Chráni viac než web
Rovnaká politika vie pokryť kontaktný formulár, login, upload, AI chat, MCP tool call aj read-only prístup k databáze. Tím vidí riziká v jednom dashboarde, nie v piatich samostatných nástrojoch.
Shield rozozná skutočného zákazníka od robota — zastaví falošné registrácie, spam vo formulároch aj AI scrapery, ktoré vám kopírujú katalóg. Nasadíte ho jediným riadkom kódu a každé rozhodnutie vie zrozumiteľne vysvetliť.
28 behaviorálnych signálov, fingerprinting zariadenia, sémantický firewall s 85 embeddingmi útokov, SQL guard a upload sandbox. Backend SDK v 3 riadkoch (Python / Node / PHP). Nové pravidlá vznikajú každých 15 minút z reálnych pokusov naprieč tenantmi.
15-minútový technický rozhovor. Prejdeme váš chat, web, MCP nástroje alebo najrizikovejší tok dát.
Predstavte si celkom obyčajný piatok podvečer. Do vášho prihlasovania búši bot s ukradnutými heslami, kontaktný formulár sa topí v spame a jeden AI crawler si potichu kopíruje celý váš katalóg. Vy si to nikdy nevšimnete — no Shield áno a každý z tých útokov zastaví. Takto to funguje.
Útočníci skúšajú uniknuté zoznamy mien a hesiel proti vášmu prihláseniu — tisíce pokusov za sekundu — kým jeden neprejde.
Detekcia na úrovni účtu, nie podľa IP — distribuované pokusy neprejdú.
Bežne vyzerajúce odoslanie formulára nesie skrytú záťaž, ktorá má váš server prinútiť spustiť útočníkov kód.
Záťaž sa overuje cez AST, nie regulárnym výrazom — zachytí aj zamaskované varianty.
Automatizované crawlery nepretržite zbierajú vaše ceny, obsah a dáta — aby trénovali modely alebo vás podliezli cenou.
Politika podľa tenanta: pre každú triedu crawlera povoliť, sledovať alebo zablokovať.
Útočník umiestni na verejný web nastražený dokument. Váš AI asistent ho pri bežnej otázke načíta a model spáli mnohonásobne viac tokenov — pričom odpoveď stále pôsobí úplne správne.
Tvrdý strop na počet výstupných tokenov na požiadavku, kontrola relevancie v RAG, sanitizácia načítaného obsahu a rozpočty na reláciu prelomia zosilnenie, vďaka ktorému sa útok útočníkovi vypláca.
Jeden riadok kódu a všetky tri sú vyriešené — vyskúšajte si to sami nižšie.
Stlačte tlačidlo a sledujte, ako Shield v reálnom čase rozhodne, či je každá požiadavka bezpečná.Reálna telemetria Shieldu: 28 behaviorálnych signálov a odtlačok zariadenia spojené do jedného verdiktu na požiadavku.
Reálny HTTP request na našu produkčnú API. Bez prihlásenia.
Reálny HTTP request na našu produkčnú API. Bez prihlásenia.
Shield pomáha firmám používať AI bez toho, aby museli slepo veriť každému promptu, odpovedi alebo volaniu nástroja. Vie chrániť Corpilus Studio aj existujúci chat, ktorý už používate — napríklad ChatGPT, Gemini, Claude alebo iné AI rozhranie. Ochranu zapája cez LLM proxy, MCP policy engine, anonymizáciu citlivých údajov, widget pre webové formuláre a auditovateľné pravidlá.
Rovnaká politika vie pokryť kontaktný formulár, login, upload, AI chat, MCP tool call aj read-only prístup k databáze. Tím vidí riziká v jednom dashboarde, nie v piatich samostatných nástrojoch.
Prompt injection, jailbreak, únik systémového promptu, neprimerané MCP volanie alebo citlivý údaj v texte sa vyhodnotia pred tým, než sa požiadavka dostane ďalej.
PII, tajomstvá, API kľúče a firemné identifikátory sa dajú anonymizovať, redigovať alebo blokovať podľa pravidiel. Cieľom nie je brzdiť AI, ale zabrániť zbytočnému úniku dát.
Každé rozhodnutie má dôvod, úroveň rizika a stopu v audite. Detaily detekcie chránime pred obchádzaním, zákazník však vidí vysvetlenie, export logov a technické podklady.
Naskenujeme vašu doménu na 18 známych zraniteľností — admin path probes, chýbajúce security headery, exponované config súbory, supply-chain riziká, AI scraper policy — a pošleme vám brandovaný PDF report.
Útok dnes nemusí vyzerať ako klasický hack. Môže to byť prompt v chate, súbor vo formulári, falošné prihlásenie alebo MCP volanie, ktoré žiada viac dát, než má dostať.
Boti zakladajú účty rýchlejšie, než ich stíhate mazať.
Kazia štatistiky, vyčerpávajú limity, pripravujú pôdu pre podvody.
Ukradnuté alebo uhádnuté heslá niekto skúša na vašom webe — aj distribuovane cez tisíce IP.
Jedno úspešné prihlásenie zmení zákazníka na nočnú moru.
Schránka sa plní správami, ktoré nikto nenapísal.
Zákaznícka správa zapadne, tím stráca čas, doručiteľnosť klesá.
Podvodníci skúšajú tisícky kariet na vašom checkout-e za centy — len aby overili, že číslo funguje.
Platobná brána vás penalizuje, Stripe stráca dôveru, reálni zákazníci neprejdú.
Macro vírusy, PDF s JavaScriptom, SVG útoky prídu ako príloha cez kontaktný formulár.
Malware sa dostane do schránky, cloudu alebo počítača kolegu.
Útočník cez váš formulár pošle mail v mene banky / dodávateľa, s prílohou "faktúry".
Vaše meno ako doručovateľ phishingu — reputačný aj právny problém.
Scrapery kopírujú katalóg, ceny a texty pre konkurenciu či fake e-shopy.
Strácate SEO, pricing edge a obsah, za ktorý ste zaplatili.
Chatbot sa dá rečou navodiť, aby porušil pravidlá alebo vydal systémový prompt.
Unikne interná inštrukcia alebo dáta — a zodpovednosť nesiete vy.
Nie je to osem oddelených problémov. Je to jeden problém: nestrážený vstup k vašim dátam, účtom a nástrojom. Shield dáva tieto vstupy pod jednu politiku a jeden audit.
47 % webového trafficu v roku 2026 nie je ľudská. (Imperva Bad Bot Report.)
Shield nie je len antibot. Je to bezpečnostná vrstva pre miesta, kde používateľ alebo agent komunikuje s vašou firmou: prompt, formulár, upload, login, MCP nástroj alebo databázový dotaz.
Kombinuje behaviorálne signály s rotujúcim device fingerprint-om a IP reputáciou. Detekčné thresholds nie sú zverejnené, aby sa vyhol kalibračnému mapovaniu.
Per-účet throttling pracuje nezávisle od IP, k-anonymity HIBP proxy nevidí plaintext heslo. Password-change vyžaduje kombináciu velocity, recent-login a session-drift signálov.
LLM proxy je BYOK — nevidíme ani nespracovávame zákaznícke tokeny. Semantický firewall používa lokálne embedding modely, bez per-request API nákladov.
Pracuje s card-fingerprint hash-om od PSP — nikdy nevidíme raw PAN. Kombinuje BIN-level velocity a fingerprint linking cez device / session / tenant.
Upload prechádza karanténou s extension allowlist, magic-byte sniffingom a content scanningom. Phishing detection je brand-agnostický — deteguje vzor, nie konkrétnu značku.
AST validácia na každom dotaze. Redakcia citlivých polí je konfigurovateľná per-tenant. Crypto detection pokrýva 7 blockchain adresných formátov.
Nové pravidlá prechádzajú canary rollout s anomaly-based gating. Cross-tenant learning propaguje iba anonymizované vzory s maturity: experimental → candidate → confirmed.
RLS je forcované na všetkých shield_* tabuľkách. HMAC signing secret je server-only — leaked site_key nevie forge token. Audit log obsahuje actor, timestamp, before/after diff.
SDK má 3-stavový circuit breaker (closed / open / half-open), nezavisí od single point of failure. Remediation kód umožní frontendu ukázať užívateľsky zrozumiteľnú správu.
Append-only na úrovni databázovej role (REVOKE UPDATE, DELETE), per-tenant Ed25519 kľúčové páry a RFC 3161 ukotvenie proti externej TSA. Jediný zmenený bajt v logu invaliduje každý ďalší hash — chain odmietne verifikáciu a manipulácia je auditovateľná.
Snapshoty sú zapečatené hybridnou obálkou (RSA-OAEP-SHA256 pre AES-256-GCM kľúč, AES-256-GCM pre payload). Archív možno nahrať do ľubovoľného S3-kompatibilného úložiska. Týždenná cron auto-archivácia je voliteľná. Iba držiteľ privátneho kľúča dokáže dešifrovať — infraštruktúra Shieldu nečíta staré snapshoty.
Dynamika písania na klávesnici, R² trajektórie myši, vzorce rolovania, dotykové udalosti, čas vyplnenia formulára a dĺžka zotrvania na stránke — viaceré signály vstupujúce do lokálneho vyhodnocovača aj do backendovej vyhodnocovacej linky.
Canvas, WebGL, audio kontext, rozpoznávanie písiem a odtlačok navigatora zlúčené do SHA-256 hashu zariadenia. Odhalí headless prehliadače aj nástroje na obchádzanie detekcie.
Krátkodobo uložená snímka hodnôt device_hash, webgl_renderer, user_agent, časového pásma a screen_resolution na začiatku relácie. Pri citlivých udalostiach (prihlásenie, odoslanie formulára, platba) sa porovná s aktuálnym odtlačkom; každý nesúlad pridá výrazné rizikové signály.
Base URL kompatibilná s OpenAI aj Anthropic. Shield skontroluje každý prompt pred preposlaním a každú odpoveď pred vrátením, zablokuje pri porušení pravidiel a odstráni PII / citlivé údaje priamo počas streamu.
Detekcia založená na embeddingoch naprieč množstvom kategórií útokov. „Disregard earlier directives" ≈ „Ignore previous instructions" podľa kosínusovej podobnosti. Embeddingy bežia lokálne cez Ollama — žiadne náklady na API za požiadavku.
Zachytáva volania nástrojov agentov Claude / Cursor / IDE. Overuje argumenty podľa JSON Schema, obmedzuje počet krokov v reťazci, kontroluje zoznam povolených domén a vyžaduje explicitné schválenie pri deštruktívnych nástrojoch. Každé volanie sa pred vykonaním preverí voči pravidlám ochrany agentov.
Viac než 40 vzorcov kontroluje vstup, výstup aj volania nástrojov pred spustením modelu i po ňom. Beží súbežne so Sémantickým firewallom a vytvára tak viacvrstvovú obranu.
5 nástrojov sprístupnených cez MCP: shield_get_stats, shield_get_threats, shield_add_rule, shield_get_events, shield_verify_token. Váš agent Claude / Cursor tak môže vyšetrovať incidenty a reagovať na ne bez toho, aby opustil chat.
Overovanie SQL pomocou rozboru cez AST. Blokuje UNION, INTO OUTFILE, pg_sleep, information_schema. Hodnota LIMIT je zhora obmedzená. Citlivé stĺpce (password, api_key, ssn) sa automaticky skryjú. Odtlačkovanie dotazov a pasce v podobe honeytoken tabuliek.
Detekcia peňaženiek: BTC (P2PKH/Bech32), ETH, SOL, TRX, XRP, LTC, DOGE. Rozpoznávanie seed fráz BIP-39 (12/24 slov). Podpisové prompty (EIP-712). Blokovanie ťažobných domén. Vzorce presmerovania platieb.
Bigramová detekcia nezmyselného textu (EN / DE / CS / SK / ES), viac než 100 domén jednorazových e-mailov, vzorce spamu (opakované znaky, VEĽKÉ PÍSMENÁ, záplava odkazov), rozpoznávanie podozrivých mien. Korpus phishingu a závadného obsahu pokrýva 9 jazykov (pozri kartu Phishing). Sčítavacie hodnotenie s bonusmi za zhluky.
Viacvrstvový skener e-mailov a príloh. Odhalí slovenské, české, poľské, nemecké, francúzske, španielske a srbské texty zbavené diakritiky (najsilnejší reálny signál phishingu), sociálne inžinierstvo využívajúce výzvu na zadanie hesla v 9 jazykoch, názvy súborov napodobňujúce mainframe a heslom chránené PDF / Office súbory. Vzorec nezávislý od značky zachytí rovnakú schému bez ohľadu na to, akú firmu sa snaží napodobniť.
Funkcia check_upload() prijíma form_fields. Keď nahrávaný súbor sprevádzajú údaje z formulára (názov, popis, meno, správa), Hodnotenie kvality obsahu sa spustí aj na týchto poliach. Aj neškodné PDF s nezmyselnými metadátami sa pri dostatočne istom skóre zamietne.
Každý súbor prechádza karanténnou bránou — zoznam povolených prípon, určenie MIME typu podľa magických bajtov, detekcia Office makier, JavaScript / Launch / OpenAction v PDF, vkladanie skriptov cez SVG / HTML. Maximálnu veľkosť a zoznam prípon možno nastaviť pre každého nájomcu.
Python (FastAPI / Django / Flask), Node.js (Express / Next.js), PHP (WordPress / Laravel). Overuje X-Shield-Token pri každej požiadavke. Bez tokenu → 403. Výsledok overenia HMAC sa krátkodobo ukladá do vyrovnávacej pamäte pre dvojicu (token, cesta).
Trojstavový istič (closed / open / half_open) vo všetkých troch backendových SDK. Po sérii chýb prenosu → OPEN na krátky interval → 1 sonda HALF_OPEN. Chyby 4xx istič nespustia. PHP používa APCu na zdieľanie stavu medzi FPM workermi. Žiadne ďalšie vypršanie časového limitu pri každej požiadavke počas výpadku na strane upstreamu.
Mapovanie dôvod → (machine_code, human_hint). /shield/verify a odpovede 403 zo všetkých 3 SDK vracajú remediation + remediation_code. Legitímni používatelia omylom označení ako podozriví uvidia „Vaša relácia vypršala — obnovte stránku" namiesto tichej chyby 403.
PHP plugin na priame nasadenie: automaticky vkladá widget a prináša middleware, ktorý overuje tokeny Shield na /wp-login.php a na administrátorských endpointoch. Štandardne fail-closed, dá sa nakonfigurovať.
Viacrozmerné obmedzovanie rýchlosti: podľa IP, zariadenia aj endpointu, s postupnou eskaláciou. Počítadlá na strane servera s posuvnými oknami.
IP geolokácia cez ip-api.com (krátkodobá vyrovnávacia pamäť). Zoznamy blokovaných / povolených krajín pre každú stránku. Úpravy skóre pre dátové centrá a proxy / Tor. Tvrdé zablokovanie už pri načítaní stránky — prekrytie so zamietnutím prístupu sa zobrazí ešte pred inicializáciou widgetu.
Widget pri dostatočne istom skóre zabráni odoslaniu formulára. Červené prekrytie: „Blokované systémom Corpilus Shield". Tokeny HMAC-SHA256 podpísané serverom sa cez interceptor automaticky pripájajú k fetch().
278 skompilovaných detekčných vzorcov sa automaticky kontroluje pri každej udalosti — pokrývajú všetky kategórie OWASP Top 10 2025. Kontrola na úrovni payloadu prebieha pred hodnotením.
AI analyzátor priebežne analyzuje udalosti. RAG kontext je ukotvený v starostlivo zostavenej bezpečnostnej znalostnej báze. Automaticky vytvára hrozby a pravidlá zo skutočných pozorovaní.
Vopred pripravený kontext threat intel (mini-CAG). Signatúry botov, útočné vzorce a vzorky OWASP sú zabudované — nové stránky sú chránené už od prvého zobrazenia.
Kolekcia Security Knowledge v Shielde obsahuje starostlivo zostavené dokumenty (OWASP Top 10, detekcia botov, reakcia na incidenty). Administrátori môžu nahrať vlastné firemné playbooky, post-mortem správy alebo threat intel špecifické pre dané odvetvie. Každé nahranie prejde viacvrstvovou kontrolou. Neškodné dokumenty sa uložia v stave trust_state='pending', kým ich administrátor výslovne nepovýši na 'active'. Do RAG kontextu AI analyzátora sa dostanú iba aktívne dokumenty.
Anonymizované zdieľanie vzorcov — IP skrátené na /24, PII odstránené, brána zrelosti (experimental → candidate → confirmed). Potvrdený útočník jedného nájomcu sa v priebehu minút stane známou hrozbou pre všetkých.
MutationObserver widgetu si pri štarte urobí snímku všetkých značiek <script>. Každý následne vložený skript sa nahlási ako telemetria script_integrity_violation so src, príznakom external/same-origin, dĺžkou obsahu a stabilným hashom. S obmedzením na jedno načítanie stránky. Zoznam dôveryhodných CDN povolených pre daného nájomcu.
Redis počítadlo pre SHA-256(account_id). Každé zlyhanie nad stanovený strop pridá výrazné rizikové skóre. Distribuovaný útok rozložený na tisíce IP aj tak skončí v rovnakom košíku daného účtu — pokus o victim@corp.com spustí výzvu bez ohľadu na to, z ktorej IP prišiel. Po úspešnom prihlásení sa počítadlo vynuluje.
GET /shield/password/breach-range/{prefix} — klient lokálne v prehliadači vypočíta SHA-1(password), odošle len 5-znakový hex prefix, Shield ho prepošle na api.pwnedpasswords.com a streamuje späť zoznam dvojíc prípona+počet. Klient si potom porovná vlastnú príponu lokálne. Server nikdy nevidí čistý text ANI celý hash.
Kontrola záznamov A/AAAA + MX pri registrácii. Pri vypršaní časového limitu fail-open. Krátkodobá vyrovnávacia pamäť pre každú doménu, aby rýchle vlny registrácií z tej istej jednorazovej domény opakovane nezaťažovali DNS.
Viac než 25 chránených značiek (Google, Microsoft, Apple, PayPal, Stripe, Meta, LinkedIn, Revolut, SK/CZ banky a poisťovne). Trojúrovňový detektor: 1) normalizovaná presná zhoda cez mapu homoglyfov, 2) Levenshteinova vzdialenosť pri dlhých značkách, 3) podreťazec značky + dekoratívna prípona (secure/login/support/verify/auth/signin/account/official/help).
Počítadlá rýchlosti podľa IP a podľa zariadenia. Podmienka nedávneho prihlásenia: žiadne nedávne úspešné prihlásenie z tohto zariadenia → výrazný rizikový signál. Kontinuita relácie: password_change je teraz v množine CITLIVÝCH udalostí, takže úplná zmena odtlačku okamžite blokuje. Klasický reťazec „útočník získa reláciu → zmení heslo → vyzamkne používateľa" musí prejsť cez všetky tri brány.
E-mail (HTML), Slack, Discord, generické JSON webhooky. Týždenná bezpečnostná správa so štatistikami, najčastejšími hrozbami a mierou blokovania. Pre každý webhook samostatná brána závažnosti (low / medium / high / critical).
Každá zmena pravidla, úprava konfigurácie stránky, manuálne blokovanie aj rozhodnutie AI sa zaznamená spolu s aktérom, časovou pečiatkou a rozdielom pred/po. Reťazené hashom, podpísané a exportovateľné ako balík dôkazov pripravený pre audítora.
Tokeny HMAC-SHA256 sa generujú na strane servera z tajného kľúča pre danú stránku a vracajú sa cez /shield/events. Widget nikdy nedrží tajný podpisový kľúč — uniknutý site_key nemožno použiť na sfalšovanie platných tokenov.
Zabezpečenie na úrovni riadkov v PostgreSQL je vynútené na všetkých tabuľkách shield_*. Každá požiadavka beží pod rolou ohraničenou na nájomcu — obídenie na aplikačnej vrstve nie je možné, ani keby malo API chybu.
Sleduje pokusy podľa BIN karty v posuvných oknách. Nárazové vzorce zodpovedajúce testovaniu kariet aktivujú postupnú výzvu alebo blokovanie. Prahové hodnoty sú nastaviteľné pre nájomcu; predvolené hodnoty sú konzervatívne.
Keď sa rovnaký odtlačok karty od PSP objaví v krátkom čase na viacerých zariadeniach, reláciách alebo u viacerých nájomcov, pokusy sa skorelujú a vyhodnotia ako koordinovaný útok. Surové PAN nikdy neopustí váš PSP.
Východisková distribúcia krajín vydavateľov vypočítaná pre každého nájomcu. Náhle sústredenie pokusov voči vydavateľom z malého počtu krajín — výrazne nad východiskovou hodnotou — označí pravdepodobnú cardingovú návštevnosť.
Agreguje viacero signálov — rozptyl rôznych BIN, rovnaké zariadenie alebo reláciu, vysoký pomer zlyhaní — do jednoznačného cardingového verdiktu. Keď to po zaúčtovaní potvrdí spätná väzba od PSP, závažnosť rozhodnutia sa zvýši.
Pomaly tlejúce útoky už neprejdú. Shield sleduje celý priebeh konverzácie, nielen jednotlivé správy oddelene. Útočník, ktorý mnoho ťahov komunikuje nevinne a až potom prejde k získavaniu dát alebo phishingu prihlasovacích údajov, je odhalený v okamihu, keď sa vzorec prejaví.
Skôr než váš agent spustí nástroj, Shield si položí otázku: je skutočný zámer používateľa v súlade s volaním tohto nástroja? Požiadavka na zhrnutie dokumentu by nemala spustiť export databázy. Chat o rezervácii cesty by nemal volať platobný nástroj. Nezhody sa zadržia na preskúmanie.
Kompromitovaní agenti a zvedavé LLM zvyčajne pred konaním preskúmavajú prostredie — vypisujú adresáre, čítajú cesty ku konfigurácii, prechádzajú premenné prostredia. Shield odhalí tento prieskumný vzorec zavčasu, ešte skôr, než akékoľvek dáta opustia stroj.
Jediná konverzácia nikdy nedokáže nenápadne spáliť celý váš mesačný rozpočet na AI. Shield vynucuje pre každú reláciu strop na tokeny, volania nástrojov aj uplynutý čas. Po dosiahnutí stropu sa relácia pozastaví alebo ukončí a operátor dostane upozornenie.
Shield sa naučí, čo je u každého používateľa normálne — typické hodiny, typické akcie, typické tempo — a nenápadne označí deň, keď sa tento vzorec naruší. Prihlásená relácia, ktorá sa zrazu vôbec nespráva ako skutočný používateľ, sa vyhodnotí ako možné prevzatie účtu.
Návnadové záznamy, súbory a prihlasovacie údaje sú rozmiestnené na miestach, kde by sa prehrabával len útočník. Skutoční používatelia ich nikdy neuvidia. V okamihu, keď sa niektorého z nich niekto dotkne, otvorí ho alebo použije, má Shield signál o narušení s vysokou istotou a prakticky nulovou mierou falošných poplachov.
Útočníci skrývajú škodlivé payloady do vrstvených kódovaní — base64, hex, percentuálne kódovanie, unicode escape sekvencie — aby prešli cez jednoduché textové filtre. Shield tieto vrstvy pred hodnotením rozbalí, takže sa skrytý útok preverí rovnakými ochranami ako jeho čisto textová podoba.
Skôr než sa nasadí akákoľvek aktualizácia pravidla, modelu alebo vyhodnocovača, spustí sa voči neustále rastúcemu korpusu reálnych útočných scenárov. Ak vydanie omylom oslabí detekciu na známom type hrozby, zmenu zablokuje CI — a nie až narušenie u zákazníka.
Každé bezpečnostné rozhodnutie a zmena konfigurácie sa zapíše do reťazca odolného voči manipulácii. Úpravy a vymazania sú matematicky odhaliteľné. Audítori, regulátori aj tím reagujúci na incidenty získajú dôveryhodnú časovú os aj v najhoršom prípade, keď sa útočník dostane k administrátorským údajom.
Keď sa niečo stane, nechcete stráviť hodiny zbieraním logov. Jediným klikom vytvoríte šifrovaný balík so stavom príslušného nájomcu opatrený časovou pečiatkou — udalosti, pravidlá, rozhodnutia, nedávna návštevnosť — pripravený na odovzdanie vášmu bezpečnostnému tímu, právnikovi alebo regulátorovi.
Shield vás neuzamkne k jedinému AI dodávateľovi. Prineste si vlastný kľúč OpenAI / Anthropic / Google, nasmerujte ho na vyhradenú inštanciu Ollama alebo bežte úplne lokálne. Nastavte si pevné stropy nákladov a pravidlá smerovania. Vaše dáta prúdia len k poskytovateľom, ktorých výslovne schválite.
Pri vašich najrizikovejších akciách môže Shield vyžadovať gesto ukotvené v hardvéri: Touch ID, Windows Hello, hardvérový bezpečnostný kľúč. Sú to kontroly fyzickej prítomnosti, ktoré agent poháňaný LLM ani vzdialený útočník nevyrieši, nech je prompt akokoľvek dômyselný.
Pre regulované, utajované alebo odpojené prostredia sa Shield dodáva ako balík na vlastný hosting s podpísanými artefaktmi vydania a plne offline inštaláciou. Nič nemusí komunikovať s verejným internetom, a aktualizácie pravidiel, modelov i intel pritom stále dostávate podľa vlastného harmonogramu.
Shield dokáže označiť odoslané formuláre, správy a dokumenty, ktoré pôsobia strojovo generované, a nie písané človekom. V kombinácii so signálmi správania a časovania to operátorom dáva jasnú odpoveď na otázku „je toto skutočné?" pri prihláškach, životopisoch, tiketoch podpory aj recenziách.
Widget si pri štarte urobí snímku fetch, XHR, navigator a userAgent a pravidelne ich opätovne kontroluje. Ak rozšírenie prehliadača, vložený skript alebo tag tretej strany prepne navigator.webdriver, obalí fetch, nahradí XHR alebo zmení deskriptory navigatora, Shield manipuláciu nahlási a môže odmietnuť vydať token. Sledovanie zmien jednotlivých atribútov form.action / skrytých vstupov je v pláne, zatiaľ však nie je zapojené.
Každá požiadavka sa v O(1) skontroluje voči viac než 48 000 indikátorom hrozieb v reálnom čase, ktoré sa často obnovujú. Žiadne nastavovanie zo strany zákazníka — financuje to platforma. Pri zhode sa skóre zvýši.
Vyhľadávanie v prémiových reputačných službách len pri podozrivých udalostiach. Kľúče sú pre každého nájomcu šifrované cez Fernet; žiadne kľúče zdieľané platformou, vyhľadávania prebiehajú z vašej kvóty.
Pokrytých všetkých desať kategórií OWASP 2025 — A01 riadenie prístupu, A02 nesprávna konfigurácia, A03 dodávateľský reťazec, A04 kryptografia, A05 injection, A06 návrh, A07 autentifikácia, A08 integrita, A09 logovanie, A10 spracovanie výnimiek. Sada vzorcov pochádza z OWASP CRS v4, nuclei šablón a PayloadsAllTheThings.
Identifikuje boty od OpenAI, Anthropic, Google-Extended, Perplexity, ByteDance, CommonCrawl, Meta, Apple, Cohere, Mistral, AllenAI, You.com a ďalších. Nájomca si pre každého dodávateľa zvolí block / monitor / allow.
Gadgety log4j JNDI (${jndi:ldap://...}), LDAP injection, XML External Entity, injection NoSQL operátorov v štýle MongoDB — všetky sa zablokujú už pri príjme na /shield/events, ešte skôr než sa dostanú na váš backend.
Zobrazenie všetkých 278 vzorcov, ktoré Shield spúšťa pri každej požiadavke, len na čítanie a zoskupených podľa kategórie. Zákazníci vidia presne to, čo ich chráni — žiadne marketingové tvrdenia, ktoré by si museli overovať.
Kliknutím na kartu zobrazíte technický opis a threat model.
LLM útoky dnes prekonajú naivnú detekciu botov — realistické Playwright relácie, Bezierove krivky pohybu myši, riešenie obrázkových CAPTCHA. Nasadili sme 8 fáz klientskeho spevnenia, takže widget sa bráni proti adaptívnym protivníkom sám.
Nulové zmeny vo vašej inštalácii — rovnaký jednoriadkový snippet stále funguje.
Runtime sa zostavuje per-tenant a týždenne. Reverzné inžinierstvo widgetu jedného tenanta nepomôže útočiť na iného.
Widget pri štarte odfotí window.fetch, XMLHttpRequest, navigator — kontrola každých 15 s. Škodlivé rozšírenia sa odhalia.
Backend už nevracia skóre ani dôvod do widgetu — uzatvára gradientový únik, ktorý zneužívajú adaptívni útočníci.
Hardvérovo ukotvená UV výzva — Touch ID, Windows Hello, bezpečnostné kľúče. Žiadne LLM ju nevyrieši.
Lokálne k-means priradí každú reláciu k jednému z 8 profilov — 4 ľudské, 3 botové, 1 neznámy. Backend ho používa ako hrubý kľúč persony.
Skóre podobnosti medzi reláciami uložené v localStorage. Náhly pokles indikuje spoofing.
Keď 10+ person zdieľa podpis správanie + IP CIDR + UA rodina, spustí sa alert. Protiváha útokom warmup-then-strike.
Predbežná kontrola registrácií: dočasný email, platnosť telefónu, prítomnosť SSO. Zastaví account farmy skôr, než vzniknú.
Cena sa odvíja od rozsahu chránených domén, akcií a podpory. Základné bezpečnostné vrstvy ostávajú dostupné v každom balíku — bez skrytých príplatkov za dôležitú ochranu.
Bot ochrana, formuláre, login, AI chat, MCP nástroje, uploady, SQL ochrana aj audit sú súčasťou každého Shield plánu. Vyberáte si najmä podľa objemu prevádzky, počtu domén a požadovanej úrovne podpory.
Ak sa blížite k limitu, najprv vás upozorníme. Žiadne tiché navyšovanie faktúry.
Bez diplomacie. Ak ste hľadali odpoveď inde a nenašli, pravdepodobne je tu.
Päť rodín útokov: boty a scrapery, pokusy o prevzatie účtu, útoky cez vašu AI (prompt injection, jailbreak, MCP abuse), škodlivé súbory a phishing v uploadoch, podozrivé SQL payloady a kopírovanie dát. Celá matica schopností patrí do jednej z nich.
Áno. Shield nemusí nahradiť váš existujúci chat. Vie fungovať ako ochranná vrstva pred LLM endpointom, chat rozhraním alebo MCP nástrojmi. Kontroluje vstupy, odpovede a volania nástrojov podľa pravidiel vašej firmy a vie anonymizovať citlivé údaje pred odoslaním ďalej.
Každé rozhodnutie má confidence skóre, reason kód a jedno-klikový override. Pri nejasnosti Shield radšej posiela softer challenge (honeypot, PoW), nie tvrdý 403. Whitelist IP, user ID alebo krajinu nastavíte za 30 sekúnd, každý blok je auditovateľný.
WAF a reCAPTCHA riešia generické HTTP zneužívanie a človek-vs-bot na vstupe. Shield leží o vrstvu hlbšie a rieši to, na čo WAF nebol stavaný: prompt injection voči vašim LLM endpointom, MCP agent abuse, sémantický form spam, SQL tvary, ktoré regex engine prepáči. Používajte ho vedľa vášho WAF, nie namiesto neho.
Všetka telemetria ostáva na EU infraštruktúre (Nemecko primárne, EU-West failover). Podpísané DPA a sub-processor list sú dostupné pred podpisom. IP adresy sú hashované, default retention 30 dní (konfigurovateľné).
Default: embeddingy a bot klasifikácia bežia na lokálnych Ollama modeloch v našej EU infraštruktúre — bežný traffic nikdy nevidí US LLM. Voliteľná hlbšia analýza môže volať OpenAI / Anthropic / Google ako opt-in per tenant, logovaná a vypinateľná. LLM proxy je BYOK — zákaznícky API kľúč, zákazníkove tokeny, my nevidíme obsah.
Nie. Shield používa len strictly necessary cookies / localStorage pre bezpečnostnú reláciu. Podľa ePrivacy a GDPR sú oslobodené od súhlasu. Váš existujúci cookie banner to pokryje.
Tri cesty: (a) 5-riadkový SDK pre Next.js / Node / Python / PHP / WordPress, (b) reverse-proxy mód bez zásahu do kódu, (c) edge worker pre Cloudflare / Vercel. SDK cesta nevyžaduje zmenu DNS. Prvá inštalácia typicky pod 30 minút.
Pri default Ollama-lokálnej ceste je p95 overhead v nízkych desiatkach ms a beží paralelne s vašim requestom. Voliteľné deep-analysis volanie je default async — používateľ naň nečaká. Na citlivých endpointoch môžete zapnúť strict inline mód.
Default fail open — SDK prepustí request a zaloguje incident pre audit. Môžete prepnúť na fail closed per endpoint (login, platba). Všetky SDK majú 3-stavový circuit breaker, žiadne cascade timeouts.
Cap si nastavujete vy. Pri 80 % limitu alert, pri 100 % uzatvoríme meter s ponukou preorder add-on packu. Žiadna tichá nadspotreba. Per-request prekvapenia neexistujú.
Verejný bezplatný plán neponúkame, ale pri vhodnom projekte vieme pripraviť 14-dňovú integračnú betu pre vašu doménu a celý ochranný tok. Zmluva môže byť mesačná alebo ročná, ročné plány majú 10 % zľavu. Export logov a ukončenie služby riešime transparentne v rámci zmluvného cyklu.
Férová otázka. Shield je súčasť Corpilus platformy a je navrhnutý pre európske firmy, ktoré potrebujú chrániť web, e-shop, AI chat a dátové toky. SDK a integračné materiály poskytujeme zákazníkom pri nasadení. HMAC signing secret neopúšťa serverovú stranu, dáta sú exportovateľné a pri enterprise nasadeniach vieme riešiť aj code escrow alebo partnerskú kontinuitu.
Nenašli ste odpoveď? Spýtajte sa nás priamo →
Spravíme vám bezpečnostný audit webu, ukážeme botov a prompt-injection pokusy, ktoré teraz nevidíte, a prejdeme integráciu za 15 minút. Žiadna prezentácia — len vaše dáta.
Externý sken verejnej plochy. Nenahrádza antivírus, firewall ani formálny pen-test.
Technický rozhovor k vašej infraštruktúre, webu, chatu a dátovým tokom.
Odpoveď a report do 3 pracovných dní.
Upozornenie k rozsahu ochrany. Corpilus Shield je AI ochranná vrstva v reálnom čase, ktorej cieľom je rozšíriť bežné bezpečnostné mechanizmy webu, e-shopu či LLM aplikácií — nie ich nahradiť. Nenahrádza antivírus, firewall, penetračný test ani formálny bezpečnostný audit. Pre ucelenú ochranu odporúčame kombináciu viacerých vrstiev.