Powrót do ShieldTechniczny deep dive

Shield od środka.

Techniczne spojrzenie na to, jak Shield chroni wejścia internetowe, istniejący czat AI, proxy LLM i narzędzia MCP: architektura, przepływ decyzji, audyt i porównanie z WAF / reCAPTCHA.

Czym Shield jest

Pierwsza warstwa ochrony — nie SIEM, nie narzędzie analityczne.

Shield to aktywna i pasywna warstwa ochrony formularzy, logowania, realizacji transakcji, przesyłania, czatu AI, narzędzi MCP i interfejsów API. Na pulpicie nawigacyjnym wyświetlane są decyzje i zdarzenia, dzięki czemu możesz dostroić ochronę — nie jako eksplorator dzienników. Zdarzenia są sygnałem operacyjnym, a nie zasobami analitycznymi.

Shield to:

  • Inline ochrona dla web / e-commerce / chat / MCP / backend
  • Decyzja per request: allow / monitor / challenge / block
  • Odporny na manipulację, podpisany audit log każdej decyzji
  • Mobile native SDK — iOS + Android — na roadmapie (Sprint M)

Shield nie jest:

  • ×SIEM lub agregator logów
  • ×Zamiennikiem twojego WAF lub CDN — siedzi warstwę głębiej
  • ×Narzędziem do raportowania lub analityki biznesowej
  • ×Certyfikowany produkt zapewniający zgodność — kontrole są zgodne ze standardami, audyt należy do Ciebie
Architektura

Trzy ścieżki ochrony zależnie od tego, co trzeba chronić.

Shield może działać przed stroną, czatem AI albo narzędziami MCP. Każda ścieżka ma jasny punkt decyzji i audytowalny wynik.

Warstwa 1

Web i formularze

Widget JS i SDK backend chronią formularze kontaktowe, login, checkout i uploady. Zbierają sygnały bezpieczeństwa, dołączają token HMAC i umożliwiają allow / challenge / block zanim request trafi do wrażliwej logiki.

Warstwa 2

Czat AI i LLM proxy

Monit i odpowiedź przechodzą przez zaporę sieciową LLM. Shield może anonimizować wrażliwe dane, blokować natychmiastowe wstrzykiwanie, sprawdzać, czy nie ma wycieków instrukcji systemowych i pracować przed czatem, z którego już korzystasz.

Warstwa 3

Narzędzia MCP, polityka i audyt

Wywołania MCP są oceniane według schematu, uprawnień i ryzyka akcji. Destrukcyjne lub wrażliwe tool calle mogą wymagać approval gate. Każda decyzja trafia do audit logu scoped per tenant.

Porównanie

Co obejmuje Shield vs. WAF vs. CAPTCHA.

Shield nie zastępuje istniejącej ochrony perymetrowej. Działa jedną warstwę głębiej.

ZdolnośćShieldWAFreCAPTCHA / Kołowrót
Bezgłowe wykrywanie botówTak — punktacja wielosygnałowaCzęściowo (reputacja IP)Tak — na wejściu
Prompt injection przeciw LLMTak — firewall semantycznyNieNie
Nadużycie agenta MCPTak — policy engineNieNie
Spam formularzy / disposable emailTak — 5 językówNieCzęściowo
Skan malware w uploadachTak — kwarantannaCzęściowoNie
Payloady SQL injectionTak — walidacja ASTTak — regexNie
Credential stuffing (rozproszony)Tak — blokada per kontoCzęściowo (per IP)Częściowo
Audit log odporny na manipulacjęTak — eksportowalnyRóżnieNie
Zredukowana macierz kontroli

40+ konkretnych możliwości w 9 kategoriach.

Kompletna skategoryzowana matryca. Dokładne progi, wagi sygnałów i wewnętrzne elementy wykrywania są dostępne dla klientów w portalu.

Dynamika pisania na klawiaturze, R² trajektorii myszy, wzorce przewijania, zdarzenia dotykowe, czas wypełniania formularza, czas pozostawania na stronie — sygnały z wielu źródeł trafiają do lokalnego modułu oceniającego oraz do backendowego potoku scoringowego.

Protects against
Boty wypełniające formularze, automatyzacja headless, skryptowane wysyłki.

Canvas, WebGL, kontekst audio, wykrywanie czcionek i fingerprinting obiektu navigator łączone w skrót urządzenia SHA-256. Wykrywa przeglądarki headless oraz narzędzia anti-detect.

Protects against
Frameworki przeglądarek headless, narzędzia automatyzacji anti-detect.

Krótkotrwała migawka cache z device_hash, webgl_renderer, user_agent, strefą czasową i screen_resolution zapisywana na początku sesji. Przy wrażliwych zdarzeniach (logowanie, wysłanie formularza, finalizacja zakupu) bieżący fingerprint jest porównywany z migawką; dryf podnosi wynik o istotne sygnały ryzyka.

Protects against
Przejęcie sesji, powtórzenie tokenu, ataki na skradzione cookie, podmiana urządzenia w trakcie sesji.

Adres bazowy zgodny z API OpenAI i Anthropic. Shield skanuje każdy prompt przed przekazaniem oraz każdą odpowiedź przed zwróceniem, blokuje przy naruszeniu polityki i usuwa PII oraz sekrety w locie ze strumienia.

Protects against
Prompt injection, jailbreak, eksfiltracja PII / sekretów z aplikacji LLM.

Detekcja oparta na embeddingach, obejmująca wiele kategorii ataków. „Disregard earlier directives” ≈ „Ignore previous instructions” pod względem podobieństwa kosinusowego. Embeddingi liczone lokalnie w Ollama — zerowy koszt API na żądanie.

Protects against
Sparafrazowane prompt injection, jailbreaki synonimiczne, ataki zaciemnione, warianty międzyjęzykowe.

Przechwytywanie wywołań narzędzi dla agentów Claude / Cursor / IDE. Walidacja argumentów według JSON Schema, limit liczby kroków w łańcuchu, lista dozwolonych domen, jawne bramki zatwierdzania dla narzędzi destrukcyjnych. Każde wywołanie jest przed wykonaniem sprawdzane względem reguł ochrony agentów.

Protects against
Złośliwe nadużycie narzędzi, eksfiltracja przez pliki / powłokę, agenci w łańcuchu dostaw, niekontrolowane pętle agentów.

Ponad 40 wzorców skanujących wejście, wyjście i wywołania narzędzi przed uruchomieniem modelu i po nim. Działa równolegle z firewallem semantycznym, tworząc obronę warstwową.

Protects against
Prompt injection, jailbreaki w stylu DAN, zatruwanie pamięci, nadużycie narzędzi, eksfiltracja danych.

5 narzędzi udostępnionych przez MCP: shield_get_stats, shield_get_threats, shield_add_rule, shield_get_events, shield_verify_token. Pozwól swojemu agentowi Claude / Cursor badać incydenty i reagować na nie bez wychodzenia z czatu.

Protects against
Reagowanie administratora „po omacku” — agenci mogą badać incydenty i reagować na nie programowo.

Walidacja SQL na podstawie sparsowanego AST. Blokuje UNION, INTO OUTFILE, pg_sleep, information_schema. LIMIT ograniczony odgórnym pułapem. Wrażliwe kolumny (password, api_key, ssn) są automatycznie redagowane. Fingerprinting zapytań oraz pułapkowe tabele z honeytokenami.

Protects against
Eksfiltrację przez SQL, enumerację schematu, nadużycie paginacji, wycieki danych wrażliwych.

Wykrywanie portfeli: BTC (P2PKH/Bech32), ETH, SOL, TRX, XRP, LTC, DOGE. Skanowanie fraz seed BIP-39 (12/24 słowa). Prompty podpisujące (EIP-712). Blokada domen kopania kryptowalut. Wzorce przekierowań płatności.

Protects against
Kradzież portfeli, wyciek fraz seed, wstrzykiwanie skryptów kopiących kryptowaluty, przekierowania płatności.

Wykrywanie bełkotu na podstawie bigramów (EN / DE / CS / SK / ES), ponad 100 domen jednorazowych e-maili, wzorce spamu (powtarzające się znaki, SAME WERSALIKI, zalew adresami URL), wykrywanie podejrzanych nazwisk. Korpus phishingu i szkodliwych treści obejmuje 9 języków (zob. kartę Phishing). Addytywne punktowanie z premią za współwystępujące klastry.

Protects against
Spam w formularzach, fałszywe rejestracje, konta jednorazowe, bełkotliwe zgłoszenia.

Wielowarstwowy skaner e-maili i załączników. Wykrywa treści słowackie, czeskie, polskie, niemieckie, francuskie, hiszpańskie i serbskie pozbawione znaków diakrytycznych (najsilniejszy realny sygnał phishingu), socjotechnikę opartą na podpowiedziach do haseł w 9 językach, nazwy plików naśladujące systemy mainframe oraz pliki PDF / Office chronione hasłem. Klaster niezależny od marki wychwytuje ten sam schemat niezależnie od podszywanej nazwy firmy.

Protects against
Podrzucanie phishingu, wyłudzanie danych logowania, droppery malware chronione hasłem, socjotechnikę opartą na załącznikach.

check_upload() przyjmuje form_fields. Gdy przesłaniu pliku towarzyszą dane formularza (tytuł, opis, nazwa, wiadomość), ocena jakości treści obejmuje także te pola. Czysty plik PDF z bełkotliwymi metadanymi i tak zostanie odrzucony, gdy wynik osiągnie wysoką pewność.

Protects against
Fałszywe rejestracje kont, niskiej jakości spam formularzowy z załącznikami, zgłoszenia wsparcia wypełniane przez boty.

Każdy plik przechodzi przez bramkę kwarantanny — lista dozwolonych rozszerzeń, rozpoznawanie typu MIME po magic bytes, wykrywanie makr Office, kodu JavaScript / Launch / OpenAction w plikach PDF, wstrzykiwania skryptów w SVG / HTML. Maksymalny rozmiar i lista rozszerzeń konfigurowane per najemca.

Protects against
Podrzucanie malware, wirusy makro, JS osadzony w PDF, SVG-XSS, pliki poliglotyczne.

Python (FastAPI / Django / Flask), Node.js (Express / Next.js), PHP (WordPress / Laravel). Weryfikuje X-Shield-Token przy każdym żądaniu. Brak tokenu → 403. Wynik weryfikacji HMAC jest przechowywany w krótkotrwałym cache dla pary (token, ścieżka).

Protects against
Żądania omijające widget JS (curl, Postman, requests w Pythonie, surowy HTTP).

3-stanowy bezpiecznik (closed / open / half_open) we wszystkich trzech backendowych SDK. Po serii kolejnych błędów transportu → OPEN na krótki czas → 1 sonda HALF_OPEN. Kody 4xx nie wyzwalają bezpiecznika. PHP używa APCu do współdzielenia stanu między procesami FPM. Koniec z timeoutami przy każdym żądaniu podczas incydentu po stronie usługi nadrzędnej.

Protects against
Kaskadowe timeouty, burze ponawiania żądań, piętrzenie żądań podczas awarii Shield-API.

Mapa przyczyna → (machine_code, human_hint). /shield/verify oraz odpowiedzi 403 we wszystkich 3 SDK zwracają remediation oraz remediation_code. Niesłusznie zablokowani użytkownicy widzą komunikat „Twoja sesja wygasła — odśwież stronę” zamiast cichej odpowiedzi 403.

Protects against
Złe UX przy fałszywych alarmach, obciążenie zgłoszeniami wsparcia, dezorientację przy cichych awariach.

Wtyczka PHP typu drop-in: automatycznie wstrzykuje widget, dostarcza middleware weryfikujący tokeny Shield na /wp-login.php oraz w endpointach administracyjnych. Domyślnie fail-closed, konfigurowalne.

Protects against
Brute force na WordPressie, nadużycie xmlrpc, enumerację wp-admin na witrynach MŚP w UE.

Wielowymiarowe ograniczanie żądań: per IP, per urządzenie, per endpoint, z progresywną eskalacją. Liczniki po stronie serwera z oknami przesuwnymi.

Protects against
Brute force, credential stuffing, scraping, enumerację API.

Geolokalizacja IP przez ip-api.com (krótkotrwały cache). Listy zablokowanych / dozwolonych krajów per witryna. Modyfikatory wyniku dla centrów danych oraz proxy / Tor. Twarda blokada przy ładowaniu strony z nakładką „odmowa dostępu” przed inicjalizacją widgetu.

Protects against
Ruch z niedozwolonych regionów, infrastrukturę anonimizującą, ograniczenia wynikające z compliance.

Widget uniemożliwia wysłanie formularza przy wysokiej pewności wyniku. Czerwona nakładka: „Zablokowane przez Corpilus Shield”. Podpisane przez serwer tokeny HMAC-SHA256 automatycznie dołączane do fetch() przez interceptor.

Protects against
Wysłania botów o wysokiej pewności docierające do backendu.

278 skompilowanych wzorców detekcji skanowanych automatycznie przy każdym zdarzeniu — obejmuje wszystkie kategorie OWASP Top 10 2025. Inspekcja na poziomie ładunku odbywa się przed punktowaniem.

Protects against
SQL injection, XSS, path traversal, wstrzykiwanie poleceń, SSRF, SSTI, LDAP injection, XXE, NoSQL injection, log4j JNDI, sondowanie błędnych konfiguracji zabezpieczeń, typosquaty w łańcuchu dostaw, wycieki śladów stosu.

Analizator AI analizuje zdarzenia w sposób ciągły. Kontekst RAG ugruntowany w wyselekcjonowanej bazie wiedzy o bezpieczeństwie. Automatycznie tworzy zagrożenia i reguły na podstawie rzeczywistych obserwacji.

Protects against
Nowe / niewidziane wcześniej wzorce ataków, pomijane przez reguły statyczne.

Gotowy kontekst threat-intel (mini-CAG). Sygnatury botów, wzorce ataków, próbki OWASP wbudowane na stałe — nowe witryny są chronione od pierwszego wyświetlenia strony.

Protects against
Ślepotę zimnego startu — nowe witryny są chronione natychmiast.

Kolekcja Security Knowledge w Shield zawiera wyselekcjonowane dokumenty (OWASP Top 10, wykrywanie botów, reagowanie na incydenty). Administratorzy mogą wgrywać własne firmowe podręczniki, raporty post-mortem lub branżowy threat intel. Każde wgranie przechodzi przez wielowarstwowy skan. Czyste dokumenty otrzymują stan trust_state='pending', dopóki administrator jawnie nie awansuje ich do 'active'. Do kontekstu RAG analizatora AI trafiają wyłącznie dokumenty aktywne.

Protects against
Wzorce ataków specyficzne dla najemcy, których ogólne dane treningowe nigdy nie widzą — wewnętrzne schematy oszustw, branżowe przejęcia kont, ataki na integracje po fuzjach i przejęciach. Skan oraz bramka canary zapobiegają zatruwaniu potoku uczenia.

Anonimizowane współdzielenie wzorców — adresy IP zredukowane do /24, PII usunięte, bramkowanie według poziomu dojrzałości (experimental → candidate → confirmed). Atakujący potwierdzony u jednego najemcy w ciągu kilku minut staje się znanym zagrożeniem dla wszystkich.

Protects against
Rozproszone kampanie uderzające w wiele witryn chronionych przez Shield.

MutationObserver widgetu robi migawkę wszystkich znaczników <script> przy starcie. Każdy później wstrzyknięty skrypt jest raportowany jako telemetria script_integrity_violation z src, informacją external/same-origin, długością treści i stabilnym skrótem. Liczba zgłoszeń jest ograniczona na pojedyncze ładowanie strony. Lista zaufanych sieci CDN konfigurowana per najemca.

Protects against
Ataki na łańcuch dostaw, złośliwe rozszerzenia przeglądarki, kradzież tokenów przez XSS, oszukańcze nakładki reklamowe.

Licznik Redis per SHA-256(account_id). Każda nieudana próba powyżej limitu dodaje istotny wynik ryzyka. Rozproszony atak rozkładający wiele prób na tysiące adresów IP i tak trafia do tego samego kubełka konta — próba na victim@corp.com uruchamia challenge niezależnie od tego, z którego IP została wysłana. Licznik zeruje się po udanym logowaniu.

Protects against
Rozproszony credential stuffing, brute force przez residential proxy, powolne zgadywanie haseł metodą low-and-slow.

GET /shield/password/breach-range/{prefix} — klient lokalnie w przeglądarce wylicza SHA-1(password), wysyła tylko 5-znakowy prefiks szesnastkowy, Shield przekazuje zapytanie do api.pwnedpasswords.com i odsyła strumieniowo listę suffix+count. Klient samodzielnie, lokalnie, porównuje swój suffix. Serwer nigdy nie widzi tekstu jawnego ANI pełnego skrótu.

Protects against
Ponowne użycie danych logowania, rejestrację z hasłem znanym z wycieku, ciche ujawnienie przez zrzuty publikowane na paste-binach.

Sprawdzanie rekordów A/AAAA oraz MX przy rejestracji. Fail-open przy timeoucie. Krótkotrwały cache per domena sprawia, że gwałtowne fale rejestracji z tej samej domeny jednorazowej nie obciążają ponownie DNS.

Protects against
Jednorazowe domeny rejestracyjne, typosquaty bez hostingu, domeny atakujących utworzone tuż przed atakiem.

Ponad 25 chronionych marek (Google, Microsoft, Apple, PayPal, Stripe, Meta, LinkedIn, Revolut, banki i ubezpieczyciele z SK/CZ). Trójstopniowy detektor: 1) znormalizowane dokładne dopasowanie przez mapę homoglifów, 2) odległość Levenshteina dla długich nazw marek, 3) podciąg nazwy marki + ozdobny przyrostek (secure/login/support/verify/auth/signin/account/official/help).

Protects against
Rejestracje podszywające się pod marki, rejestracje infrastruktury phishingowej, fałszywe domeny „support”.

Liczniki tempa per IP i per urządzenie. Wymóg niedawnego logowania: brak udanego logowania z tego urządzenia w ostatnim czasie → istotny sygnał ryzyka. Ciągłość sesji: password_change należy teraz do zbioru zdarzeń WRAŻLIWYCH, więc pełny dryf fingerprintu natychmiast blokuje operację. Klasyczny łańcuch „atakujący przejmuje sesję → zmienia hasło → blokuje użytkownika” musi przejść przez wszystkie trzy bramki.

Protects against
Łańcuch blokady przy przejęciu konta, reset hasła przez powtórzenie sesji, masowe przejęcia kont za pomocą skradzionych cookie.

E-mail (HTML), Slack, Discord, generyczne webhooki JSON. Cotygodniowy raport bezpieczeństwa ze statystykami, najważniejszymi zagrożeniami i wskaźnikiem blokad. Bramka istotności per webhook (low / medium / high / critical).

Protects against
Późne wykrycie incydentu — administratorzy powiadamiani w ciągu sekund.

Każda zmiana reguły, edycja konfiguracji witryny, ręczna blokada i decyzja AI są zapisywane wraz z autorem działania, znacznikiem czasu oraz różnicą przed/po. Wpisy są połączone w łańcuch skrótów, podpisane i eksportowalne jako gotowy dla audytora pakiet dowodowy.

Protects against
Ciche manipulacje — i zapewnia kompletny ślad dokumentacyjny, gdy zapyta o niego audytor (ISO, SOC 2, wewnętrzny). Sam Shield nie posiada obecnie zewnętrznej certyfikacji.

Tokeny HMAC-SHA256 są generowane po stronie serwera na podstawie sekretu per witryna i zwracane przez /shield/events. Widget nigdy nie przechowuje sekretu podpisującego — nawet wyciekły site_key nie pozwala sfałszować ważnych tokenów.

Protects against
Fałszowanie tokenów na podstawie skradzionego publicznego site_key.

Wymuszone Row-Level Security PostgreSQL na wszystkich tabelach shield_*. Każde żądanie działa pod rolą ograniczoną do najemcy — obejście na poziomie warstwy aplikacji jest niemożliwe nawet przy błędzie w kodzie API.

Protects against
Wycieki danych między najemcami, błędy broken-access-control w kodzie aplikacji.

Śledzi próby per BIN karty w oknach przesuwnych. Wzorce serii odpowiadające testowaniu kart aktywują progresywny challenge lub blokadę. Progi są regulowane per najemca; wartości domyślne są zachowawcze.

Protects against
Kampanie testowania kart, enumerację BIN, serie weryfikacji skradzionych kart.

Gdy ten sam fingerprint karty dostarczony przez PSP pojawia się na wielu urządzeniach, w wielu sesjach lub u wielu najemców w krótkim oknie czasu, próby są korelowane i oceniane jako skoordynowany atak. Surowy PAN nigdy nie opuszcza Twojego PSP.

Protects against
Rozproszone testowanie kart, omijanie limitów tempa przez rotację adresów IP / urządzeń.

Bazowy, ograniczony do najemcy rozkład krajów wystawców kart. Nagłe skupienie prób wobec wystawców z niewielkiej liczby krajów — znacznie powyżej poziomu bazowego — sygnalizuje prawdopodobny ruch cardingowy.

Protects against
Ukierunkowane ataki na wystawców, kampanie zrzutów skradzionych kart, oszustwa skupione geograficznie.

Agreguje wiele sygnałów — zróżnicowany rozrzut BIN, to samo urządzenie lub tę samą sesję, wysoki odsetek niepowodzeń — w nazwany werdykt cardingu. Podnosi istotność decyzji, gdy zostanie ona potwierdzona informacją zwrotną PSP po obciążeniu.

Protects against
Skoordynowane kampanie testowania kart, ruch weryfikujący oszustwa, unikanie kar PSP.

Ataki rozłożone w czasie nie prześlizgną się już niezauważone. Shield obserwuje cały przebieg konwersacji, a nie tylko jedną wiadomość naraz. Atakujący, który przez wiele tur rozmawia niewinnie, a dopiero potem przechodzi do wyciągania danych lub wyłudzania danych logowania, zostaje wychwycony w chwili, gdy wyłania się wzorzec.

Protects against
Wieloturowe jailbreaki, powolną socjotechnikę z odroczonym przejściem, agentów AI, którzy zaczynają przyjaźnie i przechodzą do eksfiltracji w trakcie długiej sesji.

Zanim Twój agent uruchomi narzędzie, Shield zadaje pytanie: czy rzeczywista intencja użytkownika jest spójna z wywołaniem tego narzędzia? Prośba o streszczenie dokumentu nie powinna uruchamiać eksportu bazy danych. Rozmowa o rezerwacji podróży nie powinna wywoływać narzędzia płatności. Niezgodności są kierowane do przeglądu.

Protects against
Agentów wywołujących wrażliwe narzędzia pod pozornie niewinnymi promptami, nadużycie narzędzi przez prompt injection, przypadkowe operacje destrukcyjne.

Skompromitowane agenty i nadmiernie dociekliwe LLM zazwyczaj skanują środowisko przed podjęciem działania — listują katalogi, odczytują ścieżki konfiguracji, enumerują zmienne środowiskowe. Shield oznacza ten wzorzec rozpoznania wcześnie, zanim jakiekolwiek dane opuszczą maszynę.

Protects against
Próby ucieczki z sandboksa, rozpoznanie kontenera, enumerację sekretów środowiskowych, sondowanie etapowe agenta przed eksfiltracją.

Pojedyncza konwersacja nigdy nie może po cichu wypalić całego miesięcznego budżetu na AI. Shield egzekwuje limit na sesję dla liczby tokenów, wywołań narzędzi i upływającego czasu. Po jego osiągnięciu sesja zostaje wstrzymana lub zakończona, a operator powiadomiony.

Protects against
Ataki na eksplozję kosztów, awarie agentów w nieskończonej pętli, denial-of-wallet, przypadkowo wymykające się spod kontroli prompty.

Shield uczy się, jak wygląda norma dla każdego użytkownika — typowe godziny, typowe akcje, typowe tempo — i dyskretnie oznacza dzień, w którym ten wzorzec się załamuje. Zalogowana sesja, która nagle zachowuje się zupełnie inaczej niż prawdziwy użytkownik, jest traktowana jako możliwe przejęcie konta.

Protects against
Skompromitowane konta, przejęcie tożsamości po kradzieży danych logowania, nadużycie konta w trybie insidera, ponowne użycie sesji po phishingu.

Wabikowe rekordy, pliki i dane logowania są podkładane w miejscach, do których zagląda wyłącznie atakujący. Prawdziwi użytkownicy nigdy ich nie widzą. W chwili, gdy któryś zostanie tknięty, otwarty lub użyty, Shield otrzymuje sygnał naruszenia o wysokiej pewności i praktycznie zerowej liczbie fałszywych alarmów.

Protects against
Ciche naruszenia omijające inne detekcje, kradzież danych przez insidera, ruch boczny po skompromitowaniu.

Atakujący ukrywają złośliwe ładunki w warstwach kodowań — base64, kodowaniu szesnastkowym, percent-encoding, sekwencjach escape unicode — aby przemknąć obok prostych filtrów tekstowych. Shield rozpakowuje te warstwy przed punktowaniem, dzięki czemu bazowy atak jest dopasowywany do tych samych zabezpieczeń, co wersja jawnotekstowa.

Protects against
Przemyt w base64 / szesnastkowym / percent-encoding, wielowarstwowe zaciemnianie ładunków, omijanie filtrów oparte na kodowaniu.

Zanim jakakolwiek aktualizacja reguły, modelu lub scorera trafi do produkcji, jest uruchamiana wobec stale rosnącego korpusu realnych scenariuszy ataków. Jeśli wydanie przypadkowo osłabi detekcję znanego schematu zagrożenia, zmiana zostaje zablokowana w CI — a nie dopiero po naruszeniu u klienta.

Protects against
Ciche regresje detekcji, przypadkowy dryf w stronę fałszywych negatywów podczas wydań, dług bezpieczeństwa narastający w kolejnych wersjach.

Każda decyzja bezpieczeństwa i każda zmiana konfiguracji jest zapisywana w łańcuchu odpornym na manipulacje. Edycje i usunięcia są matematycznie wykrywalne. Audytorzy, regulatorzy i zespoły reagowania na incydenty otrzymują wiarygodną oś czasu nawet w najgorszym scenariuszu, gdy atakujący zdobędzie dane logowania administratora.

Protects against
Insidera przepisującego historię, manipulacje forensyczne, spory regulacyjne o to, co i kiedy się wydarzyło, luki w atrybucji po incydencie.

Gdy coś się dzieje, nie chcesz tracić godzin na ręczne zbieranie logów. Jedno kliknięcie tworzy zaszyfrowany, opatrzony znacznikiem czasu pakiet z istotnym stanem najemcy — zdarzeniami, regułami, decyzjami, niedawnym ruchem — gotowy do przekazania zespołowi bezpieczeństwa, prawnikowi lub regulatorowi.

Protects against
Powolne reagowanie na incydenty, utratę stanu forensycznego między wykryciem a przeglądem, ujawnienia naruszeń przekraczające okno wyznaczone przez regulatora.

Shield nie uzależnia Cię od jednego dostawcy AI. Użyj własnego klucza OpenAI / Anthropic / Google, wskaż dedykowaną instancję Ollama lub działaj w pełni lokalnie. Ustaw twarde limity kosztów i reguły routingu. Twoje dane trafiają wyłącznie do dostawców, których jawnie zatwierdzisz.

Protects against
Uzależnienie od dostawcy, niespodziewane przekroczenia kosztów, luki w rezydencji danych, ograniczenia regulacyjne dotyczące transgranicznego przetwarzania AI.

Dla działań o najwyższym ryzyku Shield może wymagać gestu zakorzenionego w sprzęcie: Touch ID, Windows Hello, sprzętowego klucza bezpieczeństwa. To weryfikacje fizycznej obecności, których ani agent oparty na LLM, ani zdalny atakujący nie pokona, niezależnie od pomysłowości promptu.

Protects against
CAPTCHA rozwiązywalne przez LLM, wyłącznie zdalne przejęcie konta, uprzywilejowane działania sterowane przez agentów, procesy step-up oparte tylko na haśle.

Dla środowisk regulowanych, niejawnych lub odłączonych od sieci Shield dostarczany jest jako pakiet self-hosted z podpisanymi artefaktami wydania i w pełni offline'ową ścieżką instalacji. Nic nie musi łączyć się z publicznym internetem, a mimo to otrzymujesz aktualizacje reguł, modeli i threat intel we własnym harmonogramie.

Protects against
Środowiska ograniczone wymogami compliance, sieci niejawne, regulowane strefy suwerenności danych, ataki na łańcuch dostaw w ścieżce instalacji.

Shield potrafi oznaczać zgłoszenia z formularzy, wiadomości i dokumenty, które wyglądają na wygenerowane maszynowo, a nie wpisane przez człowieka. W połączeniu z sygnałami zachowania i czasu daje to operatorom jasną odpowiedź na pytanie „czy to prawdziwe?” przy formularzach aplikacyjnych, CV, zgłoszeniach wsparcia i recenzjach.

Protects against
Spam formularzowy AI, oszustwa z CV / aplikacjami pisanymi przez AI, zalewy zgłoszeń wsparcia generowane przez AI, fałszywe recenzje pisane przez AI.

Widget robi migawkę fetch, XHR, navigator i userAgent przy starcie i okresowo je sprawdza ponownie. Jeśli rozszerzenie przeglądarki, wstrzyknięty skrypt lub tag strony trzeciej przełączy navigator.webdriver, opakuje fetch, podmieni XHR lub zmodyfikuje deskryptory navigator, Shield zgłasza manipulację i może odmówić wydania tokenu. Śledzenie zmian poszczególnych atrybutów form.action / ukrytych pól jest na mapie drogowej, dziś nie jest jeszcze podłączone.

Protects against
Złośliwe rozszerzenia przeglądarki, przejęcia formularzy przez wstrzyknięte reklamy, złośliwe menedżery tagów stron trzecich, przejmowanie formularzy płatności po stronie klienta.

Każde żądanie jest sprawdzane w O(1) wobec ponad 48 000 wskaźników zagrożeń w czasie rzeczywistym, często odświeżanych. Bez konfiguracji po stronie klienta — finansowane przez platformę. Dopasowanie podnosi wynik ryzyka.

Protects against
Wywołania zwrotne C2 botnetów, scrapery, infrastrukturę anonimizującą, aktywne zakresy IP atakujących, przejęte bloki sieciowe.

Zapytania do płatnych usług reputacyjnych wykonywane tylko dla podejrzanych zdarzeń. Klucze szyfrowane Fernet per najemca; brak kluczy współdzielonych przez platformę, zapytania zliczane na poczet Twojego limitu.

Protects against
Ukierunkowane adresy IP atakujących oznaczone przez komercyjnych dostawców threat intelligence, wykraczające poza to, co wychwytują źródła publiczne.

Obsłużone wszystkie dziesięć kategorii OWASP 2025 — A01 kontrola dostępu, A02 błędna konfiguracja, A03 łańcuch dostaw, A04 kryptografia, A05 injection, A06 projektowanie, A07 uwierzytelnianie, A08 integralność, A09 logowanie, A10 obsługa wyjątków. Zestaw wzorców pochodzi z OWASP CRS v4, szablonów nuclei oraz PayloadsAllTheThings.

Protects against
Każde zagrożenie aplikacji webowych z katalogu OWASP 2025 — od klasycznego injection po nowe kategorie łańcucha dostaw i niewłaściwej obsługi warunków wyjątkowych.

Rozpoznaje boty firm OpenAI, Anthropic, Google-Extended, Perplexity, ByteDance, CommonCrawl, Meta, Apple, Cohere, Mistral, AllenAI, You.com i innych. Najemca wybiera block / monitor / allow per dostawca.

Protects against
Nieautoryzowany scraping Twoich treści na potrzeby trenowania LLM, przepuszczając jednocześnie legalne wyszukiwarki (Bingbot, klasyczny Googlebot).

Gadżety log4j JNDI (${jndi:ldap://...}), LDAP injection, XML External Entity, wstrzykiwanie operatorów NoSQL w stylu MongoDB — wszystko blokowane przy przyjęciu na /shield/events, zanim dotrze do Twojego backendu.

Protects against
Ataki klasy log4shell z epoki 2021, omijanie zabezpieczeń no-SQL, eksfiltrację encji XML, escape'owanie zapytań LDAP — kategorie, które większość rozwiązań WAF dodała dopiero niedawno.

Widok tylko do odczytu wszystkich 278 wzorców, które Shield uruchamia przy każdym żądaniu, pogrupowanych według kategorii. Klienci widzą dokładnie, co ich chroni — bez marketingowych deklaracji wymagających weryfikacji.

Protects against
Lukę w transparentności — audytorzy i zespoły bezpieczeństwa mogą zestawić rzeczywisty zbiór detekcji Shield z własnym rejestrem ryzyka.

Kliknij kartę, aby rozwinąć opis techniczny i threat model.

Dziennik audytu — Shield v2.6

Odporny na manipulacje, łańcuch hashy, kryptograficznie podpisany.

Dziennik audytu stanowi podstawę prawną i kryminalistyczną Shield. Zaprojektowany tak, aby nawet skompromitowany administrator nie mógł przepisać historii bez jej widoczności.

Łańcuch mieszający SHA-256

Każdy rekord audytu zawiera skrót SHA-256 poprzedniego rekordu oraz kanonizację bieżącego zdarzenia. Usunięcie lub modyfikacja dowolnego przeszłego zdarzenia powoduje przerwanie każdego skrótu znajdującego się poniżej, a łańcuch odmawia weryfikacji.

Podpisywanie Ed25519 przez dzierżawcę

Każdy najemca ma własną parę kluczy Ed25519. Klucz publiczny jest udostępniany do niezależnej weryfikacji; klucz prywatny podpisuje każdy rekord audytu w czasie zapisu. Nie można sfałszować wyciekającego zrzutu bazy danych bez klucza prywatnego.

Kotwiczenie czasowe RFC 3161

Głowice łańcuchowe są okresowo zakotwiczone w zewnętrznym urzędzie znacznika czasu RFC 3161. To wiąże dziennik z bezwzględnym czasem zegara ściennego i dowodzi, że łańcuch istniał w tej formie przed znacznikiem czasu.

Higiena tylko do dołączania w roli DB

Rola Shield_app ma tylko INSERT — UPDATE i DELETE są ODWOŁANE na poziomie PostgreSQL. Nawet osoba atakująca z pełnymi poświadczeniami kontekstu aplikacji nie może przepisać wierszy; musieliby eskalować do roli superużytkownika DB, która sama w sobie jest kontrolowana w warstwie platformy.

Zweryfikuj i eksportuj punkty końcowe

GET /shield/audit/verify ponownie przechodzi przez łańcuch mieszający i sprawdza każdy podpis; GET /shield/audit/export przesyła strumieniowo podpisane, rozdzielane liniami archiwum JSON dla audytorów wewnętrznych i zewnętrznych. Obydwa są ograniczone do najemców i ograniczone stawkami.

Mapowanie zgodności

Zapewnia dowody techniczne, których wymagają typowe ramy bezpieczeństwa (niezmienne rejestrowanie, podpisana integralność, monitorowanie, dostosowanie GDPR do art. 32). Sam Shield nie posiada certyfikatu zewnętrznego — eksport wspiera Twój audyt, a nie go zastępuje.

Migawka kryminalistyczna — Shield v2.6

Migawka incydentu jednym kliknięciem, zaszyfrowana, poza siedzibą.

Kiedy coś pójdzie nie tak, potrzebujesz niezmiennego obrazu chwili. Shield produkuje go w niecałą minutę i pieczętuje tak, że tylko Twój klucz prywatny może go otworzyć.

Co zawiera migawka

  • Zdarzenia związane z bezpieczeństwem (surowe + decyzje + kody przyczyn)
  • Wycinek dziennika audytu z głowicą łańcucha + podpis
  • Aktywne sesje i sygnały na poziomie sesji
  • Aktywne reguły i historia wersji reguł
  • Pamięć podręczna analizy zagrożeń i ostatnie zdarzenia związane z zagrożeniami
  • Miejsca chronione i ich konfiguracja HMAC
  • Ustawienia dzierżawy i flagi funkcji
  • Zdarzenia platformy (wdrożenie / kopia zapasowa / dryf)
  • Metadane kontenera (obraz, wersja, odcisk palca hosta)

Hybrydowe szyfrowanie kopertowe

Jednorazowy klucz danych AES-256-GCM szyfruje ładunek. Klucz danych jest pakowany za pomocą RSA-OAEP-SHA256 z użyciem klucza publicznego najemcy. Tylko posiadacz klucza prywatnego może odzyskać klucz AES i odszyfrować pakiet. Infrastruktura Shield nie może odczytać poprzednich migawek po opuszczeniu produkującego je kontenera.

Przechowywanie i operacje

Migawki są wysyłane do dowolnego magazynu zgodnego z S3 (AWS, Wasabi, MinIO, on-prem). Opcjonalny tygodniowy cron automatycznie archiwizuje nową migawkę dla ciągłej gotowości kryminalistycznej. Cel MTTR od wyzwolenia do zapieczętowanego, wysłanego archiwum to ~60 sekund.

Powierzchnia API

POST /shield/forensic/snapshot wyzwala nową migawkę; GET /shield/forensic/snapshots wymienia istniejące z metadanymi, rozmiarem i statusem pieczęci. Oba są w zakresie administratora i generują zdarzenia audytu na poziomie platformy.

Postura bezpieczeństwa

Compliance i audytowalność bez przesadnych obietnic.

Shield dostarcza dowody techniczne, logi i mapowania. Formalne certyfikacje lub atestacje zależą od konkretnego zakresu wdrożenia.

Ścieżka audytu gotowa do audytu

Shield tworzy dzienniki audytu, powody decyzji i eksporty, które mogą wspierać kontrolę bezpieczeństwa i zgodności. Formalna certyfikacja lub atest jest potwierdzana indywidualnie w zależności od zakresu klienta.

Wsparcie dowodów audytora

Kontrole techniczne można mapować do twojego wewnętrznego frameworka audytu. Shield nie jest zewnętrznie certyfikowany.

MITRE ATT&CK

Wykrycia można przypisać do odpowiednich technik MITRE ATT&CK, w szczególności dostępu początkowego, dostępu poświadczeń, eksfiltracji oraz dowodzenia i kontroli.

OWASP OAT

Shield obejmuje wiele klas zautomatyzowanych zagrożeń z OWASP OAT. Szczegółowe mapowanie udostępniane jest Klientom w materiałach technicznych.

Denial-of-Wallet

Ataki na koszt inferencji (RA-ICA): celem stał się portfel

Recenzowana naukowo klasa ataków z 2026 roku (Hong Kong Polytechnic University), która nie narusza Twoich danych ani dostępności — po cichu zwielokrotnia rachunek za AI.

Atakujący umieszcza w publicznej sieci spreparowany dokument. Twój asystent RAG pobiera go przy zwykłym pytaniu, a model zużywa znacznie więcej tokenów — odpowiedź pozostaje poprawna, więc nic nie wzbudza podejrzeń, dopóki nie nadejdzie faktura.

13.12×
więcej zużytych tokenów
>90%
szansa, że spreparowany dokument zostanie pobrany
100%
poprawnych odpowiedzi — zwykłe filtry niczego nie wychwytują

Trzy taktyki (framework CREEP)

Wstrzyknięcie wabika

Ukryte zagadki matematyczne / logiczne / planistyczne, które model nieświadomie rozwiązuje w trakcie rozumowania, spalając tokeny.

Wstrzyknięcie sprzeczności

Wzajemnie sprzeczne fakty zmuszają model do nadmiernej analizy i wydłużonych odpowiedzi.

Manipulacja zadaniowa

AI atakującego optymalizuje tekst pod kątem maksymalnego kosztu, pozostając niepozornym i wymykając się detekcji.

Jak Shield to powstrzymuje — na każdej fazie

Faza atakuObrona ShieldEfekt
1 · Złośliwy dokument musi zostać pobranyBramka trafności + progi utrzymują słabo powiązane lub wymuszone dokumenty poza kontekstem.Filtruje oportunistyczne zatruwanie.
2 · Ukryte instrukcje w dokumencieSanityzacja pobranej treści (oznaczanie danych jako 'traktuj wyłącznie jako tekst') + separacja źródeł niezaufanych.Model ignoruje osadzone zadania.
3 · Inflacja tokenów wyjściowych (sedno)Twardy limit tokenów wyjściowych na żądanie + zarządzanie budżetem kontekstu (limit udziału pobierania, deduplikacja).13-krotne zwielokrotnienie zostaje ograniczone.
4 · Skumulowany koszt wielu żądań (DoW)Progresywne ograniczanie tempa + budżety na sesję (tokeny / koszt / czas) + telemetria oceny zaufania agenta.Bot nie może wyskalować ataku.

Sednem RA-ICA jest inflacja danych wyjściowych (w badaniu ~100 → 2 048 tokenów). Twardy limit tokenów wyjściowych na żądanie w Shield to dokładnie to, co rozbija zwielokrotnienie czyniące ten atak opłacalnym.

Pokrycie

Jedna warstwa obrony, cała rodzina zagrożeń LLM (OWASP LLM Top 10)

RA-ICA leży na przecięciu dwóch rodzin ataków, które Shield już obejmuje — ta sama warstwa chroni przed pełnym spektrum.

Klasa atakuJak reaguje Shield
Koszt inferencji / Denial-of-WalletLimit tokenów wyjściowych, budżet kontekstu, ograniczanie tempa, budżety na sesję, wzorce wyczerpywania zasobów.
Zatruwanie bazy wiedzy / RAGSanityzacja pobranej treści, bramka trafności, separacja źródeł zaufanych i niezaufanych.
Wstrzykiwanie promptów (bezpośrednie i pośrednie)Reguły wzorcowe + zapora semantyczna; pośrednie wstrzyknięcia ukryte w dokumentach są neutralizowane.
Jailbreak (DAN, tryb dewelopera, odgrywanie ról)Reguły + zapora semantyczna wychwytują zaciemnione i sparafrazowane warianty na poziomie znaczenia.
Wyciek promptu systemowego / konfiguracjiSkanowanie wejścia i wyjścia; próby ekstrakcji blokowane, wycieki redagowane na wyjściu.
Eksfiltracja danych / PIISkanowanie wyjścia — hasła, klucze API, tokeny JWT, klucze prywatne, identyfikatory i kontakty wychwytywane i redagowane.
Nadużycie narzędzi / akcjiInspekcja argumentów narzędzi oraz lista operacji niebezpiecznych (wykonywanie kodu, usuwanie, dostęp do plików).
Zaciemnianie / kodowanie (Base64, ROT13, hex)Wykrywanie zakodowanych ładunków i prób przemytu tokenów.
Podszywanie się pod autorytetWykrywa manipulacje typu 'jestem Twoim deweloperem / administratorem / oficjalnym testem'.
Obrona warstwowa

Niezależne warstwy — awaria jednej nie obala całości.

Ochrona to nie pojedynczy filtr. To kilka niezależnych warstw.

01

Strażnik wejścia

Wzorce reguł w 6 rodzinach (wstrzykiwanie promptów, jailbreak, nadużycie narzędzi, zatruwanie pamięci, wyciek danych, wyczerpywanie zasobów). Działa przed modelem.

02

Zapora semantyczna

Ponad 100 wyselekcjonowanych wzorców ataków w 16 typach (w tym jawny Denial-of-Wallet), na poziomie znaczenia (embeddingi) — wychwytuje parafrazy i zaciemnianie.

03

Zabezpieczenia RAG

Sanityzacja pobranej treści, bramka trafności, separacja źródeł niezaufanych, deduplikacja i budżet kontekstu.

04

Limit tokenów wyjściowych

Twardy limit długości generowania na żądanie, dostrojony do zadania i modelu.

05

Strażnik wyjścia

Redakcja wycieków: poświadczenia, klucze API, tokeny JWT, klucze prywatne, PII — działa również na odpowiedziach strumieniowych.

06

Budżety na sesję

Limity tokenów, kosztu, czasu i wywołań narzędzi w obrębie pojedynczej sesji.

07

Ograniczanie tempa

Na IP / urządzenie / endpoint, progresywne (monitorowanie → spowolnienie → wyzwanie → blokada).

08

Telemetria i audyt

Śledzenie zużycia tokenów i oceny zaufania agenta, webhooki zagrożeń oraz odporny na manipulacje dziennik audytu.

Wdrożenie

Zintegruj Shield tak, jak potrzebujesz.

Wdrażaj zależnie od tego, co chcesz chronić.

Proxy LLM (drop-in)

Podmień pojedynczy base_url dla OpenAI / Anthropic. Shield skanuje wejście (blokuje przed dostawcą) i wyjście (redaguje wycieki). Zachowuje Twój klucz API, strumieniowanie i wywołania narzędzi.

Scan API

Endpointy do skanowania wejścia, wyjścia i wywołań narzędzi, do niestandardowej integracji z istniejącym potokiem.

Ochrona RAG

Sanityzacja, bramka trafności i separacja źródeł bezpośrednio w Twoim potoku czatu / RAG.

Widżet webowy

Chroni formularze, logowania i API przed botami i nadużyciami (klasyczna warstwa WAF + bot).

Techniczny whitepaper

Szczegółowy dokument techniczny zawierający diagramy integracji, modelowanie zagrożeń i testy porównawcze wydajności.

Potrzebujesz więcej szczegółów?

Informacja o zakresie ochrony. Corpilus Shield to warstwa ochronna AI działająca w czasie rzeczywistym, zaprojektowana w celu rozszerzenia standardowych mechanizmów bezpieczeństwa dla stron internetowych, e-sklepów i aplikacji LLM, a nie ich zastąpienia. Nie zastępuje programu antywirusowego, zapory ogniowej, testów penetracyjnych ani formalnego audytu bezpieczeństwa. Dla kompleksowej ochrony zalecamy połączenie kilku warstw.