Váš web, e-shop, backend a chat AI jsou nyní vstupy do vašich dat.

Boti ani podvodníci se na váš web nedostanou.

Shield pozná skutečného zákazníka od robota – zastaví falešné registrace, spam ve formulářích i AI scrapery, kteří kopírují váš katalog. Nasadíte ho jediným řádkem kódu a každé jeho rozhodnutí umí vysvětlit.

Samoučící se detekční vrstva pro formuláře, LLM endpointy a MCP nástroje.

28 behaviorálních signálů, fingerprinting zařízení, sémantický firewall s 85 embeddingy útoků, SQL guard a sandbox pro uploady. Backendové SDK ve 3 řádcích (Python / Node / PHP). Nová pravidla se generují každých 15 minut ze skutečných pokusů, napříč tenanty.

Ochrana webu a e-shopuBackend ochranaChraňte stávající chatOvládání nástroje MCPAnonymizace datEU hosting

15minutový technický hovor. Zkontrolujeme váš chat, web, nástroje MCP nebo datový tok s nejvyšším rizikem.

Bots
LLM
MCP
Web
Corpilus Shield
Shield v akci

Útoky, kterým váš web čelí každý den — a co s nimi dělá Shield

Představte si úplně obyčejné páteční odpoledne. Bot se vám dobývá do přihlášení s ukradenými hesly, kontaktní formulář zavaluje spam a jeden AI crawler si potichu kopíruje celý váš katalog. Vy o tom nemáte tušení — ale Shield to vidí a každý z útoků zastaví. Tady je, jak na to.

E-shopy a pokladnaSaaS a webové aplikaceFormuláře a registrace
1

Bot zkouší tisíce hesel na vašem přihlášeníCredential stuffing

Útočníci opakovaně zkoušejí uniklé seznamy přihlašovacích jmen a hesel proti vašemu přihlášení – tisíce pokusů za vteřinu – dokud jeden nezabere.

Bez Shieldu: Účet převzatý během několika vteřin a s ním i důvěra vašeho zákazníka.
Verdikt Shieldu: Zablokováno

Detekce probíhá podle účtu, ne podle IP – distribuované pokusy neprojdou.

2

Do pole formuláře je vložen skrytý útočný kódInjection (log4j / SQL)

Běžně vypadající odeslání formuláře nese skrytou payload navrženou tak, aby váš server spustil kód útočníka.

Bez Shieldu: Úplné převzetí serveru – přesně ten typ chyby, který v roce 2021 položil půlku internetu.
Verdikt Shieldu: Zablokováno

Payloady ověřuje AST, nikoli regulární výrazy – zachytí i obfuskované varianty.

3

AI bot kopíruje celý váš katalogAI scrapery (GPTBot, ClaudeBot…)

Automatizované crawlery nepřetržitě sklízejí vaše ceny, obsah a data – aby trénovaly modely nebo vás cenově podbízely.

Bez Shieldu: Vaše práce zkopírovaná ve velkém. Vy rozhodujete, zda ji povolíte, budete sledovat, nebo zablokujete.
Verdikt Shieldu: Sledováno

Politika pro každého klienta zvlášť: každou kategorii crawlerů lze povolit, sledovat, nebo blokovat.

Pokročilá hrozba · pro týmy, které staví AI
4

Otrávený dokument vám potichu vyžene účet za AI nahoruDenial-of-Wallet (útok na náklady inference, RA-ICA)

Útočník nastraží na veřejném webu dokument plný pastí. Váš AI asistent si ho stáhne kvůli úplně běžnému dotazu a model spálí mnohonásobně víc tokenů — přitom odpověď stále vypadá naprosto správně.

Bez Shieldu: Účet za API a GPU se vám nenápadně znásobí (až 13×) — zjistíte to teprve, když dorazí faktura.
Verdikt Shieldu: Zastropováno

Tvrdý strop na počet výstupních tokenů na požadavek, RAG relevanční brána, sanitizace získaného obsahu a rozpočty na jednotlivé relace přeruší amplifikaci, která útok dělá výdělečným.

Jeden řádek kódu a všechny tři jsou vyřešené – vyzkoušejte si to sami níže.

Stiskněte tlačítko a sledujte, jak Shield v reálném čase rozhoduje, zda je každý požadavek bezpečný.Reálná telemetrie Shieldu: 28 behaviorálních signálů a otisk zařízení spojených do jednoho verdiktu pro každý požadavek.

Live API · production

Try Shield against a real attack

Real HTTP request to our production API. No login required.

POST api.corpilus.com/api/v1/shield/events

Real HTTP request to our production API. No login required.

Corpilus Shield

Vrstva zabezpečení mezi lidmi, AI a vašimi daty.

Shield pomáhá společnostem používat AI, aniž by slepě důvěřovaly každé výzvě, odpovědi nebo volání nástroje. Může chránit Corpilus AI a chat, který již používáte, prostřednictvím proxy serveru LLM, modulu zásad MCP, anonymizace citlivých dat, widgetu webového formuláře a auditovatelných pravidel.

Bot / bezhlavý prohlížeč
Rychlá injekce
Ukradená hesla
Nahrání malwaru
Scraper
Shield
Formuláře
Login
LLM chat
MCP tools
SQL / DB
Ukázka palubní desky
247
Blocked
38
Challenged
12 841
Allowed

Chrání více než web

Stejné zásady se mohou vztahovat na kontaktní formuláře, přihlášení, nahrávání, chat AI, volání nástrojů MCP a přístup k databázi pouze pro čtení. Váš tým vidí riziko v jednom řídicím panelu, nikoli v pěti samostatných nástrojích.

Snižuje riziko nesprávného použití a chyb AI

Okamžitá injekce, útěky z vězení, únik systémových povelů, nadměrná volání MCP a citlivá data v textu jsou vyhodnocena předtím, než se požadavek posune vpřed.

Citlivá data zůstávají pod kontrolou

Osobní údaje, tajemství, klíče API a identifikátory společnosti mohou být anonymizovány, redigovány nebo blokovány zásadami. Cílem není zpomalit AI, ale zabránit zbytečnému vystavování dat.

Audit pro technické týmy a týmy shody

Každé rozhodnutí má svůj důvod, míru rizika a auditní stopu. Detaily detekce jsou chráněny proti obcházení, zatímco zákazníci dostávají vysvětlení, exporty protokolů a technické důkazy.

Free for first 50 sign-ups

Want a personalized security audit of YOUR site?

We'll scan your domain for 18 known vulnerabilities — admin path probes, missing security headers, exposed config files, supply-chain risks, AI scraper policy — and send you a branded PDF report.

  • Non-invasive scan — no exploits, no data extraction
  • Branded PDF report with severity-ranked findings
  • Customer-specific recommendations for each finding
  • Free during beta — first 50 sign-ups only
📋 Request free auditWe'll respond within 24 hours.
Krajina ohrožení 2026

Chat, formulář nebo nástroj MCP je vstupem do vaší společnosti. Shield řídí, co prochází.

Útok už nemusí vypadat jako klasický hack. Může to být výzva k chatu, soubor ve formuláři, falešné přihlášení nebo hovor MCP požadující více dat, než by měl obdržet.

Falešné registrace

Roboti vytvářejí účty rychleji, než je váš tým může smazat.

Zkreslují metriky, vypalují limity a připravují půdu pro podvody.

Útoky na přihlášení

Někdo testuje ukradená nebo uhodnutá hesla na vašich stránkách, často distribuovaných na tisíce IP adres.

Jedno úspěšné přihlášení může proměnit zákaznický účet v incident.

Formulář spamu

Vaše doručená pošta se plní zprávami, které nenapsal žádný člověk.

Skutečné zprávy od zákazníků jsou pohřbeny, tým ztrácí čas a doručitelnost trpí.

Testování odcizených karet

Podvodníci testují tisíce karet oproti vaší pokladně na centy, jen aby ověřili, která čísla fungují.

Poskytovatelé plateb vás penalizují, důvěra Stripe klesá a skuteční zákazníci mohou být zablokováni.

Škodlivé nahrávání souborů

Makroviry, soubory PDF s obsahem JavaScript a SVG přicházejí jako přílohy prostřednictvím kontaktního formuláře.

Malware se dostane do poštovní schránky, cloudové jednotky nebo do počítače kolegy.

Phishing prostřednictvím formulářů

Útočník použije váš formulář k odeslání e-mailu jménem banky nebo dodavatele s připojenou falešnou fakturou.

Vaše značka se stává cestou pro phishing, vytváří reputační a právní riziko.

Tiché škrábání obsahu

Škrabky kopírují váš katalog, ceny a kopírují pro konkurenci nebo falešné obchody.

Ztratíte hodnotu SEO, cenovou výhodu a obsah, za jehož vytvoření jste zaplatili.

Manipulace s vaším AI

Chatbot může být přemluven, aby porušil pravidla nebo odhalil svou systémovou výzvu.

Interní pokyny nebo únik dat a odpovědnost nese vaše společnost.

Toto není osm samostatných problémů. Představují jeden problém: nestřežený vstup k vašim datům, účtům a nástrojům. Shield vkládá tyto vstupy pod jednu politiku a jeden audit trail.

47% webového provozu v roce 2026 není lidské. (Zpráva Imperva Bad Bot.)

Schopnosti

Ochrana pro chat AI, MCP, webové vstupy a data.

Shield není jen anti-bot. Je to bezpečnostní vrstva pro místa, kde uživatel nebo agent komunikuje s vaší společností: výzva, formulář, upload, přihlášení, nástroj MCP nebo databázový dotaz.

Kombinuje signály chování s rotujícím otiskem zařízení a reputací IP. Prahové hodnoty detekce nejsou publikovány, aby se zabránilo kalibračnímu mapování.

Omezení pro jednotlivé účty funguje nezávisle na IP, proxy HIBP k-anonymita nikdy nevidí heslo ve formátu prostého textu. Změna hesla vyžaduje kombinaci signálů rychlosti, nedávného přihlášení a posunu relace.

Proxy LLM je BYOK – nikdy nevidíme ani neukládáme tokeny zákazníků. Sémantický firewall používá místní modely vkládání bez nákladů na požadavek API.

Funguje s hash otisku karty z vašeho PSP – nikdy nevidíme nezpracovaný PAN. Kombinuje rychlost na úrovni BIN a propojení otisků prstů napříč zařízením, relací a tenantem.

Nahrání procházejí karanténou se seznamem povolených rozšíření, sniffováním magických bajtů a skenováním obsahu. Detekce phishingu je nezávislá na značce – detekuje vzor, ​​nikoli konkrétní značku.

Ověření AST na každý dotaz. Redigování citlivých polí je konfigurovatelné pro každého tenanta. Detekce kryptoměn pokrývá 7 formátů blockchainových adres.

Nová pravidla procházejí zavedením kanárků s hradlováním na základě anomálií. Učení mezi nájemci pouze šíří anonymizované vzorce se zralostí: experimentální → kandidát → potvrzeno.

RLS je vynuceno na každém stole shield_*. Tajemství podpisu HMAC je pouze pro server – uniklý site_key nemůže zfalšovat token. Protokol auditu zachycuje aktéra, časové razítko a before/after diff.

SDK provozuje 3stavový jistič (sepnuto / vypnuto / polootevřeno) a není připojen k jedinému bodu selhání. Kód nápravy umožňuje front-endu zobrazit uživatelsky přívětivou zprávu.

Pouze připojení na úrovni role databáze (REVOKE UPDATE, DELETE), páry klíčů Ed25519 na nájemce a ukotvení RFC 3161 vůči externímu TSA. Jediný bajt změněný v protokolu zneplatní každý následující hash – řetězec odmítne ověřit a manipulace je auditovatelná.

Snímky jsou zapečetěny hybridní obálkou (RSA-OAEP-SHA256 pro klíč AES-256-GCM, AES-256-GCM pro užitečné zatížení). Archiv lze nahrát do libovolného úložiště kompatibilního s S3. Týdenní automatické archivace cronu jsou volitelné. Dešifrovat může pouze držitel soukromého klíče — infrastruktura Shield nemůže číst minulé snímky.

9
detekční jazyky
5
jazyky pro hodnocení obsahu
3
backend SDK
40+
detekční kontroly

Dynamika psaní na klávesnici, R² trajektorie myši, vzorce posouvání, dotykové události, časování vyplňování formulářů, doba setrvání na stránce — vícesignálové vstupy přiváděné do lokálního skórovacího modulu a do skórovacího řetězce na backendu.

Protects against
Boti vyplňující formuláře, headless automatizace, skriptovaná odesílání.

Canvas, WebGL, audio kontext, detekce písem a otisk objektu navigator se slučují do SHA-256 hashe zařízení. Odhalí headless prohlížeče a nástroje pro obcházení detekce.

Protects against
Frameworky headless prohlížečů, automatizační nástroje obcházející detekci.

Na začátku relace se do krátkodobé cache uloží snímek hodnot device_hash, webgl_renderer, user_agent, časového pásma a screen_resolution. Citlivé události (přihlášení, odeslání formuláře, dokončení objednávky) porovnají aktuální otisk se snímkem; každá odchylka přidá výrazné rizikové signály.

Protects against
Únos relace, opakované použití tokenu, útoky s odcizenými cookies, výměna zařízení uprostřed relace.

Základní URL kompatibilní s OpenAI a Anthropic. Shield skenuje každý prompt před přeposláním a každou odpověď před vrácením, blokuje při porušení politiky a odstraňuje PII / tajné údaje z proudu dat.

Protects against
Prompt injection, jailbreak, exfiltrace PII / tajných údajů z LLM aplikací.

Detekce založená na embeddingech napříč mnoha kategoriemi útoků. „Disregard earlier directives" ≈ „Ignore previous instructions" podle kosinové podobnosti. Lokální embeddingy přes Ollama — nulové náklady na API za požadavek.

Protects against
Přeformulovaná prompt injection, jailbreaky pomocí synonym, obfuskované útoky, jazykové varianty.

Zachytávání volání nástrojů pro agenty Claude / Cursor / IDE. Validace argumentů podle JSON Schema, limit počtu kroků v řetězci, allowlist domén, výslovné schvalovací brány u destruktivních nástrojů. Každé volání kontroluje vůči pravidlům ochrany agentů ještě před spuštěním.

Protects against
Zneužití škodlivých nástrojů, exfiltrace přes soubory / shell, agenty útočící na dodavatelský řetězec, nekontrolované smyčky agentů.

Více než 40 vzorců skenujících vstup + výstup + volání nástrojů před spuštěním modelu i po něm. Běží společně se sémantickým firewallem pro vrstvenou obranu.

Protects against
Prompt injection, jailbreaky typu DAN, otrávení paměti, zneužití nástrojů, exfiltrace dat.

5 nástrojů zpřístupněných přes MCP: shield_get_stats, shield_get_threats, shield_add_rule, shield_get_events, shield_verify_token. Umožní vašemu agentovi Claude / Cursor vyšetřovat incidenty a reagovat na ně bez opuštění chatu.

Protects against
Slepou reakci administrátora — agenti mohou incidenty vyšetřovat a programově na ně reagovat.

Validace SQL parsovaná přes AST. Blokuje UNION, INTO OUTFILE, pg_sleep, information_schema. LIMIT je shora omezen. Citlivé sloupce (password, api_key, ssn) jsou automaticky redigovány. Otiskování dotazů a pasti s honeytoken tabulkami.

Protects against
Exfiltraci přes SQL, výčet schématu, zneužití stránkování, úniky citlivých dat.

Detekce peněženek: BTC (P2PKH/Bech32), ETH, SOL, TRX, XRP, LTC, DOGE. Skenování seed frází BIP-39 (12/24 slov). Podpisové prompty (EIP-712). Blokované těžební domény. Vzorce přesměrování plateb.

Protects against
Krádež peněženky, únik seed fráze, vložení těžebního skriptu, přesměrování plateb.

Detekce nesmyslného textu na základě bigramů (EN / DE / CS / SK / ES), více než 100 domén jednorázových e-mailů, spamové vzorce (opakované znaky, VELKÁ PÍSMENA, záplava odkazů), detekce podezřelých jmen. Korpus phishingu a závadného obsahu pokrývá 9 jazyků (viz karta Phishing). Sčítací skórování s bonusy za shluky.

Protects against
Spam ve formulářích, falešné registrace, jednorázové účty, nesmyslná odeslání.

Vícevrstvý skener e-mailů a příloh. Odhalí slovenské/české/polské/německé/francouzské/španělské/srbské texty zbavené diakritiky (nejsilnější reálný phishingový signál), sociální inženýrství s nápovědou k heslu napříč 9 jazyky, názvy souborů napodobující mainframe a heslem chráněné soubory PDF / Office. Shluk nezávislý na značce zachytí stejný tvar s libovolným zneužitým názvem společnosti.

Protects against
Phishingové zásilky, sběr přihlašovacích údajů, heslem chráněné nosiče malwaru, sociální inženýrství přes přílohy.

Funkce check_upload() přijímá form_fields. Pokud nahrávaný soubor doprovázejí data formuláře (název, popis, jméno, zpráva), spustí se hodnocení kvality obsahu i na těchto polích. I bezvadné PDF s nesmyslnými metadaty je při dostatečně vysoké jistotě odmítnuto.

Protects against
Falešné registrace účtů, nekvalitní spam ve formulářích s přílohami, boty vyplňující tikety podpory.

Každý soubor projde karanténní bránou — allowlist přípon, rozpoznání MIME podle magic byte, detekce maker v Office, JavaScript / Launch / OpenAction v PDF, vložení skriptů přes SVG / HTML. Maximální velikost a seznam přípon nastavitelné pro každého nájemce.

Protects against
Zanesení malwaru, makro viry, JS skrytý v PDF, SVG-XSS, polyglotní soubory.

Python (FastAPI / Django / Flask), Node.js (Express / Next.js), PHP (WordPress / Laravel). Ověřuje X-Shield-Token u každého požadavku. Bez tokenu → 403. Ověření HMAC se ukládá do krátkodobé cache podle dvojice (token, cesta).

Protects against
Požadavky obcházející JS widget (curl, Postman, Python requests, surové HTTP).

Třístavový breaker (closed / open / half_open) ve všech třech backendových SDK. Po sérii chyb přenosu → OPEN na krátký interval → 1 sonda HALF_OPEN. Chyby 4xx breaker nespustí. PHP používá APCu pro sdílení stavu mezi FPM workery. Konec čekání na timeout u každého jednotlivého požadavku během výpadku nadřazené služby.

Protects against
Kaskádové timeouty, bouře opakování, hromadění požadavků během výpadků Shield API.

Mapování důvod → (machine_code, human_hint). Koncový bod /shield/verify i těla odpovědí 403 ze všech 3 SDK vracejí remediation + remediation_code. Legitimní uživatelé chycení jako falešně pozitivní uvidí „Vaše relace vypršela — načtěte stránku znovu" místo tichého 403.

Protects against
Špatný UX u falešně pozitivních případů, zátěž tiketů podpory, zmatek z tichých selhání.

Drop-in PHP plugin: automaticky vkládá widget, dodává middleware ověřující Shield tokeny na /wp-login.php a administrátorských koncových bodech. Ve výchozím nastavení fail-closed, konfigurovatelné.

Protects against
Útoky hrubou silou na WordPress, zneužití xmlrpc, výčet wp-admin na webech malých a středních firem v EU.

Vícerozměrné omezování rychlosti: podle IP, podle zařízení, podle koncového bodu, s progresivní eskalací. Serverové čítače s klouzavými okny.

Protects against
Útoky hrubou silou, credential stuffing, scraping, výčet API.

Geolokace IP přes ip-api.com (krátkodobá cache). Seznamy blokovaných / povolených zemí pro každý web. Modifikátory skóre pro datová centra a proxy / Tor. Tvrdé zablokování už při načtení stránky — ještě před inicializací widgetu se zobrazí překryv o odepření přístupu.

Protects against
Provoz z nepovolených oblastí, anonymizační infrastrukturu, omezení vyplývající z compliance.

Widget zabrání odeslání formuláře při skóre s vysokou jistotou. Červený překryv: „Blokováno systémem Corpilus Shield". Serverem podepsané tokeny HMAC-SHA256 se přes interceptor automaticky připojují k fetch().

Protects against
Odeslání botů s vysokou jistotou dosahující backendu.

278 zkompilovaných detekčních vzorců skenovaných automaticky u každé události — pokrývají všechny kategorie OWASP Top 10 2025. Kontrola na úrovni payloadu probíhá před skórováním.

Protects against
SQL injection, XSS, průchod cestou, injekci příkazů, SSRF, SSTI, LDAP injection, XXE, NoSQL injection, log4j JNDI, sondy chybné bezpečnostní konfigurace, typosquaty v dodavatelském řetězci, úniky stack trace.

AI analyzér průběžně analyzuje události. RAG kontext ukotvený v kurátorované bezpečnostní znalostní bázi. Automaticky vytváří hrozby a pravidla z reálných pozorování.

Protects against
Nové / dosud neviděné vzorce útoků, které statická pravidla minou.

Předpřipravený kontext threat-intel (mini-CAG). Signatury botů, vzorce útoků a ukázky OWASP jsou zabudovány — nové weby jsou chráněny už od prvního zobrazení stránky.

Protects against
Slepotu při studeném startu — nové weby jsou chráněny okamžitě.

Kolekce Security Knowledge v Shieldu obsahuje kurátorované dokumenty (OWASP Top 10, detekce botů, reakce na incidenty). Administrátoři mohou nahrát vlastní firemní playbooky, post-mortem zprávy nebo oborově specifické threat intel. Každé nahrání projde vícevrstvým skenem. Čisté dokumenty se uloží jako trust_state='pending', dokud je administrátor výslovně nepovýší na 'active'. Do RAG kontextu AI analyzéru se dostanou pouze aktivní dokumenty.

Protects against
Vzorce útoků specifické pro nájemce, které obecná tréninková data nikdy nevidí — interní podvodná schémata, oborově specifické převzetí účtů, útoky po fúzích a akvizicích. Sken + canary brána brání otrávení učícího řetězce.

Sdílení anonymizovaných vzorců — IP redukované na /24, PII odstraněno, brány zralosti (experimental → candidate → confirmed). Potvrzený útočník jednoho nájemce se během minut stane známou hrozbou pro všechny.

Protects against
Distribuované kampaně zasahující více webů chráněných Shieldem.

MutationObserver widgetu při startu sejme snímek všech značek <script>. Každý následně vložený skript je nahlášen jako telemetrie script_integrity_violation se zdrojem src, příznakem external/same-origin, délkou obsahu a stabilním hashem. Omezeno na jedno načtení stránky. Allowlist nájemce pro důvěryhodné CDN.

Protects against
Útoky na dodavatelský řetězec, škodlivá rozšíření prohlížeče, krádež tokenů přes XSS, podvodné reklamní překryvy.

Redis čítač pro každý SHA-256(account_id). Každé selhání nad limit přidá významné rizikové skóre. Distribuovaný útok, který rozprostře mnoho pokusů přes tisíce IP, stále dopadá do stejného účtu — pokus na victim@corp.com spustí výzvu bez ohledu na to, z jaké IP přišel. Čítač se po úspěšném přihlášení vynuluje.

Protects against
Distribuovaný credential stuffing, hrubou sílu přes rezidenční proxy, pomalé a tiché hádání hesel.

GET /shield/password/breach-range/{prefix} — klient spočítá SHA-1(password) lokálně v prohlížeči, odešle pouze 5znakový hexadecimální prefix, Shield přepošle dotaz na api.pwnedpasswords.com a vrátí seznam přípon a počtů. Klient porovná svou vlastní příponu lokálně. Server nikdy nevidí otevřený text ANI celý hash.

Protects against
Opětovné použití přihlašovacích údajů, registraci s hesly se známým únikem, tichou expozici přes výpisy z paste-binů.

Kontrola záznamů A/AAAA + MX při registraci. Při timeoutu fail-open. Krátkodobá cache pro každou doménu, takže rychlé vlny registrací ze stejné jednorázové domény opakovaně nezatěžují DNS.

Protects against
Jednorázové registrační domény, typosquaty bez hostingu, útočnické domény krátce po registraci.

Více než 25 chráněných značek (Google, Microsoft, Apple, PayPal, Stripe, Meta, LinkedIn, Revolut, SK/CZ banky a pojišťovny). Třístupňový detektor: 1) normalizovaná přesná shoda přes mapu homoglyfů, 2) Levenshteinova vzdálenost pro dlouhé značky, 3) podřetězec značky + dekorativní přípona (secure/login/support/verify/auth/signin/account/official/help).

Protects against
Registrace zneužívající značku, registrace phishingové infrastruktury, falešné domény „support".

Čítače rychlosti podle IP a podle zařízení. Požadavek na nedávné přihlášení: žádné nedávné úspěšné přihlášení z tohoto zařízení → významný rizikový signál. Kontinuita relace: password_change je nyní v sadě CITLIVÝCH událostí, takže plná odchylka otisku okamžitě blokuje. Klasický řetězec „útočník získá relaci → změní heslo → zamkne uživatele" musí přežít všechny tři brány.

Protects against
Řetězec zamčení při převzetí účtu, reset hesla přes opakování relace, hromadné převzetí účtů přes odcizené cookies.

E-mail (HTML), Slack, Discord, obecné JSON webhooky. Týdenní bezpečnostní report se statistikami, hlavními hrozbami a mírou blokování. Brána závažnosti pro každý webhook (low / medium / high / critical).

Protects against
Pozdní odhalení incidentu — administrátoři jsou upozorněni během sekund.

Každá změna pravidla, úprava konfigurace webu, ruční blokace a rozhodnutí AI je zaznamenáno s aktérem, časovým razítkem a rozdílem před/po. Zřetězeno hashem, podepsáno a exportovatelné jako balíček důkazů připravený pro auditora.

Protects against
Tichou manipulaci — a poskytuje úplnou stopu, když se zeptá váš auditor (ISO, SOC 2, interní). Samotný Shield aktuálně není externě certifikován.

Tokeny HMAC-SHA256 jsou generovány na straně serveru z tajemství pro každý web a vraceny přes /shield/events. Widget podpisové tajemství nikdy nedrží — z uniklého site_key nelze padělat platné tokeny.

Protects against
Padělání tokenů z odcizeného veřejného site_key.

Row-Level Security v PostgreSQL vynucená na všech tabulkách shield_*. Každý požadavek běží pod rolí vázanou na nájemce — žádné obejití na úrovni aplikace není možné, ani když má API chybu.

Protects against
Mezitenantní úniky dat, chyby narušeného řízení přístupu v kódu aplikace.

Sleduje pokusy podle BIN karty napříč klouzavými okny. Vzorce nárůstu odpovídající testování karet aktivují progresivní výzvu nebo blokaci. Prahové hodnoty jsou nastavitelné pro každého nájemce; výchozí hodnoty jsou konzervativní.

Protects against
Kampaně testování karet, výčet BIN, nárůsty ověřování odcizených karet.

Pokud se stejný otisk karty poskytnutý PSP objeví napříč více zařízeními, relacemi nebo nájemci v krátkém okně, pokusy jsou korelovány a vyhodnoceny jako koordinovaný útok. Surové PAN nikdy neopustí váš PSP.

Protects against
Distribuované testování karet, obcházení limitů rychlosti přes rotaci IP / zařízení.

Základní úroveň distribuce zemí vydavatelů vázaná na nájemce. Náhlá koncentrace pokusů proti vydavatelům z malého počtu zemí — výrazně nad základní úrovní — signalizuje pravděpodobný cardingový provoz.

Protects against
Cílené útoky na vydavatele, kampaně s výpisy odcizených karet, geograficky shlukované podvody.

Agreguje více signálů — rozmanitý rozptyl BIN, stejné zařízení nebo relaci, vysoký poměr selhání — do pojmenovaného verdiktu o cardingu. Zvyšuje závažnost rozhodnutí, když je potvrzen zpětnou vazbou PSP po zaúčtování.

Protects against
Koordinované kampaně testování karet, ověřovací podvodný provoz, vyhnutí se penalizaci od PSP.

Pozvolna doutnající útoky už neproklouznou. Shield sleduje celý průběh konverzace, ne jen jednotlivé zprávy odděleně. Útočník, který nevinně konverzuje mnoho kol a teprve pak se obrátí k získávání dat nebo phishingu přihlašovacích údajů, je zachycen ve chvíli, kdy se vzorec projeví.

Protects against
Vícekolové jailbreaky, sociální inženýrství s pomalým obratem, AI agenty, kteří začnou přátelsky a během dlouhé relace přejdou k získávání dat.

Než váš agent spustí nástroj, Shield se ptá: je skutečný záměr uživatele v souladu s voláním tohoto nástroje? Žádost o shrnutí dokumentu by neměla spustit export databáze. Chat o rezervaci cesty by neměl volat platební nástroj. Nesoulady jsou pozastaveny ke kontrole.

Protects against
Agenty volající citlivé nástroje pod nevinně vypadajícími prompty, zneužití nástrojů přes prompt injection, náhodné destruktivní operace.

Kompromitovaní agenti a zvědavé LLM obvykle prozkoumávají prostředí, než začnou jednat — vypisují adresáře, čtou cesty ke konfiguracím, vyjmenovávají proměnné prostředí. Shield označí tento průzkumný vzorec brzy, ještě než jakákoli data opustí systém.

Protects against
Pokusy o únik ze sandboxu, průzkum kontejneru, výčet tajemství prostředí, sondování agentů před exfiltrací.

Jediná konverzace nikdy nemůže tiše spotřebovat celý váš měsíční AI rozpočet. Shield vynucuje strop na tokeny, volání nástrojů a uplynulý čas pro každou relaci. Po dosažení limitu je relace pozastavena nebo ukončena a operátor je upozorněn.

Protects against
Útoky na explozi nákladů, selhání agentů v nekonečné smyčce, denial-of-wallet, náhodné nekontrolované prompty.

Shield se naučí, jak vypadá normál pro každého uživatele — typické hodiny, typické akce, typické tempo — a tiše označí den, kdy se vzorec naruší. Přihlášená relace, která se náhle nechová vůbec jako skutečný uživatel, je považována za možné převzetí.

Protects against
Kompromitované účty, únos identity po krádeži přihlašovacích údajů, zneužití účtu v insider režimu, opakované použití relace po phishingu.

Návnadové záznamy, soubory a přihlašovací údaje jsou nastraženy na místa, kam by se podíval jedině útočník. Skuteční uživatelé je nikdy nespatří. Jakmile se některého z nich někdo dotkne, otevře ho nebo použije, získá Shield signál o průniku s vysokou jistotou a prakticky nulovým počtem falešně pozitivních případů.

Protects against
Tiché průniky obcházející ostatní detekce, krádež dat zevnitř, laterální pohyb po kompromitaci.

Útočníci skrývají škodlivé payloady ve vrstvených kódováních — base64, hex, percent-encoding, unicode escape sekvence — aby proklouzli přes jednoduché řetězcové filtry. Shield tyto vrstvy rozbalí před skórováním, takže základní útok je porovnán se stejnými ochranami jako jeho verze v otevřeném textu.

Protects against
Pašování přes base64 / hex / percent-encoding, vícevrstvou obfuskaci payloadu, obcházení filtrů založené na kódování.

Než se jakákoli aktualizace pravidla, modelu nebo skóreru nasadí, je spuštěna proti neustále rostoucímu korpusu reálných scénářů útoků. Pokud release nedopatřením oslabí detekci u známého tvaru hrozby, je změna zablokována v CI — ne až poté, co dojde k průniku u zákazníka.

Protects against
Tiché regrese detekce, náhodný posun k falešně negativním případům během releasů, hromadění bezpečnostního dluhu napříč verzemi.

Každé bezpečnostní rozhodnutí a změna konfigurace se zapisuje do řetězce odolného proti manipulaci. Úpravy a mazání jsou matematicky detekovatelné. Auditoři, regulátoři a tým reakce na incidenty získají důvěryhodnou časovou osu i v nejhorším případě, kdy se útočník dostane k administrátorským přihlašovacím údajům.

Protects against
Přepisování historie zevnitř, forenzní manipulaci, regulační spory o tom, co a kdy se stalo, mezery v atribuci po incidentu.

Když se něco stane, nechcete trávit hodiny sbíráním logů. Jedno kliknutí vytvoří šifrovaný balíček stavu příslušného nájemce s časovým razítkem — události, pravidla, rozhodnutí, nedávný provoz — připravený předat vašemu bezpečnostnímu týmu, právníkovi nebo regulátorovi.

Protects against
Pomalou reakci na incidenty, ztrátu forenzního stavu mezi detekcí a kontrolou, oznámení o průniku, která nestihnou regulační lhůtu.

Shield vás nesvazuje s jediným dodavatelem AI. Přineste si vlastní klíč OpenAI / Anthropic / Google, nasměrujte provoz na dedikovanou instanci Ollama nebo běžte plně lokálně. Nastavte si pevné nákladové stropy a směrovací pravidla. Vaše data putují pouze k poskytovatelům, které výslovně schválíte.

Protects against
Vázanost na dodavatele, nečekané překročení nákladů, mezery v rezidenci dat, regulační omezení přeshraničního zpracování AI.

Pro vaše nejrizikovější akce může Shield vyžadovat gesto ukotvené v hardwaru: Touch ID, Windows Hello, hardwarový bezpečnostní klíč. Jde o kontroly fyzické přítomnosti, které agent poháněný LLM ani vzdálený útočník nevyřeší, ať je prompt jakkoli důmyslný.

Protects against
CAPTCHA řešitelné LLM, převzetí účtu pouze na dálku, privilegované akce řízené agentem, kroky ověření pouze pomocí hesla.

Pro regulovaná, utajovaná nebo odpojená prostředí se Shield dodává jako self-hosted balíček s podepsanými release artefakty a plně offline instalační cestou. Nic nemusí komunikovat s veřejným internetem, přesto získáte aktualizace pravidel, modelů a zpravodajství podle vlastního harmonogramu.

Protects against
Prostředí omezená compliance, utajované sítě, regulované zóny datové suverenity, útoky na dodavatelský řetězec přes instalační cestu.

Shield umí označit odeslání formulářů, zpráv a dokumentů, která vypadají spíše strojově generovaná než psaná člověkem. V kombinaci se signály chování a časování dává operátorům jasnou odpověď na otázku „je to skutečné?" u přihlášek, životopisů, tiketů podpory a recenzí.

Protects against
AI spam ve formulářích, podvody s životopisy / přihláškami psanými AI, záplavy tiketů podpory generovaných AI, falešné recenze psané AI.

Widget při startu sejme snímek fetch, XHR, navigator a userAgent a periodicky je znovu kontroluje. Pokud rozšíření prohlížeče, vložený skript nebo tag třetí strany přepne navigator.webdriver, obalí fetch, nahradí XHR nebo změní deskriptory objektu navigator, Shield manipulaci nahlásí a může odmítnout vydat token. Sledování změn jednotlivých atributů form.action / skrytých vstupů je na plánu, dnes zapojeno není.

Protects against
Škodlivá rozšíření prohlížeče, převzetí formulářů přes vložené reklamy, zlovolné správce tagů třetích stran, únos platebních formulářů na straně klienta.

Každý požadavek je kontrolován v O(1) proti více než 48 000 real-time indikátorům hrozeb s častou aktualizací. Žádné nastavování pro zákazníka — financováno platformou. Při shodě přidává navýšení skóre.

Protects against
Volání zpět na botnet C2, scrapery, anonymizační infrastrukturu, aktivní rozsahy IP útočníků, unesené síťové bloky.

Vyhledávání v prémiových reputačních službách pouze u podezřelých událostí. Klíče šifrované přes Fernet pro každého nájemce; žádné klíče sdílené platformou, vyhledávání probíhá z vaší kvóty.

Protects against
Cílené IP útočníků označené komerčními dodavateli threat intelligence, nad rámec toho, co zachytí veřejné feedy.

Všech deset kategorií OWASP 2025 je řešeno — A01 řízení přístupu, A02 chybná konfigurace, A03 dodavatelský řetězec, A04 kryptografie, A05 injekce, A06 návrh, A07 autentizace, A08 integrita, A09 logování, A10 zacházení s výjimkami. Sada vzorců čerpá z OWASP CRS v4, šablon nuclei a PayloadsAllTheThings.

Protects against
Každou hrozbu pro webové aplikace v katalogu OWASP 2025, od klasické injekce po nové kategorie Supply Chain a Mishandling-of-Exceptional-Conditions.

Identifikuje boty od OpenAI, Anthropic, Google-Extended, Perplexity, ByteDance, CommonCrawl, Meta, Apple, Cohere, Mistral, AllenAI, You.com a dalších. Nájemce volí block / monitor / allow pro každého dodavatele.

Protects against
Neoprávněné scrapování vašeho obsahu pro trénink LLM, přičemž stále propouští legitimní vyhledávače (Bingbot, klasický Googlebot).

log4j JNDI gadgety (${jndi:ldap://...}), LDAP injection, XML External Entity, injekce NoSQL operátorů ve stylu MongoDB — vše blokováno při příjmu na /shield/events ještě před dosažením vašeho backendu.

Protects against
Útoky třídy log4shell z roku 2021, obcházení no-SQL, exfiltraci přes XML entity, úniky LDAP dotazů — kategorie, které většina WAF přidala teprve nedávno.

Pohled jen pro čtení na všech 278 vzorců, které Shield spouští u každého požadavku, seskupených podle kategorie. Zákazníci vidí přesně, co je chrání — žádná marketingová tvrzení k ověřování.

Protects against
Mezeru v transparentnosti — auditoři a bezpečnostní týmy mohou porovnat skutečnou detekční sadu Shieldu se svým vlastním registrem rizik.

Kliknutím na libovolnou kartu rozbalíte úplný popis a model hrozby.

Chcete úplné technické detaily, integrační diagramy a srovnání WAF / reCAPTCHA? → Shield Deep Dive

Novinka – květen 2026

Widget Hardening pro éru AI-Adversary

Útoky řízené LLM nyní porazí naivní detekci botů – realistické relace Playwright, trajektorie myši s Bézierovou křivkou, řešení obrazu CAPTCHA. Dodali jsme 8 fází zpevnění na straně klienta, aby se widget bránil proti adaptivním protivníkům.

Nulové změny ve vaší instalaci – stále funguje stejný one-line snippet.

Rotace mezi nájemníky

Runtime je baleno pro každého nájemce za týden. Zpětné inženýrství widgetu jednoho tenanta nepomůže napadnout jiného.

Detekce samočinné manipulace

Snímky widgetu window.fetch, XMLHttpRequest, navigator při spouštění – znovu se kontroluje každých 15 s. Škodlivá rozšíření jsou zachycena.

Rozhodnutí Slim-Down

Backend již nevrací skóre ani důvod widgetu – zavře zneužití adaptivních úniků ze strany útočníků.

Výzva WebAuthn

Hardwarově zakořeněná UV výzva — Touch ID, Windows Hello, bezpečnostní klíče. Žádný LLM to nevyřeší.

Shlukování chování

k-means na zařízení přiřadí každou relaci jednomu z 8 profilů – 4 lidské, 3 roboti, 1 neznámý. Backend jej používá jako hrubý osobní klíč.

Stabilita otisků prstů

Skóre podobnosti mezi relacemi uložené v localStorage. Náhlé kapky naznačují spoofing.

Persona Farm Detection

Když 10+ osob sdílí chování + IP CIDR + rodinný podpis UA, spustí se výstraha. Bojujte proti útokům zahřátím a poté úderem.

Signály účet-farma

Předběžné registrace: jednorázový e-mail, platnost telefonu, přítomnost SSO. Zastaví farmy účtů dříve, než budou existovat.

Ceny

Jednoduchá cena pro seriózní ochranu.

Ceny jsou založeny na chráněných doménách, chráněných akcích a úrovni podpory. Základní vrstvy zabezpečení jsou součástí každého plánu, bez skrytých doplňků pro základní ochranu.

Stejné bezpečnostní jádro v každém plánu.

Ochrana botů, formuláře, přihlášení, chat AI, nástroje MCP, nahrávání, ochrana a audit SQL jsou součástí každého plánu Shield. Vybíráte si především podle objemu provozu, počtu domén a požadované úrovně podpory.

  • Ochrana pro webové stránky, e-shopy, backend, chat AI a nástroje MCP
  • Anonymizace citlivých dat a pravidla použití AI
  • Tamper-evident audit log s exportem pro auditora
  • Izolace tenantů, HMAC tokeny a EU hosting
  • SDK pro Python, Node, PHP a WordPress plugin
  • Ochrana pokladny proti kartám a pokusům o podvod
Ceny již brzy

Když se přiblížíte limitu, nejprve vás upozorníme. Žádné překvapení z tiché faktury.

FAQ

Otázky, které kupující skutečně kladou.

Žádná diplomacie. Pokud jste hledali jinde a nenašli odpověď, pravděpodobně je zde.

Ochrana a účinnost

Pět skupin útoků: roboti a scrapery, pokusy o převzetí účtu, útoky prostřednictvím vašeho AI (okamžitá injekce, útěk z vězení, zneužití MCP), škodlivé soubory a phishing při nahrávání, podezřelé užitečné zatížení SQL a kopírování dat. K těmto rodinám patří úplná matice schopností.

Ano. Shield nemusí nahradit váš stávající chat. Může fungovat jako ochranná vrstva před koncovým bodem LLM, chatovacím rozhraním nebo nástroji MCP. Kontroluje vstupy, odpovědi a volání nástrojů podle zásad vaší společnosti a dokáže anonymizovat citlivá data před jejich dalším odesláním.

Každé rozhodnutí má skóre spolehlivosti, kód důvodu a přepsání jedním kliknutím. Když si nejste jisti, Shield upřednostňuje měkčí výzvu (honeypot, PoW) místo tvrdého 403. IP, ID uživatele nebo zemi můžete přidat na seznam povolených za 30 sekund a každý blok je auditovatelný.

Ochrana osobních údajů a dodržování předpisů

Veškerá telemetrie zůstává na infrastruktuře EU (primární Německo, převzetí služeb při selhání EU-West). Před podpisem je k dispozici podepsaný DPA a seznam subprocesorů. IP adresy jsou hašovány, s výchozím 30denním uchováním, které lze nakonfigurovat.

Výchozí: vložení a klasifikace botů běží na místních modelech Ollama v naší infrastruktuře EU, takže běžný provoz nikdy neuvidí americký LLM. Volitelná hlubší analýza může volat OpenAI / Anthropic / Google jako přihlášení k jednotlivým nájemcům, přihlášené a přepínatelné. Proxy LLM je BYOK — váš klíč a tokeny API zůstávají vaše a my nevidíme obsah.

Ne. Shield používá pouze nezbytně nutné soubory cookie / localStorage pro bezpečnostní relaci. Podle ePrivacy a GDPR jsou tyto osvobozeny od souhlasu. Oznámení může zakrýt váš stávající banner se soubory cookie.

Integrace a operace

Tři možnosti: SDK pro Next.js / Node / Python / PHP / WordPress, režim reverzního proxy beze změn kódu nebo okrajový pracovník pro Cloudflare / Vercel. Cesta SDK nevyžaduje změnu DNS. První instalace obvykle trvá méně než 30 minut.

S výchozí místní cestou Ollama je režie p95 v řádu desítek milisekund a běží paralelně s vaším požadavkem. Volitelná volání hloubkové analýzy jsou ve výchozím nastavení asynchronní, takže uživatel nečeká. Na citlivých koncových bodech lze povolit přísný inline režim.

Výchozí režim je fail open: SDK propustí požadavek a zaznamená incident pro audit. Pro citlivé koncové body, jako je přihlášení nebo platba, můžete povolit fail closed. Sady SDK obsahují jistič, aby se zabránilo kaskádovým časovým limitům.

Cena, důvěra a závazek

Nastavil jsi čepici. Při 80% limitu vás upozorníme; na 100%, zavřeme měřidlo a nabízíme předobjednávkový doplňkový balíček. Žádné tiché přehánění. Žádné překvapení na žádost.

Nenabízíme veřejný bezplatný plán, ale pro vhodný projekt můžeme připravit 14denní integrační beta pro vaši doménu a úplný ochranný tok. Smlouvy mohou být měsíční nebo roční, s 10% slevou na roční plány. Export a zrušení protokolu jsou řešeny transparentně v rámci fakturačního cyklu.

Spravedlivá otázka. Shield je součástí platformy Corpilus a je určen pro evropské společnosti, které potřebují chránit webové stránky, e-shopy, chat AI a datové toky. SDK a integrační materiály jsou zákazníkům poskytovány během nasazení. Tajemství podpisu HMAC zůstává na straně serveru, data lze exportovat a podniková nasazení může zahrnovat možnosti úschovy kódu nebo možnosti kontinuity partnera.

Nenašli jste odpověď? Zeptejte se nás přímo

Chcete vidět, kdo právě klepe na váš web?

Spustíme bezpečnostní audit vašeho webu, ukážeme roboty a pokusy o okamžité vložení, které aktuálně nevidíte, a zkontrolujeme integraci za 15 minut. Žádný slide deck – jen vaše data.

Externí skenování veřejného povrchu. Nenahrazuje antivirus, firewall ani formální penetrační test.

EU hosting
GDPR-native
Údaje o obyvatelích EU
Integrace SDK

Technická diskuse o vaší infrastruktuře, webu, chatu a datových tocích.

Odpovězte a podejte zprávu do 3 pracovních dnů.

Upozornění na rozsah ochrany. Corpilus Shield je ochranná vrstva AI v reálném čase navržená tak, aby rozšiřovala standardní bezpečnostní mechanismy pro webové stránky, e-shopy a aplikace LLM, nikoli je nahrazovala. Nenahrazuje antivirus, firewall, penetrační testování ani formální bezpečnostní audit. Pro komplexní ochranu doporučujeme kombinovat více vrstev.