Tastaturdynamik, Mausbewegungs-R², Scroll-Verhalten, Touch-Ereignisse, Ausfüllzeit von Formularen, Verweildauer auf der Seite – all diese Signale fließen in den lokalen Scorer und die Bewertungs-Pipeline im Backend ein.
Shield unter der Haube.
Technische Sicht darauf, wie Shield Web-Eingaben, bestehenden AI-Chat, LLM Proxy und MCP-Tools schützt: Architektur, Entscheidungsfluss, Audit und Vergleich mit WAF / reCAPTCHA.
Erste Schutzschicht — kein SIEM, kein Analytics-Tool.
Shield ist eine aktive und passive Schutzschicht für Formulare, Login, Checkout, Uploads, AI-Chat, MCP-Tools und APIs. Das Dashboard zeigt Entscheidungen und Ereignisse, damit Sie die Verteidigung abstimmen können — nicht als Log-Explorer. Ereignisse sind operatives Signal, kein Analytics-Inventar.
Shield ist:
- ✓Inline-Schutz für Web / E-Shop / Chat / MCP / Backend
- ✓Pro-Request-Entscheidung: allow / monitor / challenge / block
- ✓Manipulationssicheres, signiertes Audit-Log jeder Entscheidung
- ✓Mobile-Native-SDK — iOS + Android — auf der Roadmap (Sprint M)
Shield ist nicht:
- ×Ein SIEM oder Log-Aggregator
- ×Ein Ersatz für Ihre WAF oder CDN — sitzt eine Schicht tiefer
- ×Ein Reporting-/Business-Analytics-Tool
- ×Ein zertifiziertes Compliance-Produkt — Kontrollen sind an Rahmen ausgerichtet, Audit ist Ihr eigenes
Drei Schutzpfade je nachdem, was geschützt werden soll.
Shield kann vor Website, AI-Chat oder MCP-Tools sitzen. Jeder Pfad hat einen klaren Entscheidungspunkt und ein auditierbares Ergebnis.
Web und Formulare
Das JS-Widget und das Backend SDK schützen Kontaktformulare, Login, Checkout und Uploads. Sie sammeln Sicherheitssignale, hängen ein HMAC-Token an und ermöglichen das Zulassen/Herausfordern/Blockieren, bevor eine Anfrage die sensible Logik erreicht.
AI-Chat und LLM Proxy
Prompt und Antwort laufen durch eine LLM-Firewall. Shield kann sensible Daten anonymisieren, Prompt Injection blockieren, Leaks von Systeminstruktionen prüfen und vor dem Chat arbeiten, den Sie bereits nutzen.
MCP-Tools, Policy und Audit
MCP-Aufrufe werden nach Schema, Berechtigungen und Aktionsrisiko bewertet. Destruktive oder sensible Tool Calls können ein Approval Gate erfordern. Jede Entscheidung landet im tenant-scoped Audit-Log.
Was Shield abdeckt vs. WAF vs. CAPTCHA.
Shield ersetzt Ihre bestehende Perimeter-Sicherheit nicht. Es arbeitet eine Ebene tiefer.
| Fähigkeit | Shield | WAF | reCAPTCHA / Drehkreuz |
|---|---|---|---|
| Erkennung von Headless-Bots | Ja — Multi-Signal-Scoring | Teilweise (IP-Reputation) | Ja — am Eingang |
| Prompt Injection gegen LLMs | Ja — semantische Firewall | Nein | Nein |
| MCP-Agent-Missbrauch | Ja — Policy Engine | Nein | Nein |
| Formularspam / Wegwerf-E-Mail | Ja — 5 Sprachen | Nein | Teilweise |
| Malware-Scan für Uploads | Ja – Quarantäne | Teilweise | Nein |
| SQL-Injection-Payloads | Ja — AST-Validierung | Ja — Regex | Nein |
| Credential Stuffing (verteilt) | Ja — Sperre pro Konto | Teilweise (pro IP) | Teilweise |
| Manipulationssicheres Audit-Log | Ja — exportierbar | Unterschiedlich | Nein |
Über 40 konkrete Funktionen in 9 Kategorien.
Vollständige kategorisierte Matrix. Genaue Schwellenwerte, Signalgewichte und Erkennungsinterna stehen Kunden im Portal zur Verfügung.
Canvas, WebGL, Audio-Context, Schrifterkennung und navigator-Fingerprinting werden zu einem SHA-256-Geräte-Hash zusammengeführt. Erkennt headless-Browser und Anti-Detect-Werkzeuge.
Zu Sitzungsbeginn entsteht ein kurzlebiger Cache-Snapshot von device_hash, webgl_renderer, user_agent, Zeitzone und Bildschirmauflösung. Bei sensiblen Ereignissen (Login, Formularübermittlung, Checkout) wird der aktuelle Fingerprint dagegen abgeglichen; jede Abweichung erhöht das Risiko deutlich.
OpenAI- und Anthropic-kompatible Basis-URL. Shield prüft jeden Prompt vor der Weiterleitung und jede Completion vor der Rückgabe, blockiert bei einem Richtlinienverstoß und entfernt PII und Geheimnisse direkt im Stream.
Embedding-basierte Erkennung über viele Angriffskategorien hinweg. „Disregard earlier directives" ≈ „Ignore previous instructions" über die Kosinus-Ähnlichkeit. Lokale Embeddings über Ollama – keine API-Kosten pro Anfrage.
Fängt Tool-Aufrufe von Claude-, Cursor- und IDE-Agenten ab. JSON-Schema-Validierung der Argumente, Begrenzung der Kettenschritte, Domain-Allowlist und explizite Freigabe-Gates bei destruktiven Tools. Jeder Aufruf wird vor der Ausführung an den Agent-Schutzregeln geprüft.
Über 40 Muster prüfen Eingaben, Ausgaben und Tool-Aufrufe vor und nach dem Modelllauf. Läuft parallel zur Semantischen Firewall und sorgt so für eine mehrschichtige Verteidigung.
5 über MCP bereitgestellte Tools: shield_get_stats, shield_get_threats, shield_add_rule, shield_get_events, shield_verify_token. So kann Ihr Claude- oder Cursor-Agent Vorfälle untersuchen und darauf reagieren, ohne den Chat zu verlassen.
SQL-Validierung über den geparsten AST. Blockiert UNION, INTO OUTFILE, pg_sleep und information_schema. LIMIT wird gedeckelt. Sensible Spalten (password, api_key, ssn) werden automatisch geschwärzt. Dazu Query-Fingerprinting und Honeytoken-Fallen-Tabellen.
Wallet-Erkennung: BTC (P2PKH/Bech32), ETH, SOL, TRX, XRP, LTC, DOGE. Prüfung von BIP-39-Seed-Phrasen (12/24 Wörter). Signing-Prompts (EIP-712). Mining-Domains werden blockiert. Erkennung von Mustern für Zahlungsumleitungen.
Erkennung von Bigramm-Kauderwelsch (EN / DE / CS / SK / ES), über 100 Wegwerf-E-Mail-Domains, Spam-Muster (wiederholte Zeichen, GROSSBUCHSTABEN, URL-Flut) und Erkennung verdächtiger Namen. Der Korpus für Phishing und Schadinhalte deckt 9 Sprachen ab (siehe Phishing-Karte). Additive Bewertung mit Cluster-Boni.
Mehrschichtiger Scanner für E-Mails und Anhänge. Erkennt slowakische, tschechische, polnische, deutsche, französische, spanische und serbische Texte ohne Diakritika (das stärkste Phishing-Signal in der Praxis), Social Engineering mit Passwort-Hinweisen in 9 Sprachen, Dateinamen, die Großrechner imitieren, sowie passwortgeschützte PDF- und Office-Dateien. Das markenunabhängige Cluster erkennt dasselbe Muster bei jedem imitierten Firmennamen.
check_upload() akzeptiert form_fields. Wird ein Datei-Upload von Formulardaten (Titel, Beschreibung, Name, Nachricht) begleitet, läuft die Bewertung der Inhaltsqualität auch über diese Felder. Ein sauberes PDF mit Kauderwelsch-Metadaten wird so bei hoher Konfidenz dennoch abgelehnt.
Jede Datei durchläuft ein Quarantäne-Gate – Allowlist erlaubter Dateiendungen, MIME-Erkennung über Magic Bytes, Erkennung von Office-Makros, PDF JavaScript / Launch / OpenAction sowie SVG- und HTML-Skript-Injection. Maximalgröße und Endungsliste pro Mandant einstellbar.
Python (FastAPI / Django / Flask), Node.js (Express / Next.js), PHP (WordPress / Laravel). Validiert das X-Shield-Token bei jeder Anfrage. Kein Token → 403. Die HMAC-Verifikation wird über einen kurzlebigen Cache pro (Token, Pfad) zwischengespeichert.
3-Zustands-Breaker (closed / open / half_open) in allen drei Backend-SDKs. Nach mehreren aufeinanderfolgenden Transportfehlern → OPEN für ein kurzes Intervall → eine HALF_OPEN-Probe. 4xx löst den Breaker nicht aus. PHP hält den Zustand per APCu über FPM-Worker hinweg. Damit gibt es während eines Upstream-Vorfalls nicht mehr bei jeder Anfrage einen Timeout.
Zuordnung reason → (machine_code, human_hint). /shield/verify und die 403-Bodies aller drei SDKs liefern remediation und remediation_code zurück. Zu Unrecht blockierte Nutzer sehen „Ihre Sitzung ist abgelaufen – bitte neu laden" statt eines kommentarlosen 403.
Drop-in-PHP-Plugin: injiziert das Widget automatisch und bringt eine Middleware mit, die Shield-Token auf /wp-login.php und Admin-Endpunkten validiert. Standardmäßig fail-closed, konfigurierbar.
Mehrdimensionales Rate Limiting: pro IP, pro Gerät und pro Endpunkt, mit progressiver Eskalation. Serverseitige Zähler mit gleitenden Fenstern.
IP-Geolokalisierung über ip-api.com (kurzlebiger Cache). Pro Website gepflegte Listen gesperrter und erlaubter Länder. Score-Modifikatoren für Rechenzentren sowie Proxy / Tor. Harte Sperre schon beim Seitenaufruf mit Zugriff-verweigert-Overlay, bevor sich das Widget initialisiert.
Bei hoher Konfidenz verhindert das Widget die Formularübermittlung. Rotes Overlay: „Blockiert durch Corpilus Shield". Serverseitig signierte HMAC-SHA256-Token hängt ein Interceptor automatisch an fetch() an.
278 kompilierte Erkennungsmuster werden bei jedem Event automatisch geprüft und decken alle OWASP-Top-10-2025-Kategorien ab. Die Prüfung auf Payload-Ebene erfolgt noch vor der Bewertung.
Der KI-Analyzer wertet Ereignisse kontinuierlich aus. Der RAG-Kontext ist in einer kuratierten Sicherheits-Wissensdatenbank verankert. Aus echten Beobachtungen entstehen automatisch Bedrohungen und Regeln.
Vorgefertigter Threat-Intel-Kontext (Mini-CAG). Bot-Signaturen, Angriffsmuster und OWASP-Beispiele sind bereits an Bord – neue Websites sind ab dem ersten Seitenaufruf geschützt.
Die Security-Knowledge-Sammlung von Shield kommt mit kuratierten Dokumenten (OWASP Top 10, Bot-Erkennung, Incident Response). Admins können eigene Unternehmens-Playbooks, Post-mortem-Berichte oder domänenspezifische Threat-Intel hochladen. Jeder Upload durchläuft eine mehrschichtige Prüfung. Saubere Dokumente landen zunächst mit trust_state='pending', bis ein Admin sie explizit auf 'active' setzt. Nur aktive Dokumente gelangen in den RAG-Kontext des KI-Analyzers.
Anonymisiertes Teilen von Mustern – IPs auf /24 gekürzt, PII entfernt, Reifegrad-Stufung (experimental → candidate → confirmed). Ein bei einem Mandanten bestätigter Angreifer wird innerhalb von Minuten für alle zur bekannten Bedrohung.
Der MutationObserver des Widgets erfasst beim Start alle <script>-Tags in einem Snapshot. Jedes nachträglich injizierte Skript wird als script_integrity_violation-Telemetrie gemeldet – mit src, external/same-origin, Inhaltslänge und stabilem Hash. Pro Seitenaufruf gedeckelt. Mandanten-Allowlist für vertrauenswürdige CDNs.
Redis-Zähler pro SHA-256(account_id). Jeder Fehlversuch über dem Limit erhöht den Risiko-Score deutlich. Ein verteilter Angriff, der viele Versuche über Tausende IPs streut, landet trotzdem im selben Konto-Bucket – der Versuch auf victim@corp.com löst eine Challenge aus, egal von welcher IP er kam. Bei einem erfolgreichen Login wird der Zähler zurückgesetzt.
GET /shield/password/breach-range/{prefix} – der Client berechnet SHA-1(password) lokal im Browser und sendet nur das 5-stellige Hex-Präfix; Shield leitet an api.pwnedpasswords.com weiter und streamt die Liste aus Suffix und Anzahl zurück. Den Abgleich mit dem eigenen Suffix nimmt der Client lokal vor. Der Server sieht weder den Klartext NOCH den vollständigen Hash.
Prüfung der A/AAAA- und MX-Records bei der Anmeldung. Fail-open bei Timeout. Kurzlebiger Cache pro Domain, damit schnelle Anmeldewellen von derselben Wegwerf-Domain das DNS nicht erneut belasten.
Über 25 geschützte Marken (Google, Microsoft, Apple, PayPal, Stripe, Meta, LinkedIn, Revolut, SK-/CZ-Banken und -Versicherer). Dreistufiger Detektor: 1) normalisierter exakter Abgleich über eine Homoglyphen-Map, 2) Levenshtein-Distanz für lange Markennamen, 3) Marken-Teilzeichenkette plus dekoratives Suffix (secure/login/support/verify/auth/signin/account/official/help).
Velocity-Zähler pro IP und pro Gerät. Voraussetzung eines kürzlichen Logins: kein erfolgreicher Login von diesem Gerät in jüngster Zeit → deutliches Risikosignal. Sitzungskontinuität: password_change zählt nun zu den SENSIBLEN Ereignissen, sodass eine vollständige Fingerprint-Abweichung sofort blockiert. Die klassische Kette „Angreifer kapert Sitzung → ändert Passwort → sperrt Nutzer aus" muss alle drei Gates überstehen.
E-Mail (HTML), Slack, Discord, generische JSON-Webhooks. Wöchentlicher Sicherheitsbericht mit Statistiken, Top-Bedrohungen und Blockrate. Schweregrad-Gate pro Webhook (low / medium / high / critical).
Jede Regeländerung, jede Bearbeitung der Website-Konfiguration, jede manuelle Blockade und jede KI-Entscheidung wird mit Akteur, Zeitstempel und Vorher-/Nachher-Diff festgehalten. Hash-verkettet, signiert und als prüfbereites Evidence-Bundle exportierbar.
HMAC-SHA256-Token werden serverseitig aus dem websiteeigenen Geheimnis erzeugt und über /shield/events zurückgegeben. Das Widget hält das Signing-Geheimnis zu keinem Zeitpunkt – ein geleakter site_key lässt sich nicht zum Fälschen gültiger Token nutzen.
PostgreSQL Row-Level Security wird auf allen shield_*-Tabellen erzwungen. Jede Anfrage läuft unter einer mandantengebundenen Rolle – eine Umgehung auf Anwendungsebene ist selbst bei einem Fehler in der API ausgeschlossen.
Verfolgt Versuche pro Karten-BIN über rollende Fenster. Burst-Muster, die zu Card-Testing passen, lösen eine progressive Challenge oder Blockade aus. Die Schwellenwerte sind pro Mandant einstellbar, die Standardwerte konservativ gewählt.
Taucht derselbe vom PSP gelieferte Karten-Fingerprint in kurzer Zeit über mehrere Geräte, Sitzungen oder Mandanten auf, werden die Versuche korreliert und als koordinierter Angriff bewertet. Die rohe PAN verlässt nie Ihren PSP.
Mandantengebundene Baseline der Verteilung nach Issuer-Land. Eine plötzliche Konzentration von Versuchen gegen Issuer aus wenigen Ländern – deutlich über der Baseline – weist auf wahrscheinlichen Carding-Verkehr hin.
Bündelt mehrere Signale – breite BIN-Streuung, gleiches Gerät oder gleiche Sitzung, hohe Fehlerquote – zu einem benannten Carding-Urteil. Bestätigt PSP-Feedback nach der Abbuchung das Muster, wird der Schweregrad der Entscheidung hochgestuft.
Langsam aufgebaute Angriffe rutschen nicht mehr durch. Shield betrachtet den gesamten Gesprächsverlauf statt nur eine Nachricht nach der anderen. Ein Angreifer, der sich viele Runden lang harmlos unterhält und erst dann zur Datenextraktion oder zum Credential-Phishing umschwenkt, wird in dem Moment erkannt, in dem das Muster sichtbar wird.
Bevor Ihr Agent ein Tool ausführt, fragt Shield: Passt die tatsächliche Absicht des Nutzers zum Aufruf dieses Tools? Die Bitte, ein Dokument zusammenzufassen, sollte keinen Datenbank-Export auslösen. Ein Chat zur Reisebuchung sollte kein Zahlungs-Tool aufrufen. Bei Abweichungen wird der Aufruf zur Prüfung gestoppt.
Kompromittierte Agenten und neugierige LLMs scannen vor dem Handeln typischerweise erst die Umgebung – sie listen Verzeichnisse auf, lesen Konfigurationspfade und enumerieren Umgebungsvariablen. Shield markiert dieses Erkundungsmuster früh, noch bevor Daten die Box verlassen.
Eine einzelne Konversation kann niemals unbemerkt Ihr gesamtes monatliches KI-Budget aufbrauchen. Shield erzwingt pro Sitzung eine Obergrenze für Tokens, Tool-Aufrufe und verstrichene Zeit. Ist das Limit erreicht, wird die Sitzung pausiert oder beendet und der Betreiber benachrichtigt.
Shield lernt, wie das Normalverhalten jedes Nutzers aussieht – typische Uhrzeiten, typische Aktionen, typisches Tempo – und markiert unauffällig den Tag, an dem dieses Muster bricht. Eine angemeldete Sitzung, die sich plötzlich völlig anders verhält als der echte Nutzer, wird als mögliche Übernahme behandelt.
Köder-Datensätze, -Dateien und -Zugangsdaten werden an Stellen platziert, an denen nur ein Angreifer überhaupt suchen würde. Echte Nutzer bekommen sie nie zu Gesicht. Sobald eines berührt, abgerufen oder verwendet wird, hat Shield ein hochkonfidentes Einbruchssignal mit praktisch null Fehlalarmen.
Angreifer verstecken bösartige Payloads in verschachtelten Kodierungen – base64, hex, Prozent-Kodierung, Unicode-Escapes –, um simple String-Filter zu umgehen. Shield packt diese Schichten vor der Bewertung aus, sodass der eigentliche Angriff an denselben Schutzmechanismen geprüft wird wie eine Klartext-Variante.
Bevor ein Update einer Regel, eines Modells oder eines Scorers ausgeliefert wird, läuft es gegen einen stetig wachsenden Korpus realer Angriffsszenarien. Schwächt ein Release versehentlich die Erkennung eines bekannten Bedrohungsmusters, wird die Änderung bereits in der CI gestoppt – nicht erst, nachdem ein Kunde kompromittiert wurde.
Jede Sicherheitsentscheidung und jede Konfigurationsänderung wird in eine manipulationssichere Kette geschrieben. Bearbeitungen und Löschungen lassen sich mathematisch nachweisen. Prüfer, Regulierungsbehörden und Incident Responder erhalten eine vertrauenswürdige Zeitleiste – selbst im Worst Case, in dem ein Angreifer an Admin-Zugangsdaten gelangt.
Wenn etwas passiert, wollen Sie keine Stunden mit dem Sammeln von Logs verbringen. Ein Klick erzeugt ein verschlüsseltes, mit Zeitstempel versehenes Bundle des relevanten Mandantenzustands – Ereignisse, Regeln, Entscheidungen, jüngster Datenverkehr – und ist bereit zur Übergabe an Ihr Sicherheitsteam, Ihren Anwalt oder Ihre Regulierungsbehörde.
Shield bindet Sie nicht an einen einzigen KI-Anbieter. Bringen Sie Ihren eigenen OpenAI-, Anthropic- oder Google-Schlüssel mit, verweisen Sie auf eine dedizierte Ollama-Instanz oder betreiben Sie alles vollständig lokal. Legen Sie harte Kostenlimits und Routing-Regeln fest. Ihre Daten fließen nur zu Anbietern, die Sie ausdrücklich freigeben.
Für Ihre risikoreichsten Aktionen kann Shield eine hardware-verankerte Geste verlangen: Touch ID, Windows Hello oder einen Hardware-Sicherheitsschlüssel. Das sind Nachweise physischer Präsenz, die ein LLM-gestützter Agent oder ein entfernter Angreifer nicht erbringen kann – egal, wie raffiniert der Prompt ist.
Für regulierte, klassifizierte oder abgeschottete Umgebungen wird Shield als Self-hosted-Paket mit signierten Release-Artefakten und einem vollständig offline durchführbaren Installationspfad ausgeliefert. Nichts muss mit dem öffentlichen Internet kommunizieren – und dennoch erhalten Sie Regel-, Modell- und Intel-Updates nach Ihrem eigenen Zeitplan.
Shield kann Formular-, Nachrichten- und Dokumentübermittlungen markieren, die eher maschinengeneriert als menschlich getippt wirken. In Kombination mit Verhaltens- und Timing-Signalen gibt das Betreibern bei Bewerbungsformularen, Lebensläufen, Support-Tickets und Bewertungen eine klare Antwort auf die Frage „Ist das echt?".
Das Widget erstellt beim Start einen Snapshot von fetch, XHR, navigator und userAgent und prüft regelmäßig nach. Schaltet eine Browser-Erweiterung, ein injiziertes Skript oder ein Drittanbieter-Tag navigator.webdriver um, umhüllt es fetch, ersetzt es XHR oder verändert es navigator-Deskriptoren, meldet Shield die Manipulation und kann die Ausstellung eines Tokens verweigern. Die attributweise Nachverfolgung von Änderungen an form.action / Hidden-Inputs ist auf der Roadmap, derzeit aber noch nicht aktiv.
Jede Anfrage wird in O(1) gegen über 48.000 häufig aktualisierte Echtzeit-Bedrohungsindikatoren abgeglichen. Kein Aufwand für den Kunden – plattformfinanziert. Bei einem Treffer steigt der Score.
Abfrage von Premium-Reputationsdiensten nur bei verdächtigen Ereignissen. Pro Mandant Fernet-verschlüsselte Schlüssel; keine plattformweit geteilten Schlüssel, und die Abfragen laufen über Ihr Kontingent.
Alle zehn OWASP-Kategorien von 2025 werden abgedeckt – A01 Zugriffskontrolle, A02 Fehlkonfiguration, A03 Supply Chain, A04 Kryptografie, A05 Injection, A06 Design, A07 Authentifizierung, A08 Integrität, A09 Logging, A10 Exception Handling. Der Musterbestand stammt aus OWASP CRS v4, nuclei-Templates und PayloadsAllTheThings.
Identifiziert Bots von OpenAI, Anthropic, Google-Extended, Perplexity, ByteDance, CommonCrawl, Meta, Apple, Cohere, Mistral, AllenAI, You.com und weiteren. Pro Anbieter wählt der Mandant block / monitor / allow.
log4j-JNDI-Gadgets (${jndi:ldap://...}), LDAP-Injection, XML External Entity, NoSQL-Operator-Injection im MongoDB-Stil – alle werden beim Ingest über /shield/events blockiert, bevor sie Ihr Backend erreichen.
Schreibgeschützte, nach Kategorie gruppierte Ansicht aller 278 Muster, die Shield bei jeder Anfrage ausführt. Kunden sehen genau, was sie schützt – keine Marketing-Behauptungen, die man erst überprüfen müsste.
Klicken Sie eine Karte an, um technische Beschreibung und Threat Model zu öffnen.
Manipulationssicher, hash-chained, kryptografisch signiert.
Das Audit-Log ist das rechtliche und forensische Rückgrat von Shield. So konzipiert, dass selbst ein kompromittierter Admin die Historie nicht spurlos umschreiben kann.
SHA-256-Hash-Chain
Jeder Prüfdatensatz enthält den SHA-256-Hash des vorherigen Datensatzes sowie das aktuelle kanonisierte Ereignis. Durch das Entfernen oder Ändern vergangener Ereignisse wird jeder Downstream-Hash unterbrochen und die Kette verweigert die Überprüfung.
Pro-Tenant Ed25519-Signatur
Jeder Mandant verfügt über ein eigenes Ed25519-Schlüsselpaar. Der öffentliche Schlüssel wird zur unabhängigen Überprüfung offengelegt; Der private Schlüssel signiert jeden Prüfdatensatz zum Zeitpunkt des Schreibens. Ohne den privaten Schlüssel kann ein geleakter DB-Dump nicht gefälscht werden.
RFC 3161 Zeitverankerung
Chain-Heads werden periodisch gegen eine externe RFC 3161 Time Stamp Authority verankert. Das bindet das Log an absolute Wanduhrzeit und beweist, dass die Chain in dieser Form vor dem Timestamp existierte.
DB-Rollen-Append-only-Hygiene
Die shield_app-Rolle hat nur INSERT — UPDATE und DELETE sind auf PostgreSQL-Ebene REVOKED. Selbst ein Angreifer mit vollen App-Context-Credentials kann keine Zeilen umschreiben; er müsste auf eine Superuser-DB-Rolle eskalieren, was selbst auf Plattform-Ebene auditiert wird.
Verify- und Export-Endpoints
GET /shield/audit/verify durchläuft die Hash-Kette erneut und validiert jede Signatur; GET /shield/audit/export streamt ein signiertes, zeilengetrenntes JSON-Archiv für interne oder externe Prüfer. Beide sind mieterbezogen und preisbegrenzt.
Compliance-Mapping
Bietet technische Beweise, die gängige Sicherheits-Frameworks verlangen (unveränderliche Protokollierung, signierte Integrität, Überwachung, GDPR Art. 32-Ausrichtung). Shield selbst ist nicht extern zertifiziert – der Export unterstützt Ihr Audit, er ersetzt keins.
Ein-Klick-Vorfalls-Snapshot, verschlüsselt, off-site.
Wenn etwas schief geht, brauchen Sie ein unveränderliches Bild des Augenblicks. Shield erstellt es in weniger als einer Minute und versiegelt es, sodass nur Ihr privater Schlüssel es öffnen kann.
Was ist in einem Snapshot
- •Sicherheitsereignisse (raw + Entscheidungen + Reason-Codes)
- •Audit-Log-Slice mit Chain-Head + Signatur
- •Aktive Sessions und Session-Level-Signale
- •Aktive Regeln und Regel-Versionshistorie
- •Threat-Intelligence-Cache und aktuelle Threat-Events
- •Geschützte Sites und ihre HMAC-Konfiguration
- •Tenant-Einstellungen und Feature-Flags
- •Plattform-Events (Deploy / Backup / Drift)
- •Container-Metadaten (Image, Version, Host-Fingerprint)
Hybride Envelope-Verschlüsselung
Ein einmaliger AES-256-GCM-Datenschlüssel verschlüsselt den Payload. Der Datenschlüssel wird mit RSA-OAEP-SHA256 gegen den öffentlichen Schlüssel des Tenants gewrappt. Nur der Inhaber des privaten Schlüssels kann den AES-Schlüssel wiederherstellen und das Bundle entschlüsseln. Die Shield-Infrastruktur liest vergangene Snapshots nicht, nachdem sie den produzierenden Container verlassen haben.
Speicher und Betrieb
Snapshots werden in jeden S3-kompatiblen Store hochgeladen (AWS, Wasabi, MinIO, on-prem). Der optionale wöchentliche Cron archiviert automatisch einen neuen Snapshot für eine kontinuierliche forensische Bereitschaft. Das MTTR-Ziel vom Auslöser bis zum versiegelten, hochgeladenen Archiv beträgt etwa 60 Sekunden.
API-Oberfläche
POST /shield/forensic/snapshot löst einen neuen Snapshot aus; GET /shield/forensic/snapshots listet bestehende mit Metadaten, Größe und versiegeltem Status. Beide sind admin-scoped und produzieren Plattform-Level-Audit-Events.
Compliance und Auditierbarkeit ohne Übertreibungen.
Shield stellt technische Beweise, Protokolle und Zuordnungen bereit. Formale Zertifizierungen oder Kundenbescheinigungen hängen vom konkreten Einsatzumfang ab.
Auditor-bereiter Audit Trail
Shield erstellt Prüfprotokolle, Entscheidungsgründe und Exporte, die die Sicherheits- und Compliance-Überprüfung unterstützen können. Die formelle Zertifizierung oder Bescheinigung wird je nach Kundenumfang individuell bestätigt.
Auditor-Evidence-Support
Kontrollen sind so ausgelegt, dass sie auf ISO-27001-Prozesse des Kunden abgebildet werden können. Der formale Zertifizierungsstatus wird separat im Commercial- oder Security-Due-Diligence-Prozess kommuniziert.
MITRE ATT&CK
Detektionen können relevanten MITRE ATT&CK-Techniken zugeordnet werden, insbesondere Initial Access, Credential Access, Exfiltration und Command & Control.
OWASP OAT
Shield deckt mehrere Klassen automatisierter Bedrohungen nach OWASP OAT ab. Detail-Mapping stellen wir Kunden in technischen Unterlagen bereit.
Angriffe auf die Inferenzkosten (RA-ICA): Jetzt ist das Budget das Ziel
Eine 2026 peer-reviewte Angriffsklasse (Hong Kong Polytechnic University), die weder Ihre Daten noch Ihre Verfügbarkeit berührt — sie vervielfacht unbemerkt Ihre KI-Rechnung.
Ein Angreifer platziert ein vergiftetes Dokument im öffentlichen Web. Ihr RAG-Assistent ruft es für eine ganz gewöhnliche Anfrage ab, und das Modell verbraucht ein Vielfaches an Tokens — die Antwort bleibt korrekt, sodass nichts auffällt, bis die Rechnung eintrifft.
Drei Taktiken (CREEP-Framework)
Versteckte Mathematik-, Logik- oder Planungsrätsel, die das Modell unbemerkt mitten im Reasoning löst und dabei Tokens verbrennt.
Einander widersprechende Fakten drängen das Modell zu übermäßigem Abwägen und langen Generierungen.
Eine Angreifer-KI optimiert den Text auf maximale Kosten, bleibt dabei unauffällig und entzieht sich der Erkennung.
Wie Shield den Angriff stoppt — in jeder Phase
| Angriffsphase | Shield-Abwehr | Wirkung |
|---|---|---|
| 1 · Das bösartige Dokument muss abgerufen werden | Relevanz-Gate und Schwellenwerte halten schwach relevante oder erzwungen eingeschleuste Dokumente aus dem Kontext fern. | Filtert opportunistische Vergiftung heraus. |
| 2 · Versteckte Anweisungen im Dokument | Sanitisierung der abgerufenen Inhalte (als Daten markiert, „nur als Text behandeln“) und Trennung nicht vertrauenswürdiger Quellen. | Das Modell ignoriert eingebettete Aufgaben. |
| 3 · Aufblähung der Ausgabe-Tokens (der Kern) | Harte Obergrenze für Ausgabe-Tokens pro Anfrage und Kontext-Budget-Management (Begrenzung des Retrieval-Anteils, Deduplizierung). | Die 13-fache Verstärkung wird gekappt. |
| 4 · Kumulative Kosten über mehrere Anfragen (DoW) | Progressives Rate-Limiting, Budgets pro Sitzung (Tokens / Kosten / Zeit) und Telemetrie des Agenten-Vertrauensscores. | Ein Bot kann den Angriff nicht skalieren. |
Der Kern von RA-ICA ist die Aufblähung der Ausgabe (in der Studie ~100 → 2.048 Tokens). Shields harte Obergrenze für Ausgabe-Tokens pro Anfrage durchbricht genau jene Verstärkung, die den Angriff erst profitabel macht.
Eine Abwehrschicht für die gesamte LLM-Bedrohungsfamilie (OWASP LLM Top 10)
RA-ICA liegt an der Schnittstelle zweier Angriffsfamilien, die Shield bereits abdeckt — dieselbe Schicht schützt gegen das gesamte Spektrum.
| Angriffsklasse | Wie Shield reagiert |
|---|---|
| Inferenzkosten / Denial-of-Wallet | Obergrenze für Ausgabe-Tokens, Kontext-Budget, Rate-Limiting, Budgets pro Sitzung, Muster der Ressourcenerschöpfung. |
| Wissensbasis- / RAG-Vergiftung | Sanitisierung der abgerufenen Inhalte, Relevanz-Gate, Trennung vertrauenswürdiger und nicht vertrauenswürdiger Quellen. |
| Prompt Injection (direkt & indirekt) | Musterregeln und semantische Firewall; in Dokumenten versteckte indirekte Injektionen werden neutralisiert. |
| Jailbreak (DAN, Developer Mode, Rollenspiel) | Regeln und semantische Firewall erfassen verschleierte und umformulierte Varianten anhand ihrer Bedeutung. |
| Leck von System-Prompt / Konfiguration | Eingabe- und Ausgabe-Scanning; Extraktionsversuche werden blockiert, Lecks bei der Ausgabe redigiert. |
| Daten- / PII-Exfiltration | Ausgabe-Scanning — Passwörter, API-Schlüssel, JWTs, private Schlüssel, IDs und Kontaktdaten werden erkannt und redigiert. |
| Missbrauch von Tools / Aktionen | Prüfung der Tool-Argumente und eine Liste gefährlicher Operationen (Codeausführung, Löschung, Dateizugriff). |
| Verschleierung / Encoding (Base64, ROT13, hex) | Erkennung kodierter Payloads und von Token-Smuggling-Versuchen. |
| Autoritäts-Spoofing | Erkennt Manipulationen vom Typ „Ich bin Ihr Entwickler / Admin / offizieller Test“. |
Unabhängige Schichten — fällt eine aus, bricht nicht das Ganze.
Schutz ist kein einzelner Filter, sondern besteht aus mehreren unabhängigen Schichten.
Input Guard
Regelmuster in 6 Familien (Prompt Injection, Jailbreak, Tool-Missbrauch, Memory Poisoning, Datenleck, Ressourcenerschöpfung). Läuft vor dem Modell.
Semantische Firewall
Über 100 kuratierte Angriffsmuster in 16 Typen (inkl. explizitem Denial-of-Wallet), auf Bedeutungsebene (Embeddings) — erfasst Umformulierungen und Verschleierung.
RAG-Guardrails
Sanitisierung der abgerufenen Inhalte, Relevanz-Gate, Trennung nicht vertrauenswürdiger Quellen, Deduplizierung und Kontext-Budget.
Obergrenze für Ausgabe-Tokens
Harte Begrenzung der Generierungslänge pro Anfrage, abgestimmt auf Aufgabe und Modell.
Output Guard
Redaktion von Lecks: Zugangsdaten, API-Schlüssel, JWTs, private Schlüssel, PII — funktioniert auch bei gestreamten Antworten.
Budgets pro Sitzung
Obergrenzen für Tokens, Kosten, Zeit und Tool-Aufrufe innerhalb einer einzelnen Sitzung.
Rate-Limiting
Pro IP / Gerät / Endpunkt, progressiv (Monitor → Drosselung → Challenge → Block).
Telemetrie & Audit
Erfassung von Token-Verbrauch und Agenten-Vertrauensscore, Threat-Webhooks und ein manipulationssicheres Audit-Log.
Integrieren Sie Shield genau so, wie Sie es brauchen.
Bereitstellung nach dem, was Sie schützen müssen.
LLM Proxy (Drop-in)
Tauschen Sie eine einzige base_url für OpenAI / Anthropic aus. Shield prüft die Eingabe (blockiert vor dem Provider) und die Ausgabe (redigiert Lecks). Ihr API-Schlüssel, Streaming und Tool-Aufrufe bleiben erhalten.
Scan API
Endpunkte zum Prüfen von Eingabe, Ausgabe und Tool-Aufrufen zur individuellen Integration in Ihre bestehende Pipeline.
RAG-Schutz
Sanitisierung, Relevanz-Gate und Quellentrennung direkt in Ihrer Chat- / RAG-Pipeline.
Web-Widget
Schützt Formulare, Logins und APIs vor Bots und Missbrauch (klassische WAF- und Bot-Schicht).
Technisches Whitepaper
Detailliertes technisches Dokument mit Integrationsdiagrammen, Threat Modeling und Performance-Benchmarks.
Hinweis zum Schutzumfang. Corpilus Shield ist eine Echtzeit-AI-Schutzschicht, die dazu dient, Standardsicherheitsmechanismen für Websites, E-Shops und LLM-Anwendungen zu erweitern, nicht zu ersetzen. Es ersetzt keinen Virenschutz, keine Firewall, keine Penetrationstests oder eine formelle Sicherheitsüberprüfung. Für einen umfassenden Schutz empfehlen wir die Kombination mehrerer Schichten.