Dinamica di battitura, R² della traiettoria del mouse, schemi di scorrimento, eventi touch, tempi di compilazione dei moduli, permanenza sulla pagina: una pluralità di segnali confluisce nello scorer locale e nella pipeline di scoring del backend.
Shield sotto il cofano.
Vista tecnica su come Shield protegge input web, chat AI esistente, LLM proxy e strumenti MCP: architettura, flusso decisionale, audit e confronto con WAF / reCAPTCHA.
Primo strato di protezione — non un SIEM, non uno strumento analitico.
Shield è uno strato di protezione attiva e passiva per form, login, checkout, upload, chat IA, strumenti MCP e API. La dashboard mostra decisioni ed eventi per consentirti di regolare la difesa — non è un log explorer. Gli eventi sono segnale operativo, non inventario analitico.
Shield è:
- ✓Protezione inline per web / e-commerce / chat / MCP / backend
- ✓Decisione per richiesta: allow / monitor / challenge / block
- ✓Audit log firmato e a prova di manomissione di ogni decisione
- ✓SDK nativo mobile — iOS + Android — nella roadmap (Sprint M)
Shield non è:
- ×Uno SIEM o un aggregatore di log
- ×Un sostituto del tuo WAF o CDN — sta uno strato più in basso
- ×Uno strumento di reporting o analytics business
- ×Un prodotto di compliance certificato — i controlli si allineano ai framework, l'audit è il tuo
Tre percorsi di protezione in base a ciò che devi proteggere.
Shield può stare davanti al sito, alla chat AI o agli strumenti MCP. Ogni percorso ha un punto decisionale chiaro e un risultato auditabile.
Web e form
Il widget JS e l’SDK backend proteggono form di contatto, login, checkout e upload. Raccolgono segnali di sicurezza, allegano un token HMAC e consentono allow / challenge / block prima che la richiesta raggiunga logica sensibile.
Chat AI e LLM proxy
Prompt e risposta passano attraverso un firewall LLM. Shield può anonimizzare dati sensibili, bloccare prompt injection, verificare leakage di istruzioni di sistema e funzionare davanti alla chat che già usi.
Strumenti MCP, policy e audit
Le chiamate MCP sono valutate per schema, permessi e rischio dell’azione. Tool call distruttive o sensibili possono richiedere approval gate. Ogni decisione finisce in un audit log scoped per tenant.
Cosa copre Shield vs. WAF vs. CAPTCHA.
Shield non sostituisce la protezione perimetrale esistente. Lavora un livello più in profondità.
| Capacità | Shield | WAF | reCAPTCHA / Tornello |
|---|---|---|---|
| Rilevamento bot headless | Sì — scoring multi-segnale | Parziale (reputazione IP) | Sì — all’ingresso |
| Prompt injection contro LLM | Sì — firewall semantico | No | No |
| Abuso di agenti MCP | Sì — policy engine | No | No |
| Form spam / email usa e getta | Sì — 5 lingue | No | Parziale |
| Scansione malware upload | Sì — quarantena | Parziale | No |
| Payload SQL injection | Sì — validazione AST | Sì — regex | No |
| Credential stuffing (distribuito) | Sì — blocco per account | Parziale (per IP) | Parziale |
| Audit log a prova di manomissione | Sì — esportabile | Variabile | No |
40+ capacità concrete in 9 categorie.
Matrice completa categorizzata. Soglie esatte, pesi dei segnali e dettagli di detection sono disponibili ai clienti nel portale.
Canvas, WebGL, contesto audio, rilevamento dei font e fingerprinting del navigator fusi in un hash di dispositivo SHA-256. Rileva browser headless e strumenti anti-detect.
Snapshot in cache di breve durata di device_hash, webgl_renderer, user_agent, fuso orario e risoluzione dello schermo all'avvio della sessione. Gli eventi sensibili (login, invio di moduli, checkout) confrontano il fingerprint in tempo reale; qualsiasi deriva aggiunge segnali di rischio rilevanti.
Base URL compatibile con OpenAI e Anthropic. Shield analizza ogni prompt prima di inoltrarlo e ogni completamento prima di restituirlo, blocca in caso di violazione delle policy e rimuove PII / segreti durante lo streaming.
Rilevamento basato su embedding attraverso numerose categorie di attacco. "Ignora le direttive precedenti" ≈ "Disregard earlier instructions" per similarità del coseno. Embedding eseguiti localmente con Ollama: zero costi API per richiesta.
Intercettazione delle chiamate agli strumenti per gli agenti Claude / Cursor / IDE. Validazione degli argomenti tramite JSON Schema, limite di passaggi nella catena, allowlist di domini, gate di approvazione esplicita per gli strumenti distruttivi. Ispeziona ogni invocazione rispetto alle regole di protezione dell'agente prima dell'esecuzione.
Oltre 40 pattern che analizzano input + output + chiamate agli strumenti, prima e dopo l'esecuzione del modello. Opera in parallelo al Firewall semantico per una difesa a più livelli.
5 strumenti esposti tramite MCP: shield_get_stats, shield_get_threats, shield_add_rule, shield_get_events, shield_verify_token. Permetti al tuo agente Claude / Cursor di indagare sugli incidenti e intervenire senza uscire dalla chat.
Validazione SQL tramite parsing AST. Blocca UNION, INTO OUTFILE, pg_sleep, information_schema. Tetto massimo sul LIMIT. Colonne sensibili (password, api_key, ssn) oscurate automaticamente. Fingerprinting delle query e tabelle trappola con honeytoken.
Rilevamento dei wallet: BTC (P2PKH/Bech32), ETH, SOL, TRX, XRP, LTC, DOGE. Scansione delle seed phrase BIP-39 (12/24 parole). Prompt di firma (EIP-712). Blocco dei domini di mining. Pattern di reindirizzamento dei pagamenti.
Rilevamento di testo incomprensibile tramite bigrammi (EN / DE / CS / SK / ES), oltre 100 domini email usa e getta, pattern di spam (caratteri ripetuti, TUTTO MAIUSCOLO, raffiche di URL), rilevamento di nomi sospetti. Il corpus di phishing e contenuti dannosi copre 9 lingue (vedi la card Phishing). Scoring additivo con bonus per cluster.
Scanner multilivello per email + allegati. Rileva testi in slovacco/ceco/polacco/tedesco/francese/spagnolo/serbo privati dei segni diacritici (nel mondo reale, il segnale di phishing più forte), social engineering basato su suggerimenti per la password in 9 lingue, nomi di file che imitano i mainframe e file PDF / Office protetti da password. Il cluster indipendente dal brand intercetta la stessa struttura a prescindere dal nome dell'azienda impersonata.
check_upload() accetta i form_fields. Quando il caricamento di un file è accompagnato dai dati di un modulo (titolo, descrizione, nome, messaggio), lo Scoring della qualità dei contenuti viene applicato anche a quei campi. Un PDF pulito con metadati incomprensibili viene comunque rifiutato con uno score ad alta affidabilità.
Ogni file attraversa un gate di quarantena: allowlist delle estensioni, sniffing MIME tramite magic-byte, rilevamento di macro Office, JavaScript / Launch / OpenAction nei PDF, iniezione di script SVG / HTML. Dimensione massima ed elenco delle estensioni configurabili per tenant.
Python (FastAPI / Django / Flask), Node.js (Express / Next.js), PHP (WordPress / Laravel). Valida X-Shield-Token su ogni richiesta. Nessun token → 403. La verifica HMAC viene memorizzata in una cache di breve durata per (token, path).
Breaker a 3 stati (closed / open / half_open) in tutti e tre gli SDK backend. Dopo una serie di errori di trasporto consecutivi → OPEN per un breve intervallo → 1 sonda HALF_OPEN. I 4xx non fanno scattare il breaker. PHP usa APCu per condividere lo stato tra i worker FPM. Basta timeout su ogni richiesta durante un incidente upstream.
Mappatura motivo → (machine_code, human_hint). /shield/verify e le risposte 403 di tutti e 3 gli SDK restituiscono remediation + remediation_code. Gli utenti legittimi colpiti da un falso positivo vedono "La tua sessione è scaduta: ricarica la pagina" invece di un 403 silenzioso.
Plugin PHP drop-in: inietta automaticamente il widget e include un middleware che valida i token Shield su /wp-login.php e sugli endpoint admin. Fail-closed per impostazione predefinita, configurabile.
Rate limiting multidimensionale: per IP, per dispositivo, per endpoint, con escalation progressiva. Contatori lato server con finestre scorrevoli.
Geolocalizzazione IP tramite ip-api.com (cache di breve durata). Elenchi di paesi bloccati / consentiti per sito. Modificatori dello score per datacenter e proxy / Tor. Blocco rigido al caricamento della pagina, con overlay di accesso negato prima dell'inizializzazione del widget.
Il widget impedisce l'invio del modulo quando lo score è ad alta affidabilità. Overlay rosso: "Bloccato da Corpilus Shield". Token HMAC-SHA256 firmati dal server e allegati automaticamente alle fetch() tramite interceptor.
278 pattern di rilevamento compilati, eseguiti automaticamente su ogni evento: coprono tutte le categorie della OWASP Top 10 2025. L'ispezione a livello di payload avviene prima dello scoring.
L'analizzatore AI esamina gli eventi in modo continuo. Contesto RAG ancorato a una base di conoscenza di sicurezza curata. Crea automaticamente minacce e regole a partire da osservazioni reali.
Contesto di threat-intel predefinito (mini-CAG). Firme dei bot, pattern d'attacco e campioni OWASP già integrati: i nuovi siti sono protetti fin dalla prima visualizzazione di pagina.
La collezione Security Knowledge di Shield include documenti curati (OWASP Top 10, rilevamento dei bot, risposta agli incidenti). Gli amministratori possono caricare i propri playbook aziendali, report post-mortem o threat intel specifica del proprio dominio. Ogni caricamento viene sottoposto a una scansione multilivello. I documenti puliti vengono acquisiti con trust_state='pending' finché un amministratore non li promuove esplicitamente a 'active'. Solo i documenti attivi raggiungono il contesto RAG dell'analizzatore AI.
Condivisione anonimizzata dei pattern: IP ridotti a /24, PII rimosse, gating per livello di maturità (sperimentale → candidato → confermato). Un attaccante confermato presso un tenant diventa una minaccia nota per tutti nel giro di minuti.
Il MutationObserver del widget acquisisce all'avvio uno snapshot di tutti i tag <script>. Qualsiasi script iniettato in seguito viene segnalato come telemetria script_integrity_violation, con src, esterno/stessa-origine, lunghezza del contenuto e hash stabile. Con limite per caricamento di pagina. Allowlist per tenant per le CDN attendibili.
Contatore Redis per SHA-256(account_id). Ogni tentativo fallito oltre il limite aggiunge uno score di rischio rilevante. Un attacco distribuito che spalma molti tentativi su migliaia di IP finisce comunque nello stesso bucket dell'account: il tentativo su victim@corp.com attiva la sfida indipendentemente dall'IP che l'ha inviato. Il contatore si azzera dopo un login riuscito.
GET /shield/password/breach-range/{prefix}: il client calcola SHA-1(password) localmente nel browser e invia solo il prefisso esadecimale di 5 caratteri; Shield fa da proxy verso api.pwnedpasswords.com e restituisce in streaming l'elenco suffisso+conteggio. Il client confronta in locale il proprio suffisso. Il server non vede mai il testo in chiaro NÉ l'hash completo.
Verifica dei record A/AAAA + MX in fase di registrazione. Fail-open in caso di timeout. Cache per dominio di breve durata, così le ondate rapide di registrazioni dallo stesso dominio usa e getta non tempestano nuovamente il DNS.
Oltre 25 brand protetti (Google, Microsoft, Apple, PayPal, Stripe, Meta, LinkedIn, Revolut, banche e assicurazioni SK/CZ). Rilevatore a tre livelli: 1) corrispondenza esatta normalizzata tramite mappa degli homoglyph, 2) distanza di Levenshtein per i brand lunghi, 3) sottostringa del brand con suffisso decorativo (secure/login/support/verify/auth/signin/account/official/help).
Contatori di velocità per IP e per dispositivo. Requisito di login recente: nessun login riuscito di recente da questo dispositivo → segnale di rischio rilevante. Continuità della sessione: password_change ora fa parte dell'insieme di eventi SENSITIVE, quindi una deriva completa del fingerprint blocca immediatamente. La classica catena 'l'attaccante si impossessa della sessione → cambia la password → blocca l'utente' deve superare tutti e tre i gate.
Email (HTML), Slack, Discord, webhook JSON generici. Report settimanale di sicurezza con statistiche, principali minacce e tasso di blocco. Gate di gravità per ciascun webhook (low / medium / high / critical).
Ogni modifica a una regola, modifica alla configurazione del sito, blocco manuale e decisione dell'AI viene registrata con autore, timestamp e diff prima/dopo. Il tutto è concatenato tramite hash, firmato ed esportabile come bundle di prove pronto per il revisore.
I token HMAC-SHA256 vengono generati lato server a partire dal segreto specifico del sito e restituiti tramite /shield/events. Il widget non detiene mai il segreto di firma: una site_key trafugata non può essere usata per falsificare token validi.
Row-Level Security di PostgreSQL forzata su tutte le tabelle shield_*. Ogni richiesta viene eseguita con un ruolo limitato al tenant: nessun bypass a livello applicativo è possibile, nemmeno in presenza di un bug nell'API.
Traccia i tentativi per BIN della carta su finestre scorrevoli. I pattern di burst coerenti con attività di card-testing attivano una sfida progressiva o un blocco. Le soglie sono regolabili per tenant; i valori predefiniti sono prudenti.
Quando lo stesso fingerprint di carta fornito dal PSP compare su più dispositivi, sessioni o tenant in un breve intervallo, i tentativi vengono correlati e classificati come attacco coordinato. Il PAN in chiaro non lascia mai il tuo PSP.
Baseline per tenant della distribuzione per paese dell'emittente. Una concentrazione improvvisa di tentativi verso emittenti di un numero ristretto di paesi, ben al di sopra della baseline, segnala probabile traffico di carding.
Aggrega più segnali (ampia varietà di BIN, stesso dispositivo o sessione, alto tasso di fallimento) in un verdetto di carding esplicito. Innalza la gravità della decisione quando viene confermato dal feedback post-addebito del PSP.
Gli attacchi a fuoco lento non sfuggono più. Shield osserva l'intero arco della conversazione, e non un singolo messaggio alla volta. Un attaccante che chatta in modo innocuo per molti turni e solo allora vira verso l'estrazione di dati o il phishing di credenziali viene intercettato nel momento in cui il pattern emerge.
Prima che il tuo agente esegua uno strumento, Shield si chiede: l'intento reale dell'utente è coerente con la chiamata a questo strumento? Una richiesta di riassumere un documento non dovrebbe attivare un export del database. Una chat per la prenotazione di viaggi non dovrebbe chiamare uno strumento di pagamento. Le discrepanze vengono messe in attesa di revisione.
Gli agenti compromessi e gli LLM curiosi di norma scandagliano l'ambiente prima di agire: elencano directory, leggono i percorsi di configurazione, enumerano le variabili d'ambiente. Shield segnala questo pattern di ricognizione in anticipo, prima che qualsiasi dato lasci il sistema.
Una singola conversazione non può mai consumare silenziosamente l'intero budget mensile di AI. Shield impone un tetto per sessione su token, chiamate agli strumenti e tempo trascorso. Al raggiungimento del limite la sessione viene messa in pausa o terminata e l'operatore viene avvisato.
Shield impara quale sia la normalità per ciascun utente (orari tipici, azioni tipiche, ritmo tipico) e segnala con discrezione il giorno in cui quel pattern viene meno. Una sessione autenticata che all'improvviso non assomiglia per nulla all'utente reale viene trattata come un possibile takeover.
Record, file e credenziali esca vengono collocati in luoghi in cui solo un attaccante andrebbe a scavare. Gli utenti reali non li vedono mai. Nel momento in cui uno di essi viene toccato, consultato o utilizzato, Shield ottiene un segnale di violazione ad alta affidabilità con falsi positivi praticamente nulli.
Gli attaccanti nascondono i payload malevoli all'interno di codifiche a più livelli (base64, hex, percent-encoding, escape unicode) per eludere i semplici filtri sulle stringhe. Shield rimuove questi strati prima dello scoring, così l'attacco sottostante viene confrontato con le stesse protezioni applicate a una versione in testo semplice.
Prima del rilascio di qualsiasi aggiornamento di una regola, di un modello o di uno scorer, questo viene eseguito su un corpus in continua crescita di scenari d'attacco reali. Se un rilascio indebolisce accidentalmente il rilevamento su una struttura di minaccia nota, la modifica viene bloccata in CI, non dopo che un cliente è stato violato.
Ogni decisione di sicurezza e ogni modifica di configurazione viene scritta in una catena a prova di manomissione. Modifiche e cancellazioni sono matematicamente rilevabili. Revisori, regolatori e responsabili della risposta agli incidenti dispongono di una cronologia affidabile anche nello scenario peggiore, in cui un attaccante arrivi alle credenziali di amministratore.
Quando succede qualcosa, non vuoi passare ore a raccogliere i log. Un clic produce un bundle cifrato e datato dello stato rilevante del tenant (eventi, regole, decisioni, traffico recente), pronto da consegnare al tuo team di sicurezza, all'ufficio legale o al regolatore.
Shield non ti vincola a un unico fornitore di AI. Porta la tua chiave OpenAI / Anthropic / Google, punta a un'istanza Ollama dedicata oppure esegui tutto in locale. Imposta tetti rigidi sui costi e regole di routing. I tuoi dati raggiungono solo i provider che approvi esplicitamente.
Per le tue azioni a più alto rischio Shield può richiedere un gesto radicato nell'hardware: Touch ID, Windows Hello, una chiave di sicurezza hardware. Si tratta di verifiche di presenza fisica che un agente basato su LLM o un attaccante remoto non possono superare, per quanto astuto sia il prompt.
Per ambienti regolamentati, classificati o disconnessi Shield viene distribuito come pacchetto self-hosted con artefatti di rilascio firmati e un percorso di installazione completamente offline. Nulla deve comunicare con la rete internet pubblica, eppure ricevi comunque gli aggiornamenti di regole, modelli e intel secondo la tua pianificazione.
Shield può segnalare invii di moduli, messaggi e documenti che appaiono generati da una macchina anziché digitati da una persona. Combinato con i segnali comportamentali e di tempistica, fornisce agli operatori una risposta chiara alla domanda "è autentico?" su moduli di candidatura, CV, ticket di supporto e recensioni.
All'avvio il widget acquisisce uno snapshot di fetch, XHR, navigator e userAgent e li ricontrolla periodicamente. Se un'estensione del browser, uno script iniettato o un tag di terze parti modifica navigator.webdriver, avvolge fetch, sostituisce XHR o altera i descrittori di navigator, Shield segnala la manomissione e può rifiutarsi di emettere un token. Il tracciamento per singolo attributo delle modifiche a form.action / input nascosti è previsto in roadmap e non è ancora attivo.
Ogni richiesta viene verificata in O(1) su oltre 48.000 indicatori di minaccia in tempo reale, aggiornati di frequente. Nessuna configurazione da parte del cliente: il servizio è finanziato dalla piattaforma. In caso di corrispondenza aggiunge un incremento allo score.
Lookup su servizi di reputazione premium solo per gli eventi sospetti. Chiavi cifrate con Fernet per ciascun tenant; nessuna chiave condivisa dalla piattaforma, i lookup gravano sulla tua quota.
Coperte tutte e dieci le categorie OWASP 2025: A01 controllo degli accessi, A02 misconfigurazione, A03 supply chain, A04 crittografia, A05 injection, A06 design, A07 autenticazione, A08 integrità, A09 logging, A10 gestione delle eccezioni. Insieme di pattern derivato da OWASP CRS v4, template nuclei, PayloadsAllTheThings.
Identifica i bot di OpenAI, Anthropic, Google-Extended, Perplexity, ByteDance, CommonCrawl, Meta, Apple, Cohere, Mistral, AllenAI, You.com e altri. Il tenant sceglie block / monitor / allow per ciascun fornitore.
Gadget JNDI di log4j (${jndi:ldap://...}), LDAP injection, XML External Entity, injection di operatori NoSQL in stile MongoDB: tutti bloccati all'ingestione di /shield/events, prima che raggiungano il tuo backend.
Vista in sola lettura di tutti i 278 pattern che Shield esegue su ogni richiesta, raggruppati per categoria. I clienti vedono esattamente ciò che li protegge: nessuna promessa di marketing da verificare.
Clicca una scheda per aprire descrizione tecnica e threat model.
Inviolabile, concatenato per hash, firmato crittograficamente.
Il registro di audit è la spina dorsale legale e forense di Shield. Progettato in modo che neanche un amministratore compromesso possa riscrivere la storia senza che sia visibile.
Catena hash SHA-256
Ogni record di audit contiene l'hash SHA-256 del record precedente più l'evento corrente canonizzato. La rimozione o la modifica di qualsiasi evento passato interrompe ogni hash downstream e la catena rifiuta la verifica.
Firma Ed25519 per tenant
Ogni inquilino ha la propria coppia di chiavi Ed25519. La chiave pubblica viene esposta per una verifica indipendente; la chiave privata firma ogni record di audit al momento della scrittura. Un dump del DB trapelato non può essere falsificato senza la chiave privata.
RFC 3161 ancoraggio temporale
Le teste della catena vengono periodicamente ancorate a un'autorità di marca temporale RFC 3161 esterna. Ciò lega il registro all'ora assoluta dell'orologio a muro e dimostra che la catena esisteva in quella forma prima del timestamp.
Igiene di sola aggiunta del ruolo DB
Il ruolo scudo_app ha solo INSERT: UPDATE e DELETE vengono REVOCATI al livello PostgreSQL. Anche un utente malintenzionato con credenziali complete per il contesto dell'app non può riscrivere le righe; avrebbero bisogno di passare al ruolo DB di superutente, che è a sua volta controllato a livello di piattaforma.
Verifica ed esporta gli endpoint
GET /shield/audit/verify ripercorre la catena hash e convalida ogni firma; GET /shield/audit/export trasmette in streaming un archivio JSON firmato e delimitato da righe per revisori interni o esterni. Entrambi hanno un ambito di tenant e una tariffa limitata.
Mappatura della conformità
Fornisce prove tecniche richieste dai comuni quadri di sicurezza (registrazione immutabile, integrità firmata, monitoraggio, allineamento GDPR Art. 32). Shield in sé non è certificato esternamente: l'esportazione supporta il tuo audit, non ne sostituisce uno.
Snapshot di incidente in un clic, cifrato, off-site.
Quando qualcosa va storto, hai bisogno di un'immagine immutabile del momento. Shield la produce in meno di un minuto e la sigilla in modo che solo la tua chiave privata possa aprirla.
Cosa contiene uno snapshot
- •Eventi di sicurezza (grezzi + decisioni + codici motivo)
- •Sezione del registro di controllo con testata a catena + firma
- •Sessioni attive e segnali a livello di sessione
- •Regole attive e cronologia delle versioni delle regole
- •Cache di intelligence sulle minacce ed eventi recenti di minaccia
- •Siti protetti e relativa configurazione HMAC
- •Impostazioni del tenant e flag di funzionalità
- •Eventi della piattaforma (distribuzione/backup/deriva)
- •Metadati del contenitore (immagine, versione, impronta digitale dell'host)
Cifratura a busta ibrida
Una chiave dati AES-256-GCM monouso cifra il payload. La chiave dati viene avvolta con RSA-OAEP-SHA256 contro la chiave pubblica del tenant. Solo il detentore della chiave privata può recuperare la chiave AES e decifrare il bundle. L'infrastruttura Shield non può leggere snapshot passati una volta che hanno lasciato il container che li ha prodotti.
Storage e operatività
Gli snapshot vengono caricati su qualsiasi storage compatibile con S3 (AWS, Wasabi, MinIO, on-prem). Un cron settimanale opzionale archivia automaticamente un nuovo snapshot per una prontezza forense continua. Il target MTTR dal trigger all'archivio sigillato e caricato è ~60 secondi.
Superficie API
POST /shield/forensic/snapshot innesca un nuovo snapshot; GET /shield/forensic/snapshots elenca quelli esistenti con metadati, dimensione e stato di sigillatura. Entrambi sono in ambito admin e producono eventi di audit a livello piattaforma.
Compliance e auditabilità senza promesse eccessive.
Shield fornisce evidenze tecniche, log e mapping. Certificazioni formali o attestazioni cliente dipendono dallo scope di deployment.
Traccia di controllo pronta per il revisore
Shield produce audit log, motivi delle decisioni ed export utili per revisioni security e compliance. Certificazione o attestazione formale vengono confermate individualmente in base allo scope cliente.
Supporto delle prove del revisore
I controlli tecnici possono essere mappati sul tuo framework di audit interno. Shield non è certificato esternamente.
MITRE ATT&CK
Le detection possono essere mappate a tecniche MITRE ATT&CK rilevanti, soprattutto Initial Access, Credential Access, Exfiltration e Command & Control.
OWASP OAT
Shield copre più classi di minacce automatizzate OWASP OAT. Il mapping dettagliato viene fornito ai clienti nei materiali tecnici.
Attacchi al costo di inferenza (RA-ICA): ora il bersaglio è il portafoglio
Una classe di attacco validata da peer review nel 2026 (Hong Kong Polytechnic University) che non compromette i tuoi dati né la disponibilità del servizio: moltiplica silenziosamente la tua spesa per l'AI.
Un attaccante colloca un documento avvelenato sul web pubblico. Il tuo assistente RAG lo recupera in risposta a una domanda qualunque e il modello consuma molti più token: la risposta resta corretta, quindi nulla appare anomalo finché non arriva la fattura.
Tre tattiche (framework CREEP)
Enigmi matematici, logici o di pianificazione nascosti che il modello risolve inconsapevolmente durante il ragionamento, consumando token.
Fatti mutuamente contraddittori che spingono il modello a ragionare eccessivamente e a generare risposte lunghe.
Un'AI attaccante ottimizza il testo per massimizzare il costo rimanendo inappariscente ed eludendo il rilevamento.
Come Shield lo blocca, in ogni fase
| Fase dell'attacco | Difesa di Shield | Effetto |
|---|---|---|
| 1 · Il documento malevolo deve essere recuperato | Il gate di pertinenza e le soglie tengono fuori dal contesto i documenti scarsamente pertinenti o iniettati forzatamente. | Filtra l'avvelenamento opportunistico. |
| 2 · Istruzioni nascoste nel documento | Sanificazione dei contenuti recuperati (contrassegnati come dati, 'trattare solo come testo') + separazione delle fonti non attendibili. | Il modello ignora i compiti incorporati. |
| 3 · Inflazione dei token di output (il cuore dell'attacco) | Limite rigido di token di output per richiesta + gestione del budget di contesto (limite sulla quota di recupero, deduplicazione). | L'amplificazione di 13× viene contenuta. |
| 4 · Costo cumulativo tra le richieste (DoW) | Rate-limiting progressivo + budget per sessione (token / costo / tempo) + telemetria del trust-score dell'agente. | Un bot non può scalare l'attacco. |
Il cuore di RA-ICA è l'inflazione dell'output (nello studio, da ~100 a 2.048 token). Il limite rigido di output per richiesta di Shield è esattamente ciò che spezza l'amplificazione che rende l'attacco redditizio.
Un solo livello di difesa, l'intera famiglia di minacce LLM (OWASP LLM Top 10)
RA-ICA si colloca all'intersezione di due famiglie di attacco che Shield copre già: un unico livello protegge dall'intero spettro.
| Classe di attacco | Come risponde Shield |
|---|---|
| Costo di inferenza / Denial-of-Wallet | Limite di token di output, budget di contesto, rate-limiting, budget per sessione, pattern di esaurimento delle risorse. |
| Avvelenamento della knowledge base / RAG | Sanificazione dei contenuti recuperati, gate di pertinenza, separazione tra fonti attendibili e non attendibili. |
| Prompt injection (diretta e indiretta) | Regole basate su pattern + firewall semantico; le iniezioni indirette nascoste nei documenti vengono neutralizzate. |
| Jailbreak (DAN, developer mode, roleplay) | Le regole + il firewall semantico intercettano per significato le varianti offuscate e riformulate. |
| Fuga di system prompt / configurazione | Scansione di input e output; i tentativi di estrazione vengono bloccati, le fughe oscurate in uscita. |
| Esfiltrazione di dati / PII | Scansione dell'output: password, chiavi API, JWT, chiavi private, identificativi e contatti vengono intercettati e oscurati. |
| Abuso di strumenti / azioni | Ispezione degli argomenti degli strumenti e una lista di operazioni pericolose (esecuzione di codice, cancellazione, accesso ai file). |
| Offuscamento / codifica (Base64, ROT13, hex) | Rilevamento di payload codificati e di tentativi di token smuggling. |
| Spoofing di autorità | Rileva le manipolazioni del tipo 'sono il tuo sviluppatore / amministratore / test ufficiale'. |
Livelli indipendenti: se uno cede, l'intera difesa non crolla.
La protezione non è un singolo filtro. È costituita da più livelli indipendenti.
Guardia di input
Pattern di regole in 6 famiglie (prompt injection, jailbreak, abuso di strumenti, avvelenamento della memoria, fuga di dati, esaurimento delle risorse). Viene eseguita prima del modello.
Firewall semantico
Oltre 100 pattern di attacco curati in 16 tipologie (incluso il Denial-of-Wallet esplicito), a livello di significato (embedding): intercetta riformulazioni e offuscamenti.
Guardrail RAG
Sanificazione dei contenuti recuperati, gate di pertinenza, separazione delle fonti non attendibili, deduplicazione e budget di contesto.
Limite di token di output
Limite rigido alla lunghezza di generazione per ogni richiesta, calibrato sul compito e sul modello.
Guardia di output
Oscuramento delle fughe: credenziali, chiavi API, JWT, chiavi private, PII; opera anche sulle risposte in streaming.
Budget per sessione
Limiti su token, costo, tempo e chiamate agli strumenti all'interno di una singola sessione.
Rate limiting
Per IP / dispositivo / endpoint, progressivo (monitoraggio → rallentamento → challenge → blocco).
Telemetria e audit
Tracciamento della spesa in token e del trust-score dell'agente, webhook sulle minacce e un registro di audit a prova di manomissione.
Integra Shield nel modo che ti serve.
Distribuiscilo in base a ciò che devi proteggere.
Proxy LLM (drop-in)
Sostituisci un singolo base_url per OpenAI / Anthropic. Shield analizza l'input (blocca prima del provider) e l'output (oscura le fughe). Mantiene la tua chiave API, lo streaming e le chiamate agli strumenti.
Scan API
Endpoint per analizzare input, output e chiamate agli strumenti, per un'integrazione personalizzata nella tua pipeline esistente.
Protezione RAG
Sanificazione, gate di pertinenza e separazione delle fonti direttamente nella tua pipeline di chat / RAG.
Widget web
Protegge moduli, login e API da bot e abusi (classico livello WAF + bot).
Whitepaper tecnico
Documento tecnico dettagliato con diagrammi di integrazione, threat modeling e benchmark di performance.
Avviso sull'ambito della protezione. Corpilus Shield è un livello di protezione AI in tempo reale progettato per estendere i meccanismi di sicurezza standard per siti Web, negozi elettronici e applicazioni LLM, non per sostituirli. Non sostituisce antivirus, firewall, test di penetrazione o controlli di sicurezza formali. Per una protezione completa, consigliamo di combinare più strati.