCAPTCHA.
Ochrana první vrstvy – ne SIEM, ne analytický nástroj.
Shield je aktivní a pasivní ochranná vrstva pro formuláře, přihlášení, placení, nahrávání, chat AI, nástroje a rozhraní API MCP. Ovládací panel zobrazuje rozhodnutí a události, takže můžete vyladit obranu – ne jako průzkumník protokolů. Události jsou provozním signálem, nikoli analytickým inventářem.
Shield je:
- ✓Inline ochrana pro web / e-shop / chat / MCP / backend
- ✓Rozhodnutí o žádosti: allow / monitor / challenge / block
- ✓Podepsaný protokol auditu každého rozhodnutí s evidencí manipulace
- ✓Mobile native SDK — iOS + Android — na roadmapě (Sprint M)
Shield není:
- ×SIEM nebo log aggregator
- ×Náhrada za váš WAF nebo CDN – sedí o vrstvu hlouběji
- ×Nástroj pro reporting / business-analytics
- ×Certifikovaný produkt shody – kontroly jsou v souladu s rámcem, audit je váš vlastní
Tři ochranné cesty podle toho, co potřebujete chránit.
Shield může sedět před vaším webem, chatem AI nebo nástroji MCP. Každá cesta má jasný rozhodovací bod a auditovatelný výsledek.
Web a formuláře
Widget JS a backend SDK chrání kontaktní formuláře, přihlášení, placení a nahrávání. Shromažďují bezpečnostní signály, připojují token HMAC a umožňují povolení / výzvu / blokování, než požadavek dosáhne citlivé logiky.
Chat AI a proxy LLM
Výzva a odpověď procházejí firewallem LLM. Shield může anonymizovat citlivá data, blokovat rychlé vkládání, kontrolovat únik systémových instrukcí a pracovat před chatem, který již používáte.
Nástroje, zásady a audit MCP
Volání MCP se vyhodnocují podle schématu, oprávnění a rizika akce. Destruktivní nebo citlivé volání nástrojů může vyžadovat schvalovací bránu. Každé rozhodnutí přistane v protokolu auditu v rozsahu nájemce.
Co zahrnuje Shield vs. WAF vs. CAPTCHA.
Shield nenahrazuje vaši stávající obvodovou ochranu. Sedí o jednu vrstvu hlouběji.
| Schopnost | Shield | WAF | reCAPTCHA / Turniket |
|---|---|---|---|
| Detekce headless botů | Ano – hodnocení více signálů | Částečná (reputace IP) | Ano — na vstupu |
| Rychlá injekce proti LLM | Ano – sémantický firewall | Ne | Ne |
| MCP zneužívání agentů | Ano — policy engine | Ne | Ne |
| Formulář spamu / jednorázového e-mailu | Ano — 5 jazyků | Ne | Částečná |
| Malware scan uploadů | Ano – karanténa | Částečná | Ne |
| Užitečné zatížení vstřikování SQL | Ano — AST validace | Ano — regex | Ne |
| Plnění pověření (distribuováno) | Ano – uzamčení pro jednotlivé účty | Částečné (na IP) | Částečná |
| Protokol auditu evidující neoprávněnou manipulaci | Ano – exportovatelné | Liší se | Ne |
Více než 40 konkrétních schopností v 9 kategoriích.
Kompletní kategorizovaná matice. Přesné prahové hodnoty, váhy signálů a detekční vnitřnosti jsou zákazníkům k dispozici na portálu.
Canvas, WebGL, audio kontext, detekce písem a otisk objektu navigator se slučují do SHA-256 hashe zařízení. Odhalí headless prohlížeče a nástroje pro obcházení detekce.
Na začátku relace se do krátkodobé cache uloží snímek hodnot device_hash, webgl_renderer, user_agent, časového pásma a screen_resolution. Citlivé události (přihlášení, odeslání formuláře, dokončení objednávky) porovnají aktuální otisk se snímkem; každá odchylka přidá výrazné rizikové signály.
Základní URL kompatibilní s OpenAI a Anthropic. Shield skenuje každý prompt před přeposláním a každou odpověď před vrácením, blokuje při porušení politiky a odstraňuje PII / tajné údaje z proudu dat.
Detekce založená na embeddingech napříč mnoha kategoriemi útoků. „Disregard earlier directives" ≈ „Ignore previous instructions" podle kosinové podobnosti. Lokální embeddingy přes Ollama — nulové náklady na API za požadavek.
Zachytávání volání nástrojů pro agenty Claude / Cursor / IDE. Validace argumentů podle JSON Schema, limit počtu kroků v řetězci, allowlist domén, výslovné schvalovací brány u destruktivních nástrojů. Každé volání kontroluje vůči pravidlům ochrany agentů ještě před spuštěním.
Více než 40 vzorců skenujících vstup + výstup + volání nástrojů před spuštěním modelu i po něm. Běží společně se sémantickým firewallem pro vrstvenou obranu.
5 nástrojů zpřístupněných přes MCP: shield_get_stats, shield_get_threats, shield_add_rule, shield_get_events, shield_verify_token. Umožní vašemu agentovi Claude / Cursor vyšetřovat incidenty a reagovat na ně bez opuštění chatu.
Validace SQL parsovaná přes AST. Blokuje UNION, INTO OUTFILE, pg_sleep, information_schema. LIMIT je shora omezen. Citlivé sloupce (password, api_key, ssn) jsou automaticky redigovány. Otiskování dotazů a pasti s honeytoken tabulkami.
Detekce peněženek: BTC (P2PKH/Bech32), ETH, SOL, TRX, XRP, LTC, DOGE. Skenování seed frází BIP-39 (12/24 slov). Podpisové prompty (EIP-712). Blokované těžební domény. Vzorce přesměrování plateb.
Detekce nesmyslného textu na základě bigramů (EN / DE / CS / SK / ES), více než 100 domén jednorázových e-mailů, spamové vzorce (opakované znaky, VELKÁ PÍSMENA, záplava odkazů), detekce podezřelých jmen. Korpus phishingu a závadného obsahu pokrývá 9 jazyků (viz karta Phishing). Sčítací skórování s bonusy za shluky.
Vícevrstvý skener e-mailů a příloh. Odhalí slovenské/české/polské/německé/francouzské/španělské/srbské texty zbavené diakritiky (nejsilnější reálný phishingový signál), sociální inženýrství s nápovědou k heslu napříč 9 jazyky, názvy souborů napodobující mainframe a heslem chráněné soubory PDF / Office. Shluk nezávislý na značce zachytí stejný tvar s libovolným zneužitým názvem společnosti.
Funkce check_upload() přijímá form_fields. Pokud nahrávaný soubor doprovázejí data formuláře (název, popis, jméno, zpráva), spustí se hodnocení kvality obsahu i na těchto polích. I bezvadné PDF s nesmyslnými metadaty je při dostatečně vysoké jistotě odmítnuto.
Každý soubor projde karanténní bránou — allowlist přípon, rozpoznání MIME podle magic byte, detekce maker v Office, JavaScript / Launch / OpenAction v PDF, vložení skriptů přes SVG / HTML. Maximální velikost a seznam přípon nastavitelné pro každého nájemce.
Python (FastAPI / Django / Flask), Node.js (Express / Next.js), PHP (WordPress / Laravel). Ověřuje X-Shield-Token u každého požadavku. Bez tokenu → 403. Ověření HMAC se ukládá do krátkodobé cache podle dvojice (token, cesta).
Třístavový breaker (closed / open / half_open) ve všech třech backendových SDK. Po sérii chyb přenosu → OPEN na krátký interval → 1 sonda HALF_OPEN. Chyby 4xx breaker nespustí. PHP používá APCu pro sdílení stavu mezi FPM workery. Konec čekání na timeout u každého jednotlivého požadavku během výpadku nadřazené služby.
Mapování důvod → (machine_code, human_hint). Koncový bod /shield/verify i těla odpovědí 403 ze všech 3 SDK vracejí remediation + remediation_code. Legitimní uživatelé chycení jako falešně pozitivní uvidí „Vaše relace vypršela — načtěte stránku znovu" místo tichého 403.
Drop-in PHP plugin: automaticky vkládá widget, dodává middleware ověřující Shield tokeny na /wp-login.php a administrátorských koncových bodech. Ve výchozím nastavení fail-closed, konfigurovatelné.
Vícerozměrné omezování rychlosti: podle IP, podle zařízení, podle koncového bodu, s progresivní eskalací. Serverové čítače s klouzavými okny.
Geolokace IP přes ip-api.com (krátkodobá cache). Seznamy blokovaných / povolených zemí pro každý web. Modifikátory skóre pro datová centra a proxy / Tor. Tvrdé zablokování už při načtení stránky — ještě před inicializací widgetu se zobrazí překryv o odepření přístupu.
Widget zabrání odeslání formuláře při skóre s vysokou jistotou. Červený překryv: „Blokováno systémem Corpilus Shield". Serverem podepsané tokeny HMAC-SHA256 se přes interceptor automaticky připojují k fetch().
278 zkompilovaných detekčních vzorců skenovaných automaticky u každé události — pokrývají všechny kategorie OWASP Top 10 2025. Kontrola na úrovni payloadu probíhá před skórováním.
AI analyzér průběžně analyzuje události. RAG kontext ukotvený v kurátorované bezpečnostní znalostní bázi. Automaticky vytváří hrozby a pravidla z reálných pozorování.
Předpřipravený kontext threat-intel (mini-CAG). Signatury botů, vzorce útoků a ukázky OWASP jsou zabudovány — nové weby jsou chráněny už od prvního zobrazení stránky.
Kolekce Security Knowledge v Shieldu obsahuje kurátorované dokumenty (OWASP Top 10, detekce botů, reakce na incidenty). Administrátoři mohou nahrát vlastní firemní playbooky, post-mortem zprávy nebo oborově specifické threat intel. Každé nahrání projde vícevrstvým skenem. Čisté dokumenty se uloží jako trust_state='pending', dokud je administrátor výslovně nepovýší na 'active'. Do RAG kontextu AI analyzéru se dostanou pouze aktivní dokumenty.
Sdílení anonymizovaných vzorců — IP redukované na /24, PII odstraněno, brány zralosti (experimental → candidate → confirmed). Potvrzený útočník jednoho nájemce se během minut stane známou hrozbou pro všechny.
MutationObserver widgetu při startu sejme snímek všech značek <script>. Každý následně vložený skript je nahlášen jako telemetrie script_integrity_violation se zdrojem src, příznakem external/same-origin, délkou obsahu a stabilním hashem. Omezeno na jedno načtení stránky. Allowlist nájemce pro důvěryhodné CDN.
Redis čítač pro každý SHA-256(account_id). Každé selhání nad limit přidá významné rizikové skóre. Distribuovaný útok, který rozprostře mnoho pokusů přes tisíce IP, stále dopadá do stejného účtu — pokus na victim@corp.com spustí výzvu bez ohledu na to, z jaké IP přišel. Čítač se po úspěšném přihlášení vynuluje.
GET /shield/password/breach-range/{prefix} — klient spočítá SHA-1(password) lokálně v prohlížeči, odešle pouze 5znakový hexadecimální prefix, Shield přepošle dotaz na api.pwnedpasswords.com a vrátí seznam přípon a počtů. Klient porovná svou vlastní příponu lokálně. Server nikdy nevidí otevřený text ANI celý hash.
Kontrola záznamů A/AAAA + MX při registraci. Při timeoutu fail-open. Krátkodobá cache pro každou doménu, takže rychlé vlny registrací ze stejné jednorázové domény opakovaně nezatěžují DNS.
Více než 25 chráněných značek (Google, Microsoft, Apple, PayPal, Stripe, Meta, LinkedIn, Revolut, SK/CZ banky a pojišťovny). Třístupňový detektor: 1) normalizovaná přesná shoda přes mapu homoglyfů, 2) Levenshteinova vzdálenost pro dlouhé značky, 3) podřetězec značky + dekorativní přípona (secure/login/support/verify/auth/signin/account/official/help).
Čítače rychlosti podle IP a podle zařízení. Požadavek na nedávné přihlášení: žádné nedávné úspěšné přihlášení z tohoto zařízení → významný rizikový signál. Kontinuita relace: password_change je nyní v sadě CITLIVÝCH událostí, takže plná odchylka otisku okamžitě blokuje. Klasický řetězec „útočník získá relaci → změní heslo → zamkne uživatele" musí přežít všechny tři brány.
E-mail (HTML), Slack, Discord, obecné JSON webhooky. Týdenní bezpečnostní report se statistikami, hlavními hrozbami a mírou blokování. Brána závažnosti pro každý webhook (low / medium / high / critical).
Každá změna pravidla, úprava konfigurace webu, ruční blokace a rozhodnutí AI je zaznamenáno s aktérem, časovým razítkem a rozdílem před/po. Zřetězeno hashem, podepsáno a exportovatelné jako balíček důkazů připravený pro auditora.
Tokeny HMAC-SHA256 jsou generovány na straně serveru z tajemství pro každý web a vraceny přes /shield/events. Widget podpisové tajemství nikdy nedrží — z uniklého site_key nelze padělat platné tokeny.
Row-Level Security v PostgreSQL vynucená na všech tabulkách shield_*. Každý požadavek běží pod rolí vázanou na nájemce — žádné obejití na úrovni aplikace není možné, ani když má API chybu.
Sleduje pokusy podle BIN karty napříč klouzavými okny. Vzorce nárůstu odpovídající testování karet aktivují progresivní výzvu nebo blokaci. Prahové hodnoty jsou nastavitelné pro každého nájemce; výchozí hodnoty jsou konzervativní.
Pokud se stejný otisk karty poskytnutý PSP objeví napříč více zařízeními, relacemi nebo nájemci v krátkém okně, pokusy jsou korelovány a vyhodnoceny jako koordinovaný útok. Surové PAN nikdy neopustí váš PSP.
Základní úroveň distribuce zemí vydavatelů vázaná na nájemce. Náhlá koncentrace pokusů proti vydavatelům z malého počtu zemí — výrazně nad základní úrovní — signalizuje pravděpodobný cardingový provoz.
Agreguje více signálů — rozmanitý rozptyl BIN, stejné zařízení nebo relaci, vysoký poměr selhání — do pojmenovaného verdiktu o cardingu. Zvyšuje závažnost rozhodnutí, když je potvrzen zpětnou vazbou PSP po zaúčtování.
Pozvolna doutnající útoky už neproklouznou. Shield sleduje celý průběh konverzace, ne jen jednotlivé zprávy odděleně. Útočník, který nevinně konverzuje mnoho kol a teprve pak se obrátí k získávání dat nebo phishingu přihlašovacích údajů, je zachycen ve chvíli, kdy se vzorec projeví.
Než váš agent spustí nástroj, Shield se ptá: je skutečný záměr uživatele v souladu s voláním tohoto nástroje? Žádost o shrnutí dokumentu by neměla spustit export databáze. Chat o rezervaci cesty by neměl volat platební nástroj. Nesoulady jsou pozastaveny ke kontrole.
Kompromitovaní agenti a zvědavé LLM obvykle prozkoumávají prostředí, než začnou jednat — vypisují adresáře, čtou cesty ke konfiguracím, vyjmenovávají proměnné prostředí. Shield označí tento průzkumný vzorec brzy, ještě než jakákoli data opustí systém.
Jediná konverzace nikdy nemůže tiše spotřebovat celý váš měsíční AI rozpočet. Shield vynucuje strop na tokeny, volání nástrojů a uplynulý čas pro každou relaci. Po dosažení limitu je relace pozastavena nebo ukončena a operátor je upozorněn.
Shield se naučí, jak vypadá normál pro každého uživatele — typické hodiny, typické akce, typické tempo — a tiše označí den, kdy se vzorec naruší. Přihlášená relace, která se náhle nechová vůbec jako skutečný uživatel, je považována za možné převzetí.
Návnadové záznamy, soubory a přihlašovací údaje jsou nastraženy na místa, kam by se podíval jedině útočník. Skuteční uživatelé je nikdy nespatří. Jakmile se některého z nich někdo dotkne, otevře ho nebo použije, získá Shield signál o průniku s vysokou jistotou a prakticky nulovým počtem falešně pozitivních případů.
Útočníci skrývají škodlivé payloady ve vrstvených kódováních — base64, hex, percent-encoding, unicode escape sekvence — aby proklouzli přes jednoduché řetězcové filtry. Shield tyto vrstvy rozbalí před skórováním, takže základní útok je porovnán se stejnými ochranami jako jeho verze v otevřeném textu.
Než se jakákoli aktualizace pravidla, modelu nebo skóreru nasadí, je spuštěna proti neustále rostoucímu korpusu reálných scénářů útoků. Pokud release nedopatřením oslabí detekci u známého tvaru hrozby, je změna zablokována v CI — ne až poté, co dojde k průniku u zákazníka.
Každé bezpečnostní rozhodnutí a změna konfigurace se zapisuje do řetězce odolného proti manipulaci. Úpravy a mazání jsou matematicky detekovatelné. Auditoři, regulátoři a tým reakce na incidenty získají důvěryhodnou časovou osu i v nejhorším případě, kdy se útočník dostane k administrátorským přihlašovacím údajům.
Když se něco stane, nechcete trávit hodiny sbíráním logů. Jedno kliknutí vytvoří šifrovaný balíček stavu příslušného nájemce s časovým razítkem — události, pravidla, rozhodnutí, nedávný provoz — připravený předat vašemu bezpečnostnímu týmu, právníkovi nebo regulátorovi.
Shield vás nesvazuje s jediným dodavatelem AI. Přineste si vlastní klíč OpenAI / Anthropic / Google, nasměrujte provoz na dedikovanou instanci Ollama nebo běžte plně lokálně. Nastavte si pevné nákladové stropy a směrovací pravidla. Vaše data putují pouze k poskytovatelům, které výslovně schválíte.
Pro vaše nejrizikovější akce může Shield vyžadovat gesto ukotvené v hardwaru: Touch ID, Windows Hello, hardwarový bezpečnostní klíč. Jde o kontroly fyzické přítomnosti, které agent poháněný LLM ani vzdálený útočník nevyřeší, ať je prompt jakkoli důmyslný.
Pro regulovaná, utajovaná nebo odpojená prostředí se Shield dodává jako self-hosted balíček s podepsanými release artefakty a plně offline instalační cestou. Nic nemusí komunikovat s veřejným internetem, přesto získáte aktualizace pravidel, modelů a zpravodajství podle vlastního harmonogramu.
Shield umí označit odeslání formulářů, zpráv a dokumentů, která vypadají spíše strojově generovaná než psaná člověkem. V kombinaci se signály chování a časování dává operátorům jasnou odpověď na otázku „je to skutečné?" u přihlášek, životopisů, tiketů podpory a recenzí.
Widget při startu sejme snímek fetch, XHR, navigator a userAgent a periodicky je znovu kontroluje. Pokud rozšíření prohlížeče, vložený skript nebo tag třetí strany přepne navigator.webdriver, obalí fetch, nahradí XHR nebo změní deskriptory objektu navigator, Shield manipulaci nahlásí a může odmítnout vydat token. Sledování změn jednotlivých atributů form.action / skrytých vstupů je na plánu, dnes zapojeno není.
Každý požadavek je kontrolován v O(1) proti více než 48 000 real-time indikátorům hrozeb s častou aktualizací. Žádné nastavování pro zákazníka — financováno platformou. Při shodě přidává navýšení skóre.
Vyhledávání v prémiových reputačních službách pouze u podezřelých událostí. Klíče šifrované přes Fernet pro každého nájemce; žádné klíče sdílené platformou, vyhledávání probíhá z vaší kvóty.
Všech deset kategorií OWASP 2025 je řešeno — A01 řízení přístupu, A02 chybná konfigurace, A03 dodavatelský řetězec, A04 kryptografie, A05 injekce, A06 návrh, A07 autentizace, A08 integrita, A09 logování, A10 zacházení s výjimkami. Sada vzorců čerpá z OWASP CRS v4, šablon nuclei a PayloadsAllTheThings.
Identifikuje boty od OpenAI, Anthropic, Google-Extended, Perplexity, ByteDance, CommonCrawl, Meta, Apple, Cohere, Mistral, AllenAI, You.com a dalších. Nájemce volí block / monitor / allow pro každého dodavatele.
log4j JNDI gadgety (${jndi:ldap://...}), LDAP injection, XML External Entity, injekce NoSQL operátorů ve stylu MongoDB — vše blokováno při příjmu na /shield/events ještě před dosažením vašeho backendu.
Pohled jen pro čtení na všech 278 vzorců, které Shield spouští u každého požadavku, seskupených podle kategorie. Zákazníci vidí přesně, co je chrání — žádná marketingová tvrzení k ověřování.
Kliknutím na libovolnou kartu rozbalíte úplný popis a model hrozby.
S evidencí manipulace, zřetězením hash, kryptograficky podepsaným.
Protokol auditu je právní a forenzní páteř Shield. Navrženo tak, aby ani kompromitovaný správce nemohl přepsat historii, aniž by to bylo viditelné.
SHA-256 hash chain
Každý záznam auditu nese SHA-256 hash předchozího záznamu plus aktuální kanonizovanou událost. Odstraněním nebo úpravou jakékoli minulé události dojde k porušení všech následných hashů a řetězec odmítne ověření.
Podepisování Ed25519 na nájemce
Každý nájemce má svůj vlastní pár klíčů Ed25519. Veřejný klíč je vystaven pro nezávislé ověření; soukromý klíč podepisuje každý auditní záznam v době zápisu. Uniklý výpis DB nelze zfalšovat bez soukromého klíče.
RFC 3161 časové kotvení
Řetězové hlavy jsou pravidelně ukotveny proti externímu úřadu pro časové razítko RFC 3161. To připojí protokol k absolutnímu času nástěnných hodin a dokazuje, že řetězec existoval v této podobě před časovým razítkem.
DB-role append-only hygiena
Role shield_app má pouze INSERT – UPDATE a DELETE jsou na úrovni PostgreSQL odvolány. Dokonce ani útočník s plnými přihlašovacími údaji pro kontext aplikace nemůže přepisovat řádky; museli by eskalovat na roli superuživatele DB, která je sama auditována na vrstvě platformy.
Ověřte a exportujte koncové body
GET /shield/audit/verify znovu projde hash řetězcem a ověří každý podpis; GET /shield/audit/export streamuje podepsaný archiv JSON oddělený řádky pro interní nebo externí auditory. Oba jsou omezeny na nájemce a sazbou.
Mapování shody
Poskytuje technické důkazy, které běžné bezpečnostní rámce vyžadují (neměnné protokolování, podepsaná integrita, monitorování, zarovnání GDPR čl. 32). Samotný Shield není externě certifikován — export podporuje váš audit, nenahrazuje jej.
Snímek incidentu jedním kliknutím, šifrovaný, mimo web.
Když se něco pokazí, potřebujete neměnný obraz okamžiku. Shield jej vyrobí za méně než minutu a zapečetí, aby jej mohl otevřít pouze váš soukromý klíč.
Co je uvnitř snapshotu
- •Bezpečnostní události (raw + rozhodnutí + kódy příčiny)
- •Řez protokolu auditu s řetězovou hlavou + podpis
- •Aktivní relace a signály na úrovni relace
- •Aktivní pravidla a historie verzí pravidel
- •Mezipaměť informací o hrozbách a nedávné události hrozeb
- •Chráněné weby a jejich konfigurace HMAC
- •Nastavení nájemce a příznaky funkcí
- •Události platformy (nasazení / zálohování / posun)
- •Container metadata (image, verze, host fingerprint)
Hybridní šifrování obálek
Jednorázový datový klíč AES-256-GCM šifruje užitečné zatížení. Datový klíč je zabalen do RSA-OAEP-SHA256 proti veřejnému klíči tenanta. Pouze držitel soukromého klíče může obnovit klíč AES a dešifrovat balíček. Infrastruktura Shield nemůže číst minulé snímky poté, co opustí produkční kontejner.
Skladování a provoz
Nahrání snímků do libovolného obchodu kompatibilního s S3 (AWS, Wasabi, MinIO, on-prem). Volitelný týdenní cron automaticky archivuje nový snímek pro nepřetržitou forenzní připravenost. Cíl MTTR od spouštěče po zapečetěný, nahraný archiv je ~60 sekund.
API surface
POST /shield/forensic/snapshot spustí nový snímek; GET /shield/forensic/snapshots uvádí existující s metadaty, velikostí a zapečetěným stavem. Oba jsou v rozsahu správce a vytvářejí události auditu na úrovni platformy.
Soulad a auditovatelnost bez přehnaných nároků.
Shield poskytuje technické důkazy, protokoly a mapování. Formální certifikace nebo zákaznická atestace závisí na konkrétním rozsahu nasazení.
Auditorský záznam připravený pro auditora
Shield vytváří protokoly auditu, důvody rozhodnutí a exporty, které mohou podpořit kontrolu zabezpečení a dodržování předpisů. Formální certifikace nebo atestace jsou potvrzovány individuálně podle rozsahu zákazníka.
Podpora důkazů auditora
Technické kontroly lze namapovat na rámec vašeho interního auditu. Samotný Shield není externě certifikován.
MITRE ATT&CK
Detekce mohou být mapovány na příslušné techniky MITER ATT&CK, zejména Initial Access, Credential Access, Exfiltration a Command & Control.
OWASP OAT
Shield pokrývá několik tříd automatizovaných hrozeb z OWASP OAT. Podrobné mapování je zákazníkům poskytnuto v technických materiálech.
Útoky na náklady inference (RA-ICA): terčem se nově stává vaše peněženka
Recenzovaná třída útoků z roku 2026 (Hong Kong Polytechnic University), která se nedotkne vašich dat ani dostupnosti — pouze tiše násobí váš účet za AI.
Útočník umístí na veřejný web otrávený dokument. Váš RAG asistent jej při běžném dotazu načte a model spálí mnohonásobně více tokenů — odpověď přitom zůstává správná, takže nic nevypadá podezřele, dokud nedorazí faktura.
Tři taktiky (framework CREEP)
Skryté matematické, logické či plánovací hádanky, které model v průběhu uvažování nevědomky řeší, a přitom spaluje tokeny.
Vzájemně si odporující fakta, jež model nutí k uvažování navíc a k rozsáhlým generacím.
Útočná AI optimalizuje text na maximální náklady, přičemž zůstává nenápadná a uniká detekci.
Jak to Shield zastaví — v každé fázi
| Fáze útoku | Obrana Shield | Účinek |
|---|---|---|
| 1 · Škodlivý dokument musí být načten | Relevanční brána a prahové hodnoty udrží slabě relevantní nebo násilně vnucené dokumenty mimo kontext. | Filtruje oportunistické otrávení. |
| 2 · Skryté instrukce v dokumentu | Sanitizace načteného obsahu (datově označeného jako „zacházet pouze jako s textem“) a oddělení nedůvěryhodných zdrojů. | Model ignoruje vložené úlohy. |
| 3 · Nafouknutí výstupních tokenů (jádro) | Tvrdý strop výstupních tokenů na požadavek a řízení rozpočtu kontextu (limit podílu načteného obsahu, deduplikace). | 13× zesílení je zastropováno. |
| 4 · Kumulativní náklady napříč požadavky (DoW) | Progresivní omezování rychlosti, rozpočty na relaci (tokeny / náklady / čas) a telemetrie skóre důvěry agenta. | Bot nedokáže útok škálovat. |
Jádrem RA-ICA je nafouknutí výstupu (ve studii ~100 → 2 048 tokenů). Tvrdý strop výstupu na požadavek je u Shield přesně tím, co rozbíjí zesílení, jež útok činí ziskovým.
Jedna obranná vrstva, celá rodina hrozeb LLM (OWASP LLM Top 10)
RA-ICA leží na průniku dvou rodin útoků, které Shield již pokrývá — tatáž vrstva chrání proti celému spektru.
| Třída útoku | Jak Shield reaguje |
|---|---|
| Náklady inference / Denial-of-Wallet | Strop výstupních tokenů, rozpočet kontextu, omezování rychlosti, rozpočty na relaci, vzory vyčerpání zdrojů. |
| Otrávení znalostní báze / RAG | Sanitizace načteného obsahu, relevanční brána, oddělení důvěryhodných a nedůvěryhodných zdrojů. |
| Prompt injection (přímá i nepřímá) | Vzorová pravidla a sémantický firewall; nepřímé injektáže skryté v dokumentech jsou neutralizovány. |
| Jailbreak (DAN, vývojářský režim, hraní rolí) | Pravidla a sémantický firewall zachytí zamaskované a parafrázované varianty podle významu. |
| Únik systémového promptu / konfigurace | Skenování vstupu i výstupu; pokusy o extrakci blokovány, úniky na výstupu redigovány. |
| Exfiltrace dat / PII | Skenování výstupu — hesla, API klíče, JWT, soukromé klíče, identifikátory a kontakty zachyceny a redigovány. |
| Zneužití nástrojů / akcí | Inspekce argumentů nástrojů a seznam nebezpečných operací (spouštění kódu, mazání, přístup k souborům). |
| Obfuskace / kódování (Base64, ROT13, hex) | Detekce kódovaných payloadů a pokusů o pašování tokenů. |
| Vydávání se za autoritu | Detekuje manipulace typu „jsem váš vývojář / administrátor / oficiální test“. |
Nezávislé vrstvy — selhání jedné neshodí celek.
Ochrana není jediný filtr. Je to několik nezávislých vrstev.
Vstupní strážce
Vzory pravidel v 6 rodinách (prompt injection, jailbreak, zneužití nástrojů, otrávení paměti, únik dat, vyčerpání zdrojů). Běží před modelem.
Sémantický firewall
Více než 100 kurátorovaných vzorů útoků v 16 typech (vč. explicitního Denial-of-Wallet), na úrovni významu (embeddingy) — zachytí parafráze a obfuskaci.
Ochranné mantinely RAG
Sanitizace načteného obsahu, relevanční brána, oddělení nedůvěryhodných zdrojů, deduplikace a rozpočet kontextu.
Strop výstupních tokenů
Tvrdý limit délky generace na požadavek, vyladěný podle úlohy a modelu.
Výstupní strážce
Redakce úniků: přihlašovací údaje, API klíče, JWT, soukromé klíče, PII — funguje i u streamovaných odpovědí.
Rozpočty na relaci
Stropy na tokeny, náklady, čas a volání nástrojů v rámci jediné relace.
Omezování rychlosti
Na IP / zařízení / endpoint, progresivní (monitorování → zpomalení → výzva → blokace).
Telemetrie a audit
Sledování spotřeby tokenů a skóre důvěry agenta, webhooky pro hrozby a auditní log odolný proti manipulaci.
Integrujte Shield přesně tak, jak potřebujete.
Nasaďte podle toho, co potřebujete chránit.
LLM Proxy (drop-in)
Stačí vyměnit jedinou base_url za OpenAI / Anthropic. Shield skenuje vstup (blokuje před poskytovatelem) i výstup (rediguje úniky). Zachovává váš API klíč, streaming i volání nástrojů.
Scan API
Endpointy pro skenování vstupu, výstupu a volání nástrojů určené k vlastní integraci do vaší stávající pipeline.
Ochrana RAG
Sanitizace, relevanční brána a oddělení zdrojů přímo ve vaší chatovací / RAG pipeline.
Webový widget
Chrání formuláře, přihlášení a API před boty a zneužitím (klasická vrstva WAF a ochrany před boty).
Technická bílá kniha
Podrobný technický dokument včetně integračních diagramů, modelování hrozeb a výkonnostních benchmarků.
Upozornění na rozsah ochrany. Corpilus Shield je ochranná vrstva AI v reálném čase navržená tak, aby rozšiřovala standardní bezpečnostní mechanismy pro webové stránky, e-shopy a aplikace LLM, nikoli je nahrazovala. Nenahrazuje antivirus, firewall, penetrační testování ani formální bezpečnostní audit. Pro komplexní ochranu doporučujeme kombinovat více vrstev.