Dynamika pisania na klawiaturze, R² trajektorii myszy, wzorce przewijania, zdarzenia dotykowe, czas wypełniania formularza, czas pozostawania na stronie — sygnały z wielu źródeł trafiają do lokalnego modułu oceniającego oraz do backendowego potoku scoringowego.
Shield od środka.
Techniczne spojrzenie na to, jak Shield chroni wejścia internetowe, istniejący czat AI, proxy LLM i narzędzia MCP: architektura, przepływ decyzji, audyt i porównanie z WAF / reCAPTCHA.
Pierwsza warstwa ochrony — nie SIEM, nie narzędzie analityczne.
Shield to aktywna i pasywna warstwa ochrony formularzy, logowania, realizacji transakcji, przesyłania, czatu AI, narzędzi MCP i interfejsów API. Na pulpicie nawigacyjnym wyświetlane są decyzje i zdarzenia, dzięki czemu możesz dostroić ochronę — nie jako eksplorator dzienników. Zdarzenia są sygnałem operacyjnym, a nie zasobami analitycznymi.
Shield to:
- ✓Inline ochrona dla web / e-commerce / chat / MCP / backend
- ✓Decyzja per request: allow / monitor / challenge / block
- ✓Odporny na manipulację, podpisany audit log każdej decyzji
- ✓Mobile native SDK — iOS + Android — na roadmapie (Sprint M)
Shield nie jest:
- ×SIEM lub agregator logów
- ×Zamiennikiem twojego WAF lub CDN — siedzi warstwę głębiej
- ×Narzędziem do raportowania lub analityki biznesowej
- ×Certyfikowany produkt zapewniający zgodność — kontrole są zgodne ze standardami, audyt należy do Ciebie
Trzy ścieżki ochrony zależnie od tego, co trzeba chronić.
Shield może działać przed stroną, czatem AI albo narzędziami MCP. Każda ścieżka ma jasny punkt decyzji i audytowalny wynik.
Web i formularze
Widget JS i SDK backend chronią formularze kontaktowe, login, checkout i uploady. Zbierają sygnały bezpieczeństwa, dołączają token HMAC i umożliwiają allow / challenge / block zanim request trafi do wrażliwej logiki.
Czat AI i LLM proxy
Monit i odpowiedź przechodzą przez zaporę sieciową LLM. Shield może anonimizować wrażliwe dane, blokować natychmiastowe wstrzykiwanie, sprawdzać, czy nie ma wycieków instrukcji systemowych i pracować przed czatem, z którego już korzystasz.
Narzędzia MCP, polityka i audyt
Wywołania MCP są oceniane według schematu, uprawnień i ryzyka akcji. Destrukcyjne lub wrażliwe tool calle mogą wymagać approval gate. Każda decyzja trafia do audit logu scoped per tenant.
Co obejmuje Shield vs. WAF vs. CAPTCHA.
Shield nie zastępuje istniejącej ochrony perymetrowej. Działa jedną warstwę głębiej.
| Zdolność | Shield | WAF | reCAPTCHA / Kołowrót |
|---|---|---|---|
| Bezgłowe wykrywanie botów | Tak — punktacja wielosygnałowa | Częściowo (reputacja IP) | Tak — na wejściu |
| Prompt injection przeciw LLM | Tak — firewall semantyczny | Nie | Nie |
| Nadużycie agenta MCP | Tak — policy engine | Nie | Nie |
| Spam formularzy / disposable email | Tak — 5 języków | Nie | Częściowo |
| Skan malware w uploadach | Tak — kwarantanna | Częściowo | Nie |
| Payloady SQL injection | Tak — walidacja AST | Tak — regex | Nie |
| Credential stuffing (rozproszony) | Tak — blokada per konto | Częściowo (per IP) | Częściowo |
| Audit log odporny na manipulację | Tak — eksportowalny | Różnie | Nie |
40+ konkretnych możliwości w 9 kategoriach.
Kompletna skategoryzowana matryca. Dokładne progi, wagi sygnałów i wewnętrzne elementy wykrywania są dostępne dla klientów w portalu.
Canvas, WebGL, kontekst audio, wykrywanie czcionek i fingerprinting obiektu navigator łączone w skrót urządzenia SHA-256. Wykrywa przeglądarki headless oraz narzędzia anti-detect.
Krótkotrwała migawka cache z device_hash, webgl_renderer, user_agent, strefą czasową i screen_resolution zapisywana na początku sesji. Przy wrażliwych zdarzeniach (logowanie, wysłanie formularza, finalizacja zakupu) bieżący fingerprint jest porównywany z migawką; dryf podnosi wynik o istotne sygnały ryzyka.
Adres bazowy zgodny z API OpenAI i Anthropic. Shield skanuje każdy prompt przed przekazaniem oraz każdą odpowiedź przed zwróceniem, blokuje przy naruszeniu polityki i usuwa PII oraz sekrety w locie ze strumienia.
Detekcja oparta na embeddingach, obejmująca wiele kategorii ataków. „Disregard earlier directives” ≈ „Ignore previous instructions” pod względem podobieństwa kosinusowego. Embeddingi liczone lokalnie w Ollama — zerowy koszt API na żądanie.
Przechwytywanie wywołań narzędzi dla agentów Claude / Cursor / IDE. Walidacja argumentów według JSON Schema, limit liczby kroków w łańcuchu, lista dozwolonych domen, jawne bramki zatwierdzania dla narzędzi destrukcyjnych. Każde wywołanie jest przed wykonaniem sprawdzane względem reguł ochrony agentów.
Ponad 40 wzorców skanujących wejście, wyjście i wywołania narzędzi przed uruchomieniem modelu i po nim. Działa równolegle z firewallem semantycznym, tworząc obronę warstwową.
5 narzędzi udostępnionych przez MCP: shield_get_stats, shield_get_threats, shield_add_rule, shield_get_events, shield_verify_token. Pozwól swojemu agentowi Claude / Cursor badać incydenty i reagować na nie bez wychodzenia z czatu.
Walidacja SQL na podstawie sparsowanego AST. Blokuje UNION, INTO OUTFILE, pg_sleep, information_schema. LIMIT ograniczony odgórnym pułapem. Wrażliwe kolumny (password, api_key, ssn) są automatycznie redagowane. Fingerprinting zapytań oraz pułapkowe tabele z honeytokenami.
Wykrywanie portfeli: BTC (P2PKH/Bech32), ETH, SOL, TRX, XRP, LTC, DOGE. Skanowanie fraz seed BIP-39 (12/24 słowa). Prompty podpisujące (EIP-712). Blokada domen kopania kryptowalut. Wzorce przekierowań płatności.
Wykrywanie bełkotu na podstawie bigramów (EN / DE / CS / SK / ES), ponad 100 domen jednorazowych e-maili, wzorce spamu (powtarzające się znaki, SAME WERSALIKI, zalew adresami URL), wykrywanie podejrzanych nazwisk. Korpus phishingu i szkodliwych treści obejmuje 9 języków (zob. kartę Phishing). Addytywne punktowanie z premią za współwystępujące klastry.
Wielowarstwowy skaner e-maili i załączników. Wykrywa treści słowackie, czeskie, polskie, niemieckie, francuskie, hiszpańskie i serbskie pozbawione znaków diakrytycznych (najsilniejszy realny sygnał phishingu), socjotechnikę opartą na podpowiedziach do haseł w 9 językach, nazwy plików naśladujące systemy mainframe oraz pliki PDF / Office chronione hasłem. Klaster niezależny od marki wychwytuje ten sam schemat niezależnie od podszywanej nazwy firmy.
check_upload() przyjmuje form_fields. Gdy przesłaniu pliku towarzyszą dane formularza (tytuł, opis, nazwa, wiadomość), ocena jakości treści obejmuje także te pola. Czysty plik PDF z bełkotliwymi metadanymi i tak zostanie odrzucony, gdy wynik osiągnie wysoką pewność.
Każdy plik przechodzi przez bramkę kwarantanny — lista dozwolonych rozszerzeń, rozpoznawanie typu MIME po magic bytes, wykrywanie makr Office, kodu JavaScript / Launch / OpenAction w plikach PDF, wstrzykiwania skryptów w SVG / HTML. Maksymalny rozmiar i lista rozszerzeń konfigurowane per najemca.
Python (FastAPI / Django / Flask), Node.js (Express / Next.js), PHP (WordPress / Laravel). Weryfikuje X-Shield-Token przy każdym żądaniu. Brak tokenu → 403. Wynik weryfikacji HMAC jest przechowywany w krótkotrwałym cache dla pary (token, ścieżka).
3-stanowy bezpiecznik (closed / open / half_open) we wszystkich trzech backendowych SDK. Po serii kolejnych błędów transportu → OPEN na krótki czas → 1 sonda HALF_OPEN. Kody 4xx nie wyzwalają bezpiecznika. PHP używa APCu do współdzielenia stanu między procesami FPM. Koniec z timeoutami przy każdym żądaniu podczas incydentu po stronie usługi nadrzędnej.
Mapa przyczyna → (machine_code, human_hint). /shield/verify oraz odpowiedzi 403 we wszystkich 3 SDK zwracają remediation oraz remediation_code. Niesłusznie zablokowani użytkownicy widzą komunikat „Twoja sesja wygasła — odśwież stronę” zamiast cichej odpowiedzi 403.
Wtyczka PHP typu drop-in: automatycznie wstrzykuje widget, dostarcza middleware weryfikujący tokeny Shield na /wp-login.php oraz w endpointach administracyjnych. Domyślnie fail-closed, konfigurowalne.
Wielowymiarowe ograniczanie żądań: per IP, per urządzenie, per endpoint, z progresywną eskalacją. Liczniki po stronie serwera z oknami przesuwnymi.
Geolokalizacja IP przez ip-api.com (krótkotrwały cache). Listy zablokowanych / dozwolonych krajów per witryna. Modyfikatory wyniku dla centrów danych oraz proxy / Tor. Twarda blokada przy ładowaniu strony z nakładką „odmowa dostępu” przed inicjalizacją widgetu.
Widget uniemożliwia wysłanie formularza przy wysokiej pewności wyniku. Czerwona nakładka: „Zablokowane przez Corpilus Shield”. Podpisane przez serwer tokeny HMAC-SHA256 automatycznie dołączane do fetch() przez interceptor.
278 skompilowanych wzorców detekcji skanowanych automatycznie przy każdym zdarzeniu — obejmuje wszystkie kategorie OWASP Top 10 2025. Inspekcja na poziomie ładunku odbywa się przed punktowaniem.
Analizator AI analizuje zdarzenia w sposób ciągły. Kontekst RAG ugruntowany w wyselekcjonowanej bazie wiedzy o bezpieczeństwie. Automatycznie tworzy zagrożenia i reguły na podstawie rzeczywistych obserwacji.
Gotowy kontekst threat-intel (mini-CAG). Sygnatury botów, wzorce ataków, próbki OWASP wbudowane na stałe — nowe witryny są chronione od pierwszego wyświetlenia strony.
Kolekcja Security Knowledge w Shield zawiera wyselekcjonowane dokumenty (OWASP Top 10, wykrywanie botów, reagowanie na incydenty). Administratorzy mogą wgrywać własne firmowe podręczniki, raporty post-mortem lub branżowy threat intel. Każde wgranie przechodzi przez wielowarstwowy skan. Czyste dokumenty otrzymują stan trust_state='pending', dopóki administrator jawnie nie awansuje ich do 'active'. Do kontekstu RAG analizatora AI trafiają wyłącznie dokumenty aktywne.
Anonimizowane współdzielenie wzorców — adresy IP zredukowane do /24, PII usunięte, bramkowanie według poziomu dojrzałości (experimental → candidate → confirmed). Atakujący potwierdzony u jednego najemcy w ciągu kilku minut staje się znanym zagrożeniem dla wszystkich.
MutationObserver widgetu robi migawkę wszystkich znaczników <script> przy starcie. Każdy później wstrzyknięty skrypt jest raportowany jako telemetria script_integrity_violation z src, informacją external/same-origin, długością treści i stabilnym skrótem. Liczba zgłoszeń jest ograniczona na pojedyncze ładowanie strony. Lista zaufanych sieci CDN konfigurowana per najemca.
Licznik Redis per SHA-256(account_id). Każda nieudana próba powyżej limitu dodaje istotny wynik ryzyka. Rozproszony atak rozkładający wiele prób na tysiące adresów IP i tak trafia do tego samego kubełka konta — próba na victim@corp.com uruchamia challenge niezależnie od tego, z którego IP została wysłana. Licznik zeruje się po udanym logowaniu.
GET /shield/password/breach-range/{prefix} — klient lokalnie w przeglądarce wylicza SHA-1(password), wysyła tylko 5-znakowy prefiks szesnastkowy, Shield przekazuje zapytanie do api.pwnedpasswords.com i odsyła strumieniowo listę suffix+count. Klient samodzielnie, lokalnie, porównuje swój suffix. Serwer nigdy nie widzi tekstu jawnego ANI pełnego skrótu.
Sprawdzanie rekordów A/AAAA oraz MX przy rejestracji. Fail-open przy timeoucie. Krótkotrwały cache per domena sprawia, że gwałtowne fale rejestracji z tej samej domeny jednorazowej nie obciążają ponownie DNS.
Ponad 25 chronionych marek (Google, Microsoft, Apple, PayPal, Stripe, Meta, LinkedIn, Revolut, banki i ubezpieczyciele z SK/CZ). Trójstopniowy detektor: 1) znormalizowane dokładne dopasowanie przez mapę homoglifów, 2) odległość Levenshteina dla długich nazw marek, 3) podciąg nazwy marki + ozdobny przyrostek (secure/login/support/verify/auth/signin/account/official/help).
Liczniki tempa per IP i per urządzenie. Wymóg niedawnego logowania: brak udanego logowania z tego urządzenia w ostatnim czasie → istotny sygnał ryzyka. Ciągłość sesji: password_change należy teraz do zbioru zdarzeń WRAŻLIWYCH, więc pełny dryf fingerprintu natychmiast blokuje operację. Klasyczny łańcuch „atakujący przejmuje sesję → zmienia hasło → blokuje użytkownika” musi przejść przez wszystkie trzy bramki.
E-mail (HTML), Slack, Discord, generyczne webhooki JSON. Cotygodniowy raport bezpieczeństwa ze statystykami, najważniejszymi zagrożeniami i wskaźnikiem blokad. Bramka istotności per webhook (low / medium / high / critical).
Każda zmiana reguły, edycja konfiguracji witryny, ręczna blokada i decyzja AI są zapisywane wraz z autorem działania, znacznikiem czasu oraz różnicą przed/po. Wpisy są połączone w łańcuch skrótów, podpisane i eksportowalne jako gotowy dla audytora pakiet dowodowy.
Tokeny HMAC-SHA256 są generowane po stronie serwera na podstawie sekretu per witryna i zwracane przez /shield/events. Widget nigdy nie przechowuje sekretu podpisującego — nawet wyciekły site_key nie pozwala sfałszować ważnych tokenów.
Wymuszone Row-Level Security PostgreSQL na wszystkich tabelach shield_*. Każde żądanie działa pod rolą ograniczoną do najemcy — obejście na poziomie warstwy aplikacji jest niemożliwe nawet przy błędzie w kodzie API.
Śledzi próby per BIN karty w oknach przesuwnych. Wzorce serii odpowiadające testowaniu kart aktywują progresywny challenge lub blokadę. Progi są regulowane per najemca; wartości domyślne są zachowawcze.
Gdy ten sam fingerprint karty dostarczony przez PSP pojawia się na wielu urządzeniach, w wielu sesjach lub u wielu najemców w krótkim oknie czasu, próby są korelowane i oceniane jako skoordynowany atak. Surowy PAN nigdy nie opuszcza Twojego PSP.
Bazowy, ograniczony do najemcy rozkład krajów wystawców kart. Nagłe skupienie prób wobec wystawców z niewielkiej liczby krajów — znacznie powyżej poziomu bazowego — sygnalizuje prawdopodobny ruch cardingowy.
Agreguje wiele sygnałów — zróżnicowany rozrzut BIN, to samo urządzenie lub tę samą sesję, wysoki odsetek niepowodzeń — w nazwany werdykt cardingu. Podnosi istotność decyzji, gdy zostanie ona potwierdzona informacją zwrotną PSP po obciążeniu.
Ataki rozłożone w czasie nie prześlizgną się już niezauważone. Shield obserwuje cały przebieg konwersacji, a nie tylko jedną wiadomość naraz. Atakujący, który przez wiele tur rozmawia niewinnie, a dopiero potem przechodzi do wyciągania danych lub wyłudzania danych logowania, zostaje wychwycony w chwili, gdy wyłania się wzorzec.
Zanim Twój agent uruchomi narzędzie, Shield zadaje pytanie: czy rzeczywista intencja użytkownika jest spójna z wywołaniem tego narzędzia? Prośba o streszczenie dokumentu nie powinna uruchamiać eksportu bazy danych. Rozmowa o rezerwacji podróży nie powinna wywoływać narzędzia płatności. Niezgodności są kierowane do przeglądu.
Skompromitowane agenty i nadmiernie dociekliwe LLM zazwyczaj skanują środowisko przed podjęciem działania — listują katalogi, odczytują ścieżki konfiguracji, enumerują zmienne środowiskowe. Shield oznacza ten wzorzec rozpoznania wcześnie, zanim jakiekolwiek dane opuszczą maszynę.
Pojedyncza konwersacja nigdy nie może po cichu wypalić całego miesięcznego budżetu na AI. Shield egzekwuje limit na sesję dla liczby tokenów, wywołań narzędzi i upływającego czasu. Po jego osiągnięciu sesja zostaje wstrzymana lub zakończona, a operator powiadomiony.
Shield uczy się, jak wygląda norma dla każdego użytkownika — typowe godziny, typowe akcje, typowe tempo — i dyskretnie oznacza dzień, w którym ten wzorzec się załamuje. Zalogowana sesja, która nagle zachowuje się zupełnie inaczej niż prawdziwy użytkownik, jest traktowana jako możliwe przejęcie konta.
Wabikowe rekordy, pliki i dane logowania są podkładane w miejscach, do których zagląda wyłącznie atakujący. Prawdziwi użytkownicy nigdy ich nie widzą. W chwili, gdy któryś zostanie tknięty, otwarty lub użyty, Shield otrzymuje sygnał naruszenia o wysokiej pewności i praktycznie zerowej liczbie fałszywych alarmów.
Atakujący ukrywają złośliwe ładunki w warstwach kodowań — base64, kodowaniu szesnastkowym, percent-encoding, sekwencjach escape unicode — aby przemknąć obok prostych filtrów tekstowych. Shield rozpakowuje te warstwy przed punktowaniem, dzięki czemu bazowy atak jest dopasowywany do tych samych zabezpieczeń, co wersja jawnotekstowa.
Zanim jakakolwiek aktualizacja reguły, modelu lub scorera trafi do produkcji, jest uruchamiana wobec stale rosnącego korpusu realnych scenariuszy ataków. Jeśli wydanie przypadkowo osłabi detekcję znanego schematu zagrożenia, zmiana zostaje zablokowana w CI — a nie dopiero po naruszeniu u klienta.
Każda decyzja bezpieczeństwa i każda zmiana konfiguracji jest zapisywana w łańcuchu odpornym na manipulacje. Edycje i usunięcia są matematycznie wykrywalne. Audytorzy, regulatorzy i zespoły reagowania na incydenty otrzymują wiarygodną oś czasu nawet w najgorszym scenariuszu, gdy atakujący zdobędzie dane logowania administratora.
Gdy coś się dzieje, nie chcesz tracić godzin na ręczne zbieranie logów. Jedno kliknięcie tworzy zaszyfrowany, opatrzony znacznikiem czasu pakiet z istotnym stanem najemcy — zdarzeniami, regułami, decyzjami, niedawnym ruchem — gotowy do przekazania zespołowi bezpieczeństwa, prawnikowi lub regulatorowi.
Shield nie uzależnia Cię od jednego dostawcy AI. Użyj własnego klucza OpenAI / Anthropic / Google, wskaż dedykowaną instancję Ollama lub działaj w pełni lokalnie. Ustaw twarde limity kosztów i reguły routingu. Twoje dane trafiają wyłącznie do dostawców, których jawnie zatwierdzisz.
Dla działań o najwyższym ryzyku Shield może wymagać gestu zakorzenionego w sprzęcie: Touch ID, Windows Hello, sprzętowego klucza bezpieczeństwa. To weryfikacje fizycznej obecności, których ani agent oparty na LLM, ani zdalny atakujący nie pokona, niezależnie od pomysłowości promptu.
Dla środowisk regulowanych, niejawnych lub odłączonych od sieci Shield dostarczany jest jako pakiet self-hosted z podpisanymi artefaktami wydania i w pełni offline'ową ścieżką instalacji. Nic nie musi łączyć się z publicznym internetem, a mimo to otrzymujesz aktualizacje reguł, modeli i threat intel we własnym harmonogramie.
Shield potrafi oznaczać zgłoszenia z formularzy, wiadomości i dokumenty, które wyglądają na wygenerowane maszynowo, a nie wpisane przez człowieka. W połączeniu z sygnałami zachowania i czasu daje to operatorom jasną odpowiedź na pytanie „czy to prawdziwe?” przy formularzach aplikacyjnych, CV, zgłoszeniach wsparcia i recenzjach.
Widget robi migawkę fetch, XHR, navigator i userAgent przy starcie i okresowo je sprawdza ponownie. Jeśli rozszerzenie przeglądarki, wstrzyknięty skrypt lub tag strony trzeciej przełączy navigator.webdriver, opakuje fetch, podmieni XHR lub zmodyfikuje deskryptory navigator, Shield zgłasza manipulację i może odmówić wydania tokenu. Śledzenie zmian poszczególnych atrybutów form.action / ukrytych pól jest na mapie drogowej, dziś nie jest jeszcze podłączone.
Każde żądanie jest sprawdzane w O(1) wobec ponad 48 000 wskaźników zagrożeń w czasie rzeczywistym, często odświeżanych. Bez konfiguracji po stronie klienta — finansowane przez platformę. Dopasowanie podnosi wynik ryzyka.
Zapytania do płatnych usług reputacyjnych wykonywane tylko dla podejrzanych zdarzeń. Klucze szyfrowane Fernet per najemca; brak kluczy współdzielonych przez platformę, zapytania zliczane na poczet Twojego limitu.
Obsłużone wszystkie dziesięć kategorii OWASP 2025 — A01 kontrola dostępu, A02 błędna konfiguracja, A03 łańcuch dostaw, A04 kryptografia, A05 injection, A06 projektowanie, A07 uwierzytelnianie, A08 integralność, A09 logowanie, A10 obsługa wyjątków. Zestaw wzorców pochodzi z OWASP CRS v4, szablonów nuclei oraz PayloadsAllTheThings.
Rozpoznaje boty firm OpenAI, Anthropic, Google-Extended, Perplexity, ByteDance, CommonCrawl, Meta, Apple, Cohere, Mistral, AllenAI, You.com i innych. Najemca wybiera block / monitor / allow per dostawca.
Gadżety log4j JNDI (${jndi:ldap://...}), LDAP injection, XML External Entity, wstrzykiwanie operatorów NoSQL w stylu MongoDB — wszystko blokowane przy przyjęciu na /shield/events, zanim dotrze do Twojego backendu.
Widok tylko do odczytu wszystkich 278 wzorców, które Shield uruchamia przy każdym żądaniu, pogrupowanych według kategorii. Klienci widzą dokładnie, co ich chroni — bez marketingowych deklaracji wymagających weryfikacji.
Kliknij kartę, aby rozwinąć opis techniczny i threat model.
Odporny na manipulacje, łańcuch hashy, kryptograficznie podpisany.
Dziennik audytu stanowi podstawę prawną i kryminalistyczną Shield. Zaprojektowany tak, aby nawet skompromitowany administrator nie mógł przepisać historii bez jej widoczności.
Łańcuch mieszający SHA-256
Każdy rekord audytu zawiera skrót SHA-256 poprzedniego rekordu oraz kanonizację bieżącego zdarzenia. Usunięcie lub modyfikacja dowolnego przeszłego zdarzenia powoduje przerwanie każdego skrótu znajdującego się poniżej, a łańcuch odmawia weryfikacji.
Podpisywanie Ed25519 przez dzierżawcę
Każdy najemca ma własną parę kluczy Ed25519. Klucz publiczny jest udostępniany do niezależnej weryfikacji; klucz prywatny podpisuje każdy rekord audytu w czasie zapisu. Nie można sfałszować wyciekającego zrzutu bazy danych bez klucza prywatnego.
Kotwiczenie czasowe RFC 3161
Głowice łańcuchowe są okresowo zakotwiczone w zewnętrznym urzędzie znacznika czasu RFC 3161. To wiąże dziennik z bezwzględnym czasem zegara ściennego i dowodzi, że łańcuch istniał w tej formie przed znacznikiem czasu.
Higiena tylko do dołączania w roli DB
Rola Shield_app ma tylko INSERT — UPDATE i DELETE są ODWOŁANE na poziomie PostgreSQL. Nawet osoba atakująca z pełnymi poświadczeniami kontekstu aplikacji nie może przepisać wierszy; musieliby eskalować do roli superużytkownika DB, która sama w sobie jest kontrolowana w warstwie platformy.
Zweryfikuj i eksportuj punkty końcowe
GET /shield/audit/verify ponownie przechodzi przez łańcuch mieszający i sprawdza każdy podpis; GET /shield/audit/export przesyła strumieniowo podpisane, rozdzielane liniami archiwum JSON dla audytorów wewnętrznych i zewnętrznych. Obydwa są ograniczone do najemców i ograniczone stawkami.
Mapowanie zgodności
Zapewnia dowody techniczne, których wymagają typowe ramy bezpieczeństwa (niezmienne rejestrowanie, podpisana integralność, monitorowanie, dostosowanie GDPR do art. 32). Sam Shield nie posiada certyfikatu zewnętrznego — eksport wspiera Twój audyt, a nie go zastępuje.
Migawka incydentu jednym kliknięciem, zaszyfrowana, poza siedzibą.
Kiedy coś pójdzie nie tak, potrzebujesz niezmiennego obrazu chwili. Shield produkuje go w niecałą minutę i pieczętuje tak, że tylko Twój klucz prywatny może go otworzyć.
Co zawiera migawka
- •Zdarzenia związane z bezpieczeństwem (surowe + decyzje + kody przyczyn)
- •Wycinek dziennika audytu z głowicą łańcucha + podpis
- •Aktywne sesje i sygnały na poziomie sesji
- •Aktywne reguły i historia wersji reguł
- •Pamięć podręczna analizy zagrożeń i ostatnie zdarzenia związane z zagrożeniami
- •Miejsca chronione i ich konfiguracja HMAC
- •Ustawienia dzierżawy i flagi funkcji
- •Zdarzenia platformy (wdrożenie / kopia zapasowa / dryf)
- •Metadane kontenera (obraz, wersja, odcisk palca hosta)
Hybrydowe szyfrowanie kopertowe
Jednorazowy klucz danych AES-256-GCM szyfruje ładunek. Klucz danych jest pakowany za pomocą RSA-OAEP-SHA256 z użyciem klucza publicznego najemcy. Tylko posiadacz klucza prywatnego może odzyskać klucz AES i odszyfrować pakiet. Infrastruktura Shield nie może odczytać poprzednich migawek po opuszczeniu produkującego je kontenera.
Przechowywanie i operacje
Migawki są wysyłane do dowolnego magazynu zgodnego z S3 (AWS, Wasabi, MinIO, on-prem). Opcjonalny tygodniowy cron automatycznie archiwizuje nową migawkę dla ciągłej gotowości kryminalistycznej. Cel MTTR od wyzwolenia do zapieczętowanego, wysłanego archiwum to ~60 sekund.
Powierzchnia API
POST /shield/forensic/snapshot wyzwala nową migawkę; GET /shield/forensic/snapshots wymienia istniejące z metadanymi, rozmiarem i statusem pieczęci. Oba są w zakresie administratora i generują zdarzenia audytu na poziomie platformy.
Compliance i audytowalność bez przesadnych obietnic.
Shield dostarcza dowody techniczne, logi i mapowania. Formalne certyfikacje lub atestacje zależą od konkretnego zakresu wdrożenia.
Ścieżka audytu gotowa do audytu
Shield tworzy dzienniki audytu, powody decyzji i eksporty, które mogą wspierać kontrolę bezpieczeństwa i zgodności. Formalna certyfikacja lub atest jest potwierdzana indywidualnie w zależności od zakresu klienta.
Wsparcie dowodów audytora
Kontrole techniczne można mapować do twojego wewnętrznego frameworka audytu. Shield nie jest zewnętrznie certyfikowany.
MITRE ATT&CK
Wykrycia można przypisać do odpowiednich technik MITRE ATT&CK, w szczególności dostępu początkowego, dostępu poświadczeń, eksfiltracji oraz dowodzenia i kontroli.
OWASP OAT
Shield obejmuje wiele klas zautomatyzowanych zagrożeń z OWASP OAT. Szczegółowe mapowanie udostępniane jest Klientom w materiałach technicznych.
Ataki na koszt inferencji (RA-ICA): celem stał się portfel
Recenzowana naukowo klasa ataków z 2026 roku (Hong Kong Polytechnic University), która nie narusza Twoich danych ani dostępności — po cichu zwielokrotnia rachunek za AI.
Atakujący umieszcza w publicznej sieci spreparowany dokument. Twój asystent RAG pobiera go przy zwykłym pytaniu, a model zużywa znacznie więcej tokenów — odpowiedź pozostaje poprawna, więc nic nie wzbudza podejrzeń, dopóki nie nadejdzie faktura.
Trzy taktyki (framework CREEP)
Ukryte zagadki matematyczne / logiczne / planistyczne, które model nieświadomie rozwiązuje w trakcie rozumowania, spalając tokeny.
Wzajemnie sprzeczne fakty zmuszają model do nadmiernej analizy i wydłużonych odpowiedzi.
AI atakującego optymalizuje tekst pod kątem maksymalnego kosztu, pozostając niepozornym i wymykając się detekcji.
Jak Shield to powstrzymuje — na każdej fazie
| Faza ataku | Obrona Shield | Efekt |
|---|---|---|
| 1 · Złośliwy dokument musi zostać pobrany | Bramka trafności + progi utrzymują słabo powiązane lub wymuszone dokumenty poza kontekstem. | Filtruje oportunistyczne zatruwanie. |
| 2 · Ukryte instrukcje w dokumencie | Sanityzacja pobranej treści (oznaczanie danych jako 'traktuj wyłącznie jako tekst') + separacja źródeł niezaufanych. | Model ignoruje osadzone zadania. |
| 3 · Inflacja tokenów wyjściowych (sedno) | Twardy limit tokenów wyjściowych na żądanie + zarządzanie budżetem kontekstu (limit udziału pobierania, deduplikacja). | 13-krotne zwielokrotnienie zostaje ograniczone. |
| 4 · Skumulowany koszt wielu żądań (DoW) | Progresywne ograniczanie tempa + budżety na sesję (tokeny / koszt / czas) + telemetria oceny zaufania agenta. | Bot nie może wyskalować ataku. |
Sednem RA-ICA jest inflacja danych wyjściowych (w badaniu ~100 → 2 048 tokenów). Twardy limit tokenów wyjściowych na żądanie w Shield to dokładnie to, co rozbija zwielokrotnienie czyniące ten atak opłacalnym.
Jedna warstwa obrony, cała rodzina zagrożeń LLM (OWASP LLM Top 10)
RA-ICA leży na przecięciu dwóch rodzin ataków, które Shield już obejmuje — ta sama warstwa chroni przed pełnym spektrum.
| Klasa ataku | Jak reaguje Shield |
|---|---|
| Koszt inferencji / Denial-of-Wallet | Limit tokenów wyjściowych, budżet kontekstu, ograniczanie tempa, budżety na sesję, wzorce wyczerpywania zasobów. |
| Zatruwanie bazy wiedzy / RAG | Sanityzacja pobranej treści, bramka trafności, separacja źródeł zaufanych i niezaufanych. |
| Wstrzykiwanie promptów (bezpośrednie i pośrednie) | Reguły wzorcowe + zapora semantyczna; pośrednie wstrzyknięcia ukryte w dokumentach są neutralizowane. |
| Jailbreak (DAN, tryb dewelopera, odgrywanie ról) | Reguły + zapora semantyczna wychwytują zaciemnione i sparafrazowane warianty na poziomie znaczenia. |
| Wyciek promptu systemowego / konfiguracji | Skanowanie wejścia i wyjścia; próby ekstrakcji blokowane, wycieki redagowane na wyjściu. |
| Eksfiltracja danych / PII | Skanowanie wyjścia — hasła, klucze API, tokeny JWT, klucze prywatne, identyfikatory i kontakty wychwytywane i redagowane. |
| Nadużycie narzędzi / akcji | Inspekcja argumentów narzędzi oraz lista operacji niebezpiecznych (wykonywanie kodu, usuwanie, dostęp do plików). |
| Zaciemnianie / kodowanie (Base64, ROT13, hex) | Wykrywanie zakodowanych ładunków i prób przemytu tokenów. |
| Podszywanie się pod autorytet | Wykrywa manipulacje typu 'jestem Twoim deweloperem / administratorem / oficjalnym testem'. |
Niezależne warstwy — awaria jednej nie obala całości.
Ochrona to nie pojedynczy filtr. To kilka niezależnych warstw.
Strażnik wejścia
Wzorce reguł w 6 rodzinach (wstrzykiwanie promptów, jailbreak, nadużycie narzędzi, zatruwanie pamięci, wyciek danych, wyczerpywanie zasobów). Działa przed modelem.
Zapora semantyczna
Ponad 100 wyselekcjonowanych wzorców ataków w 16 typach (w tym jawny Denial-of-Wallet), na poziomie znaczenia (embeddingi) — wychwytuje parafrazy i zaciemnianie.
Zabezpieczenia RAG
Sanityzacja pobranej treści, bramka trafności, separacja źródeł niezaufanych, deduplikacja i budżet kontekstu.
Limit tokenów wyjściowych
Twardy limit długości generowania na żądanie, dostrojony do zadania i modelu.
Strażnik wyjścia
Redakcja wycieków: poświadczenia, klucze API, tokeny JWT, klucze prywatne, PII — działa również na odpowiedziach strumieniowych.
Budżety na sesję
Limity tokenów, kosztu, czasu i wywołań narzędzi w obrębie pojedynczej sesji.
Ograniczanie tempa
Na IP / urządzenie / endpoint, progresywne (monitorowanie → spowolnienie → wyzwanie → blokada).
Telemetria i audyt
Śledzenie zużycia tokenów i oceny zaufania agenta, webhooki zagrożeń oraz odporny na manipulacje dziennik audytu.
Zintegruj Shield tak, jak potrzebujesz.
Wdrażaj zależnie od tego, co chcesz chronić.
Proxy LLM (drop-in)
Podmień pojedynczy base_url dla OpenAI / Anthropic. Shield skanuje wejście (blokuje przed dostawcą) i wyjście (redaguje wycieki). Zachowuje Twój klucz API, strumieniowanie i wywołania narzędzi.
Scan API
Endpointy do skanowania wejścia, wyjścia i wywołań narzędzi, do niestandardowej integracji z istniejącym potokiem.
Ochrona RAG
Sanityzacja, bramka trafności i separacja źródeł bezpośrednio w Twoim potoku czatu / RAG.
Widżet webowy
Chroni formularze, logowania i API przed botami i nadużyciami (klasyczna warstwa WAF + bot).
Techniczny whitepaper
Szczegółowy dokument techniczny zawierający diagramy integracji, modelowanie zagrożeń i testy porównawcze wydajności.
Informacja o zakresie ochrony. Corpilus Shield to warstwa ochronna AI działająca w czasie rzeczywistym, zaprojektowana w celu rozszerzenia standardowych mechanizmów bezpieczeństwa dla stron internetowych, e-sklepów i aplikacji LLM, a nie ich zastąpienia. Nie zastępuje programu antywirusowego, zapory ogniowej, testów penetracyjnych ani formalnego audytu bezpieczeństwa. Dla kompleksowej ochrony zalecamy połączenie kilku warstw.