Torna a ShieldDeep dive tecnico

Shield sotto il cofano.

Vista tecnica su come Shield protegge input web, chat AI esistente, LLM proxy e strumenti MCP: architettura, flusso decisionale, audit e confronto con WAF / reCAPTCHA.

Cos'è Shield

Primo strato di protezione — non un SIEM, non uno strumento analitico.

Shield è uno strato di protezione attiva e passiva per form, login, checkout, upload, chat IA, strumenti MCP e API. La dashboard mostra decisioni ed eventi per consentirti di regolare la difesa — non è un log explorer. Gli eventi sono segnale operativo, non inventario analitico.

Shield è:

  • Protezione inline per web / e-commerce / chat / MCP / backend
  • Decisione per richiesta: allow / monitor / challenge / block
  • Audit log firmato e a prova di manomissione di ogni decisione
  • SDK nativo mobile — iOS + Android — nella roadmap (Sprint M)

Shield non è:

  • ×Uno SIEM o un aggregatore di log
  • ×Un sostituto del tuo WAF o CDN — sta uno strato più in basso
  • ×Uno strumento di reporting o analytics business
  • ×Un prodotto di compliance certificato — i controlli si allineano ai framework, l'audit è il tuo
Architettura

Tre percorsi di protezione in base a ciò che devi proteggere.

Shield può stare davanti al sito, alla chat AI o agli strumenti MCP. Ogni percorso ha un punto decisionale chiaro e un risultato auditabile.

Livello 1

Web e form

Il widget JS e l’SDK backend proteggono form di contatto, login, checkout e upload. Raccolgono segnali di sicurezza, allegano un token HMAC e consentono allow / challenge / block prima che la richiesta raggiunga logica sensibile.

Livello 2

Chat AI e LLM proxy

Prompt e risposta passano attraverso un firewall LLM. Shield può anonimizzare dati sensibili, bloccare prompt injection, verificare leakage di istruzioni di sistema e funzionare davanti alla chat che già usi.

Livello 3

Strumenti MCP, policy e audit

Le chiamate MCP sono valutate per schema, permessi e rischio dell’azione. Tool call distruttive o sensibili possono richiedere approval gate. Ogni decisione finisce in un audit log scoped per tenant.

Confronto

Cosa copre Shield vs. WAF vs. CAPTCHA.

Shield non sostituisce la protezione perimetrale esistente. Lavora un livello più in profondità.

CapacitàShieldWAFreCAPTCHA / Tornello
Rilevamento bot headlessSì — scoring multi-segnaleParziale (reputazione IP)Sì — all’ingresso
Prompt injection contro LLMSì — firewall semanticoNoNo
Abuso di agenti MCPSì — policy engineNoNo
Form spam / email usa e gettaSì — 5 lingueNoParziale
Scansione malware uploadSì — quarantenaParzialeNo
Payload SQL injectionSì — validazione ASTSì — regexNo
Credential stuffing (distribuito)Sì — blocco per accountParziale (per IP)Parziale
Audit log a prova di manomissioneSì — esportabileVariabileNo
Matrice ridotta dei controlli

40+ capacità concrete in 9 categorie.

Matrice completa categorizzata. Soglie esatte, pesi dei segnali e dettagli di detection sono disponibili ai clienti nel portale.

Dinamica di battitura, R² della traiettoria del mouse, schemi di scorrimento, eventi touch, tempi di compilazione dei moduli, permanenza sulla pagina: una pluralità di segnali confluisce nello scorer locale e nella pipeline di scoring del backend.

Protects against
Bot che compilano moduli, automazione headless, invii tramite script.

Canvas, WebGL, contesto audio, rilevamento dei font e fingerprinting del navigator fusi in un hash di dispositivo SHA-256. Rileva browser headless e strumenti anti-detect.

Protects against
Framework di browser headless, strumenti di automazione anti-detect.

Snapshot in cache di breve durata di device_hash, webgl_renderer, user_agent, fuso orario e risoluzione dello schermo all'avvio della sessione. Gli eventi sensibili (login, invio di moduli, checkout) confrontano il fingerprint in tempo reale; qualsiasi deriva aggiunge segnali di rischio rilevanti.

Protects against
Dirottamento di sessione, replay del token, attacchi con cookie rubati, sostituzioni del dispositivo a sessione in corso.

Base URL compatibile con OpenAI e Anthropic. Shield analizza ogni prompt prima di inoltrarlo e ogni completamento prima di restituirlo, blocca in caso di violazione delle policy e rimuove PII / segreti durante lo streaming.

Protects against
Prompt injection, jailbreak, esfiltrazione di PII / segreti dalle applicazioni LLM.

Rilevamento basato su embedding attraverso numerose categorie di attacco. "Ignora le direttive precedenti" ≈ "Disregard earlier instructions" per similarità del coseno. Embedding eseguiti localmente con Ollama: zero costi API per richiesta.

Protects against
Prompt injection parafrasate, jailbreak con sinonimi, attacchi offuscati, varianti multilingua.

Intercettazione delle chiamate agli strumenti per gli agenti Claude / Cursor / IDE. Validazione degli argomenti tramite JSON Schema, limite di passaggi nella catena, allowlist di domini, gate di approvazione esplicita per gli strumenti distruttivi. Ispeziona ogni invocazione rispetto alle regole di protezione dell'agente prima dell'esecuzione.

Protects against
Abuso malevolo degli strumenti, esfiltrazione tramite file / shell, agenti della supply-chain, loop incontrollati degli agenti.

Oltre 40 pattern che analizzano input + output + chiamate agli strumenti, prima e dopo l'esecuzione del modello. Opera in parallelo al Firewall semantico per una difesa a più livelli.

Protects against
Prompt injection, jailbreak in stile DAN, avvelenamento della memoria, abuso degli strumenti, esfiltrazione di dati.

5 strumenti esposti tramite MCP: shield_get_stats, shield_get_threats, shield_add_rule, shield_get_events, shield_verify_token. Permetti al tuo agente Claude / Cursor di indagare sugli incidenti e intervenire senza uscire dalla chat.

Protects against
Risposta amministrativa alla cieca: gli agenti possono indagare e intervenire sugli incidenti in modo programmatico.

Validazione SQL tramite parsing AST. Blocca UNION, INTO OUTFILE, pg_sleep, information_schema. Tetto massimo sul LIMIT. Colonne sensibili (password, api_key, ssn) oscurate automaticamente. Fingerprinting delle query e tabelle trappola con honeytoken.

Protects against
Esfiltrazione SQL, enumerazione dello schema, abuso della paginazione, fughe di dati sensibili.

Rilevamento dei wallet: BTC (P2PKH/Bech32), ETH, SOL, TRX, XRP, LTC, DOGE. Scansione delle seed phrase BIP-39 (12/24 parole). Prompt di firma (EIP-712). Blocco dei domini di mining. Pattern di reindirizzamento dei pagamenti.

Protects against
Furto di wallet, fuga di seed-phrase, iniezione di script di mining, reindirizzamenti dei pagamenti.

Rilevamento di testo incomprensibile tramite bigrammi (EN / DE / CS / SK / ES), oltre 100 domini email usa e getta, pattern di spam (caratteri ripetuti, TUTTO MAIUSCOLO, raffiche di URL), rilevamento di nomi sospetti. Il corpus di phishing e contenuti dannosi copre 9 lingue (vedi la card Phishing). Scoring additivo con bonus per cluster.

Protects against
Spam dei moduli, registrazioni false, account usa e getta, invii incomprensibili.

Scanner multilivello per email + allegati. Rileva testi in slovacco/ceco/polacco/tedesco/francese/spagnolo/serbo privati dei segni diacritici (nel mondo reale, il segnale di phishing più forte), social engineering basato su suggerimenti per la password in 9 lingue, nomi di file che imitano i mainframe e file PDF / Office protetti da password. Il cluster indipendente dal brand intercetta la stessa struttura a prescindere dal nome dell'azienda impersonata.

Protects against
Recapiti di phishing, raccolta di credenziali, dropper di malware protetti da password, social engineering basato su allegati.

check_upload() accetta i form_fields. Quando il caricamento di un file è accompagnato dai dati di un modulo (titolo, descrizione, nome, messaggio), lo Scoring della qualità dei contenuti viene applicato anche a quei campi. Un PDF pulito con metadati incomprensibili viene comunque rifiutato con uno score ad alta affidabilità.

Protects against
Registrazioni di account falsi, spam di moduli di bassa qualità con allegati, ticket di supporto compilati da bot.

Ogni file attraversa un gate di quarantena: allowlist delle estensioni, sniffing MIME tramite magic-byte, rilevamento di macro Office, JavaScript / Launch / OpenAction nei PDF, iniezione di script SVG / HTML. Dimensione massima ed elenco delle estensioni configurabili per tenant.

Protects against
Recapito di malware, virus macro, JS veicolato da PDF, SVG-XSS, file polyglot.

Python (FastAPI / Django / Flask), Node.js (Express / Next.js), PHP (WordPress / Laravel). Valida X-Shield-Token su ogni richiesta. Nessun token → 403. La verifica HMAC viene memorizzata in una cache di breve durata per (token, path).

Protects against
Richieste che aggirano il widget JS (curl, Postman, requests di Python, HTTP grezzo).

Breaker a 3 stati (closed / open / half_open) in tutti e tre gli SDK backend. Dopo una serie di errori di trasporto consecutivi → OPEN per un breve intervallo → 1 sonda HALF_OPEN. I 4xx non fanno scattare il breaker. PHP usa APCu per condividere lo stato tra i worker FPM. Basta timeout su ogni richiesta durante un incidente upstream.

Protects against
Timeout a cascata, tempeste di retry, accumulo di richieste durante le interruzioni dell'API Shield.

Mappatura motivo → (machine_code, human_hint). /shield/verify e le risposte 403 di tutti e 3 gli SDK restituiscono remediation + remediation_code. Gli utenti legittimi colpiti da un falso positivo vedono "La tua sessione è scaduta: ricarica la pagina" invece di un 403 silenzioso.

Protects against
Esperienza utente scadente sui falsi positivi, carico di ticket di supporto, confusione da errori silenziosi.

Plugin PHP drop-in: inietta automaticamente il widget e include un middleware che valida i token Shield su /wp-login.php e sugli endpoint admin. Fail-closed per impostazione predefinita, configurabile.

Protects against
Brute force su WordPress, abuso di xmlrpc, enumerazione di wp-admin sui siti delle PMI dell'UE.

Rate limiting multidimensionale: per IP, per dispositivo, per endpoint, con escalation progressiva. Contatori lato server con finestre scorrevoli.

Protects against
Brute force, credential stuffing, scraping, enumerazione delle API.

Geolocalizzazione IP tramite ip-api.com (cache di breve durata). Elenchi di paesi bloccati / consentiti per sito. Modificatori dello score per datacenter e proxy / Tor. Blocco rigido al caricamento della pagina, con overlay di accesso negato prima dell'inizializzazione del widget.

Protects against
Traffico da regioni non consentite, infrastrutture di anonimizzazione, restrizioni dettate dalla conformità.

Il widget impedisce l'invio del modulo quando lo score è ad alta affidabilità. Overlay rosso: "Bloccato da Corpilus Shield". Token HMAC-SHA256 firmati dal server e allegati automaticamente alle fetch() tramite interceptor.

Protects against
Invii di bot ad alta affidabilità che raggiungono il backend.

278 pattern di rilevamento compilati, eseguiti automaticamente su ogni evento: coprono tutte le categorie della OWASP Top 10 2025. L'ispezione a livello di payload avviene prima dello scoring.

Protects against
SQL injection, XSS, path traversal, command injection, SSRF, SSTI, LDAP injection, XXE, NoSQL injection, log4j JNDI, sonde di misconfigurazione di sicurezza, typosquat della supply-chain, fughe di stack trace.

L'analizzatore AI esamina gli eventi in modo continuo. Contesto RAG ancorato a una base di conoscenza di sicurezza curata. Crea automaticamente minacce e regole a partire da osservazioni reali.

Protects against
Pattern d'attacco nuovi / sconosciuti che le regole statiche non intercettano.

Contesto di threat-intel predefinito (mini-CAG). Firme dei bot, pattern d'attacco e campioni OWASP già integrati: i nuovi siti sono protetti fin dalla prima visualizzazione di pagina.

Protects against
Cecità da avvio a freddo: i nuovi siti sono protetti immediatamente.

La collezione Security Knowledge di Shield include documenti curati (OWASP Top 10, rilevamento dei bot, risposta agli incidenti). Gli amministratori possono caricare i propri playbook aziendali, report post-mortem o threat intel specifica del proprio dominio. Ogni caricamento viene sottoposto a una scansione multilivello. I documenti puliti vengono acquisiti con trust_state='pending' finché un amministratore non li promuove esplicitamente a 'active'. Solo i documenti attivi raggiungono il contesto RAG dell'analizzatore AI.

Protects against
Pattern d'attacco specifici del tenant che i dati di addestramento generici non vedono mai: schemi di frode interni, account takeover specifici del settore, attacchi di integrazione post-fusione. La scansione e il gate canary impediscono l'avvelenamento della pipeline di apprendimento.

Condivisione anonimizzata dei pattern: IP ridotti a /24, PII rimosse, gating per livello di maturità (sperimentale → candidato → confermato). Un attaccante confermato presso un tenant diventa una minaccia nota per tutti nel giro di minuti.

Protects against
Campagne distribuite che colpiscono più siti protetti da Shield.

Il MutationObserver del widget acquisisce all'avvio uno snapshot di tutti i tag <script>. Qualsiasi script iniettato in seguito viene segnalato come telemetria script_integrity_violation, con src, esterno/stessa-origine, lunghezza del contenuto e hash stabile. Con limite per caricamento di pagina. Allowlist per tenant per le CDN attendibili.

Protects against
Attacchi alla supply-chain, estensioni del browser malevole, furto di token via XSS, overlay di frode pubblicitaria.

Contatore Redis per SHA-256(account_id). Ogni tentativo fallito oltre il limite aggiunge uno score di rischio rilevante. Un attacco distribuito che spalma molti tentativi su migliaia di IP finisce comunque nello stesso bucket dell'account: il tentativo su victim@corp.com attiva la sfida indipendentemente dall'IP che l'ha inviato. Il contatore si azzera dopo un login riuscito.

Protects against
Credential stuffing distribuito, brute force tramite proxy residenziali, indovinare la password con tecnica low-and-slow.

GET /shield/password/breach-range/{prefix}: il client calcola SHA-1(password) localmente nel browser e invia solo il prefisso esadecimale di 5 caratteri; Shield fa da proxy verso api.pwnedpasswords.com e restituisce in streaming l'elenco suffisso+conteggio. Il client confronta in locale il proprio suffisso. Il server non vede mai il testo in chiaro NÉ l'hash completo.

Protects against
Riutilizzo delle credenziali, registrazione con password note come violate, esposizione silenziosa tramite dump su paste-bin.

Verifica dei record A/AAAA + MX in fase di registrazione. Fail-open in caso di timeout. Cache per dominio di breve durata, così le ondate rapide di registrazioni dallo stesso dominio usa e getta non tempestano nuovamente il DNS.

Protects against
Domini di registrazione usa e getta, typosquat privi di hosting, domini di attaccanti registrati da poco.

Oltre 25 brand protetti (Google, Microsoft, Apple, PayPal, Stripe, Meta, LinkedIn, Revolut, banche e assicurazioni SK/CZ). Rilevatore a tre livelli: 1) corrispondenza esatta normalizzata tramite mappa degli homoglyph, 2) distanza di Levenshtein per i brand lunghi, 3) sottostringa del brand con suffisso decorativo (secure/login/support/verify/auth/signin/account/official/help).

Protects against
Registrazioni con impersonificazione di brand, registrazioni di infrastrutture di phishing, falsi domini di 'support'.

Contatori di velocità per IP e per dispositivo. Requisito di login recente: nessun login riuscito di recente da questo dispositivo → segnale di rischio rilevante. Continuità della sessione: password_change ora fa parte dell'insieme di eventi SENSITIVE, quindi una deriva completa del fingerprint blocca immediatamente. La classica catena 'l'attaccante si impossessa della sessione → cambia la password → blocca l'utente' deve superare tutti e tre i gate.

Protects against
Catena di lock-out da account takeover, reset della password tramite session replay, takeover di massa tramite cookie rubati.

Email (HTML), Slack, Discord, webhook JSON generici. Report settimanale di sicurezza con statistiche, principali minacce e tasso di blocco. Gate di gravità per ciascun webhook (low / medium / high / critical).

Protects against
Rilevamento tardivo degli incidenti: gli amministratori vengono avvisati in pochi secondi.

Ogni modifica a una regola, modifica alla configurazione del sito, blocco manuale e decisione dell'AI viene registrata con autore, timestamp e diff prima/dopo. Il tutto è concatenato tramite hash, firmato ed esportabile come bundle di prove pronto per il revisore.

Protects against
Manomissione silenziosa: fornisce una tracciabilità completa quando il tuo revisore (ISO, SOC 2, interno) lo richiede. Shield in sé non è attualmente certificato esternamente.

I token HMAC-SHA256 vengono generati lato server a partire dal segreto specifico del sito e restituiti tramite /shield/events. Il widget non detiene mai il segreto di firma: una site_key trafugata non può essere usata per falsificare token validi.

Protects against
Falsificazione di token a partire da una site_key pubblica rubata.

Row-Level Security di PostgreSQL forzata su tutte le tabelle shield_*. Ogni richiesta viene eseguita con un ruolo limitato al tenant: nessun bypass a livello applicativo è possibile, nemmeno in presenza di un bug nell'API.

Protects against
Fughe di dati tra tenant, bug di broken access control nel codice dell'applicazione.

Traccia i tentativi per BIN della carta su finestre scorrevoli. I pattern di burst coerenti con attività di card-testing attivano una sfida progressiva o un blocco. Le soglie sono regolabili per tenant; i valori predefiniti sono prudenti.

Protects against
Campagne di card-testing, enumerazione dei BIN, raffiche di validazione di carte rubate.

Quando lo stesso fingerprint di carta fornito dal PSP compare su più dispositivi, sessioni o tenant in un breve intervallo, i tentativi vengono correlati e classificati come attacco coordinato. Il PAN in chiaro non lascia mai il tuo PSP.

Protects against
Card-testing distribuito, evasione della velocità tramite rotazione di IP / dispositivo.

Baseline per tenant della distribuzione per paese dell'emittente. Una concentrazione improvvisa di tentativi verso emittenti di un numero ristretto di paesi, ben al di sopra della baseline, segnala probabile traffico di carding.

Protects against
Attacchi mirati agli emittenti, campagne basate su dump di carte rubate, frodi raggruppate geograficamente.

Aggrega più segnali (ampia varietà di BIN, stesso dispositivo o sessione, alto tasso di fallimento) in un verdetto di carding esplicito. Innalza la gravità della decisione quando viene confermato dal feedback post-addebito del PSP.

Protects against
Campagne coordinate di card-testing, traffico di validazione di frodi, evitamento delle penali del PSP.

Gli attacchi a fuoco lento non sfuggono più. Shield osserva l'intero arco della conversazione, e non un singolo messaggio alla volta. Un attaccante che chatta in modo innocuo per molti turni e solo allora vira verso l'estrazione di dati o il phishing di credenziali viene intercettato nel momento in cui il pattern emerge.

Protects against
Jailbreak multi-turno, social engineering a virata lenta, agenti AI che iniziano amichevoli e passano all'estrazione nel corso di una lunga sessione.

Prima che il tuo agente esegua uno strumento, Shield si chiede: l'intento reale dell'utente è coerente con la chiamata a questo strumento? Una richiesta di riassumere un documento non dovrebbe attivare un export del database. Una chat per la prenotazione di viaggi non dovrebbe chiamare uno strumento di pagamento. Le discrepanze vengono messe in attesa di revisione.

Protects against
Agenti che chiamano strumenti sensibili sotto prompt apparentemente innocui, abuso di strumenti via prompt injection, operazioni distruttive accidentali.

Gli agenti compromessi e gli LLM curiosi di norma scandagliano l'ambiente prima di agire: elencano directory, leggono i percorsi di configurazione, enumerano le variabili d'ambiente. Shield segnala questo pattern di ricognizione in anticipo, prima che qualsiasi dato lasci il sistema.

Protects against
Tentativi di sandbox-escape, ricognizione dei container, enumerazione dei segreti d'ambiente, sonde di staging dell'agente prima dell'esfiltrazione.

Una singola conversazione non può mai consumare silenziosamente l'intero budget mensile di AI. Shield impone un tetto per sessione su token, chiamate agli strumenti e tempo trascorso. Al raggiungimento del limite la sessione viene messa in pausa o terminata e l'operatore viene avvisato.

Protects against
Attacchi di esplosione dei costi, guasti degli agenti con loop infiniti, denial-of-wallet, prompt accidentali fuori controllo.

Shield impara quale sia la normalità per ciascun utente (orari tipici, azioni tipiche, ritmo tipico) e segnala con discrezione il giorno in cui quel pattern viene meno. Una sessione autenticata che all'improvviso non assomiglia per nulla all'utente reale viene trattata come un possibile takeover.

Protects against
Account compromessi, dirottamento dell'identità dopo il furto di credenziali, uso improprio dell'account in modalità insider, riutilizzo della sessione dopo il phishing.

Record, file e credenziali esca vengono collocati in luoghi in cui solo un attaccante andrebbe a scavare. Gli utenti reali non li vedono mai. Nel momento in cui uno di essi viene toccato, consultato o utilizzato, Shield ottiene un segnale di violazione ad alta affidabilità con falsi positivi praticamente nulli.

Protects against
Violazioni silenziose che aggirano gli altri rilevamenti, furto di dati interno, movimento laterale post-compromissione.

Gli attaccanti nascondono i payload malevoli all'interno di codifiche a più livelli (base64, hex, percent-encoding, escape unicode) per eludere i semplici filtri sulle stringhe. Shield rimuove questi strati prima dello scoring, così l'attacco sottostante viene confrontato con le stesse protezioni applicate a una versione in testo semplice.

Protects against
Contrabbando tramite base64 / hex / percent-encoding, offuscamento dei payload a più livelli, evasione dei filtri basata sulla codifica.

Prima del rilascio di qualsiasi aggiornamento di una regola, di un modello o di uno scorer, questo viene eseguito su un corpus in continua crescita di scenari d'attacco reali. Se un rilascio indebolisce accidentalmente il rilevamento su una struttura di minaccia nota, la modifica viene bloccata in CI, non dopo che un cliente è stato violato.

Protects against
Regressioni silenziose del rilevamento, deriva accidentale verso falsi negativi durante i rilasci, debito di sicurezza che si accumula tra le versioni.

Ogni decisione di sicurezza e ogni modifica di configurazione viene scritta in una catena a prova di manomissione. Modifiche e cancellazioni sono matematicamente rilevabili. Revisori, regolatori e responsabili della risposta agli incidenti dispongono di una cronologia affidabile anche nello scenario peggiore, in cui un attaccante arrivi alle credenziali di amministratore.

Protects against
Insider che riscrivono la storia, manomissione forense, controversie normative su cosa è accaduto e quando, lacune nell'attribuzione post-incidente.

Quando succede qualcosa, non vuoi passare ore a raccogliere i log. Un clic produce un bundle cifrato e datato dello stato rilevante del tenant (eventi, regole, decisioni, traffico recente), pronto da consegnare al tuo team di sicurezza, all'ufficio legale o al regolatore.

Protects against
Risposta lenta agli incidenti, stato forense perso tra il rilevamento e la revisione, comunicazioni di violazione che mancano la finestra del regolatore.

Shield non ti vincola a un unico fornitore di AI. Porta la tua chiave OpenAI / Anthropic / Google, punta a un'istanza Ollama dedicata oppure esegui tutto in locale. Imposta tetti rigidi sui costi e regole di routing. I tuoi dati raggiungono solo i provider che approvi esplicitamente.

Protects against
Vendor lock-in, sforamenti di costo a sorpresa, lacune nella residenza dei dati, restrizioni normative sull'elaborazione AI transfrontaliera.

Per le tue azioni a più alto rischio Shield può richiedere un gesto radicato nell'hardware: Touch ID, Windows Hello, una chiave di sicurezza hardware. Si tratta di verifiche di presenza fisica che un agente basato su LLM o un attaccante remoto non possono superare, per quanto astuto sia il prompt.

Protects against
CAPTCHA risolvibili da LLM, account takeover solo da remoto, azioni privilegiate guidate da agenti, flussi di step-up basati solo sulla password.

Per ambienti regolamentati, classificati o disconnessi Shield viene distribuito come pacchetto self-hosted con artefatti di rilascio firmati e un percorso di installazione completamente offline. Nulla deve comunicare con la rete internet pubblica, eppure ricevi comunque gli aggiornamenti di regole, modelli e intel secondo la tua pianificazione.

Protects against
Ambienti soggetti a vincoli di conformità, reti classificate, zone regolamentate di sovranità dei dati, attacchi alla supply-chain sul percorso di installazione.

Shield può segnalare invii di moduli, messaggi e documenti che appaiono generati da una macchina anziché digitati da una persona. Combinato con i segnali comportamentali e di tempistica, fornisce agli operatori una risposta chiara alla domanda "è autentico?" su moduli di candidatura, CV, ticket di supporto e recensioni.

Protects against
Spam di moduli generato dall'AI, frodi su CV / candidature scritte dall'AI, valanghe di ticket di supporto generati dall'AI, false recensioni scritte dall'AI.

All'avvio il widget acquisisce uno snapshot di fetch, XHR, navigator e userAgent e li ricontrolla periodicamente. Se un'estensione del browser, uno script iniettato o un tag di terze parti modifica navigator.webdriver, avvolge fetch, sostituisce XHR o altera i descrittori di navigator, Shield segnala la manomissione e può rifiutarsi di emettere un token. Il tracciamento per singolo attributo delle modifiche a form.action / input nascosti è previsto in roadmap e non è ancora attivo.

Protects against
Estensioni del browser malevole, takeover di moduli tramite iniezione pubblicitaria, tag manager di terze parti malevoli, dirottamento dei moduli di pagamento lato client.

Ogni richiesta viene verificata in O(1) su oltre 48.000 indicatori di minaccia in tempo reale, aggiornati di frequente. Nessuna configurazione da parte del cliente: il servizio è finanziato dalla piattaforma. In caso di corrispondenza aggiunge un incremento allo score.

Protects against
Callback C2 di botnet, scraper, infrastrutture di anonimizzazione, range di IP di attaccanti attivi, netblock dirottati.

Lookup su servizi di reputazione premium solo per gli eventi sospetti. Chiavi cifrate con Fernet per ciascun tenant; nessuna chiave condivisa dalla piattaforma, i lookup gravano sulla tua quota.

Protects against
IP di attaccanti mirati segnalati dai fornitori commerciali di threat intelligence, oltre a quanto intercettano i feed pubblici.

Coperte tutte e dieci le categorie OWASP 2025: A01 controllo degli accessi, A02 misconfigurazione, A03 supply chain, A04 crittografia, A05 injection, A06 design, A07 autenticazione, A08 integrità, A09 logging, A10 gestione delle eccezioni. Insieme di pattern derivato da OWASP CRS v4, template nuclei, PayloadsAllTheThings.

Protects against
Ogni minaccia per le web app nel catalogo OWASP 2025, dalla classica injection fino alle nuove categorie Supply Chain e Mishandling-of-Exceptional-Conditions.

Identifica i bot di OpenAI, Anthropic, Google-Extended, Perplexity, ByteDance, CommonCrawl, Meta, Apple, Cohere, Mistral, AllenAI, You.com e altri. Il tenant sceglie block / monitor / allow per ciascun fornitore.

Protects against
Scraping non autorizzato dei tuoi contenuti per l'addestramento di LLM, lasciando comunque passare i motori di ricerca legittimi (Bingbot, il Googlebot classico).

Gadget JNDI di log4j (${jndi:ldap://...}), LDAP injection, XML External Entity, injection di operatori NoSQL in stile MongoDB: tutti bloccati all'ingestione di /shield/events, prima che raggiungano il tuo backend.

Protects against
Gli attacchi della classe log4shell dell'era 2021, bypass no-SQL, esfiltrazione tramite entità XML, escape di query LDAP: categorie che la maggior parte dei WAF ha aggiunto solo di recente.

Vista in sola lettura di tutti i 278 pattern che Shield esegue su ogni richiesta, raggruppati per categoria. I clienti vedono esattamente ciò che li protegge: nessuna promessa di marketing da verificare.

Protects against
Lacuna di trasparenza: revisori e team di sicurezza possono confrontare l'insieme reale di rilevamento di Shield con il proprio registro dei rischi.

Clicca una scheda per aprire descrizione tecnica e threat model.

Registro di audit — Shield v2.6

Inviolabile, concatenato per hash, firmato crittograficamente.

Il registro di audit è la spina dorsale legale e forense di Shield. Progettato in modo che neanche un amministratore compromesso possa riscrivere la storia senza che sia visibile.

Catena hash SHA-256

Ogni record di audit contiene l'hash SHA-256 del record precedente più l'evento corrente canonizzato. La rimozione o la modifica di qualsiasi evento passato interrompe ogni hash downstream e la catena rifiuta la verifica.

Firma Ed25519 per tenant

Ogni inquilino ha la propria coppia di chiavi Ed25519. La chiave pubblica viene esposta per una verifica indipendente; la chiave privata firma ogni record di audit al momento della scrittura. Un dump del DB trapelato non può essere falsificato senza la chiave privata.

RFC 3161 ancoraggio temporale

Le teste della catena vengono periodicamente ancorate a un'autorità di marca temporale RFC 3161 esterna. Ciò lega il registro all'ora assoluta dell'orologio a muro e dimostra che la catena esisteva in quella forma prima del timestamp.

Igiene di sola aggiunta del ruolo DB

Il ruolo scudo_app ha solo INSERT: UPDATE e DELETE vengono REVOCATI al livello PostgreSQL. Anche un utente malintenzionato con credenziali complete per il contesto dell'app non può riscrivere le righe; avrebbero bisogno di passare al ruolo DB di superutente, che è a sua volta controllato a livello di piattaforma.

Verifica ed esporta gli endpoint

GET /shield/audit/verify ripercorre la catena hash e convalida ogni firma; GET /shield/audit/export trasmette in streaming un archivio JSON firmato e delimitato da righe per revisori interni o esterni. Entrambi hanno un ambito di tenant e una tariffa limitata.

Mappatura della conformità

Fornisce prove tecniche richieste dai comuni quadri di sicurezza (registrazione immutabile, integrità firmata, monitoraggio, allineamento GDPR Art. 32). Shield in sé non è certificato esternamente: l'esportazione supporta il tuo audit, non ne sostituisce uno.

Snapshot forense — Shield v2.6

Snapshot di incidente in un clic, cifrato, off-site.

Quando qualcosa va storto, hai bisogno di un'immagine immutabile del momento. Shield la produce in meno di un minuto e la sigilla in modo che solo la tua chiave privata possa aprirla.

Cosa contiene uno snapshot

  • Eventi di sicurezza (grezzi + decisioni + codici motivo)
  • Sezione del registro di controllo con testata a catena + firma
  • Sessioni attive e segnali a livello di sessione
  • Regole attive e cronologia delle versioni delle regole
  • Cache di intelligence sulle minacce ed eventi recenti di minaccia
  • Siti protetti e relativa configurazione HMAC
  • Impostazioni del tenant e flag di funzionalità
  • Eventi della piattaforma (distribuzione/backup/deriva)
  • Metadati del contenitore (immagine, versione, impronta digitale dell'host)

Cifratura a busta ibrida

Una chiave dati AES-256-GCM monouso cifra il payload. La chiave dati viene avvolta con RSA-OAEP-SHA256 contro la chiave pubblica del tenant. Solo il detentore della chiave privata può recuperare la chiave AES e decifrare il bundle. L'infrastruttura Shield non può leggere snapshot passati una volta che hanno lasciato il container che li ha prodotti.

Storage e operatività

Gli snapshot vengono caricati su qualsiasi storage compatibile con S3 (AWS, Wasabi, MinIO, on-prem). Un cron settimanale opzionale archivia automaticamente un nuovo snapshot per una prontezza forense continua. Il target MTTR dal trigger all'archivio sigillato e caricato è ~60 secondi.

Superficie API

POST /shield/forensic/snapshot innesca un nuovo snapshot; GET /shield/forensic/snapshots elenca quelli esistenti con metadati, dimensione e stato di sigillatura. Entrambi sono in ambito admin e producono eventi di audit a livello piattaforma.

Postura di sicurezza

Compliance e auditabilità senza promesse eccessive.

Shield fornisce evidenze tecniche, log e mapping. Certificazioni formali o attestazioni cliente dipendono dallo scope di deployment.

Traccia di controllo pronta per il revisore

Shield produce audit log, motivi delle decisioni ed export utili per revisioni security e compliance. Certificazione o attestazione formale vengono confermate individualmente in base allo scope cliente.

Supporto delle prove del revisore

I controlli tecnici possono essere mappati sul tuo framework di audit interno. Shield non è certificato esternamente.

MITRE ATT&CK

Le detection possono essere mappate a tecniche MITRE ATT&CK rilevanti, soprattutto Initial Access, Credential Access, Exfiltration e Command & Control.

OWASP OAT

Shield copre più classi di minacce automatizzate OWASP OAT. Il mapping dettagliato viene fornito ai clienti nei materiali tecnici.

Denial-of-Wallet

Attacchi al costo di inferenza (RA-ICA): ora il bersaglio è il portafoglio

Una classe di attacco validata da peer review nel 2026 (Hong Kong Polytechnic University) che non compromette i tuoi dati né la disponibilità del servizio: moltiplica silenziosamente la tua spesa per l'AI.

Un attaccante colloca un documento avvelenato sul web pubblico. Il tuo assistente RAG lo recupera in risposta a una domanda qualunque e il modello consuma molti più token: la risposta resta corretta, quindi nulla appare anomalo finché non arriva la fattura.

13.12×
token in più consumati
>90%
probabilità che il documento avvelenato venga recuperato
100%
risposte corrette: i filtri ordinari non rilevano nulla

Tre tattiche (framework CREEP)

Iniezione di esche

Enigmi matematici, logici o di pianificazione nascosti che il modello risolve inconsapevolmente durante il ragionamento, consumando token.

Iniezione di contraddizioni

Fatti mutuamente contraddittori che spingono il modello a ragionare eccessivamente e a generare risposte lunghe.

Manipolazione orientata al compito

Un'AI attaccante ottimizza il testo per massimizzare il costo rimanendo inappariscente ed eludendo il rilevamento.

Come Shield lo blocca, in ogni fase

Fase dell'attaccoDifesa di ShieldEffetto
1 · Il documento malevolo deve essere recuperatoIl gate di pertinenza e le soglie tengono fuori dal contesto i documenti scarsamente pertinenti o iniettati forzatamente.Filtra l'avvelenamento opportunistico.
2 · Istruzioni nascoste nel documentoSanificazione dei contenuti recuperati (contrassegnati come dati, 'trattare solo come testo') + separazione delle fonti non attendibili.Il modello ignora i compiti incorporati.
3 · Inflazione dei token di output (il cuore dell'attacco)Limite rigido di token di output per richiesta + gestione del budget di contesto (limite sulla quota di recupero, deduplicazione).L'amplificazione di 13× viene contenuta.
4 · Costo cumulativo tra le richieste (DoW)Rate-limiting progressivo + budget per sessione (token / costo / tempo) + telemetria del trust-score dell'agente.Un bot non può scalare l'attacco.

Il cuore di RA-ICA è l'inflazione dell'output (nello studio, da ~100 a 2.048 token). Il limite rigido di output per richiesta di Shield è esattamente ciò che spezza l'amplificazione che rende l'attacco redditizio.

Copertura

Un solo livello di difesa, l'intera famiglia di minacce LLM (OWASP LLM Top 10)

RA-ICA si colloca all'intersezione di due famiglie di attacco che Shield copre già: un unico livello protegge dall'intero spettro.

Classe di attaccoCome risponde Shield
Costo di inferenza / Denial-of-WalletLimite di token di output, budget di contesto, rate-limiting, budget per sessione, pattern di esaurimento delle risorse.
Avvelenamento della knowledge base / RAGSanificazione dei contenuti recuperati, gate di pertinenza, separazione tra fonti attendibili e non attendibili.
Prompt injection (diretta e indiretta)Regole basate su pattern + firewall semantico; le iniezioni indirette nascoste nei documenti vengono neutralizzate.
Jailbreak (DAN, developer mode, roleplay)Le regole + il firewall semantico intercettano per significato le varianti offuscate e riformulate.
Fuga di system prompt / configurazioneScansione di input e output; i tentativi di estrazione vengono bloccati, le fughe oscurate in uscita.
Esfiltrazione di dati / PIIScansione dell'output: password, chiavi API, JWT, chiavi private, identificativi e contatti vengono intercettati e oscurati.
Abuso di strumenti / azioniIspezione degli argomenti degli strumenti e una lista di operazioni pericolose (esecuzione di codice, cancellazione, accesso ai file).
Offuscamento / codifica (Base64, ROT13, hex)Rilevamento di payload codificati e di tentativi di token smuggling.
Spoofing di autoritàRileva le manipolazioni del tipo 'sono il tuo sviluppatore / amministratore / test ufficiale'.
Difesa in profondità

Livelli indipendenti: se uno cede, l'intera difesa non crolla.

La protezione non è un singolo filtro. È costituita da più livelli indipendenti.

01

Guardia di input

Pattern di regole in 6 famiglie (prompt injection, jailbreak, abuso di strumenti, avvelenamento della memoria, fuga di dati, esaurimento delle risorse). Viene eseguita prima del modello.

02

Firewall semantico

Oltre 100 pattern di attacco curati in 16 tipologie (incluso il Denial-of-Wallet esplicito), a livello di significato (embedding): intercetta riformulazioni e offuscamenti.

03

Guardrail RAG

Sanificazione dei contenuti recuperati, gate di pertinenza, separazione delle fonti non attendibili, deduplicazione e budget di contesto.

04

Limite di token di output

Limite rigido alla lunghezza di generazione per ogni richiesta, calibrato sul compito e sul modello.

05

Guardia di output

Oscuramento delle fughe: credenziali, chiavi API, JWT, chiavi private, PII; opera anche sulle risposte in streaming.

06

Budget per sessione

Limiti su token, costo, tempo e chiamate agli strumenti all'interno di una singola sessione.

07

Rate limiting

Per IP / dispositivo / endpoint, progressivo (monitoraggio → rallentamento → challenge → blocco).

08

Telemetria e audit

Tracciamento della spesa in token e del trust-score dell'agente, webhook sulle minacce e un registro di audit a prova di manomissione.

Distribuzione

Integra Shield nel modo che ti serve.

Distribuiscilo in base a ciò che devi proteggere.

Proxy LLM (drop-in)

Sostituisci un singolo base_url per OpenAI / Anthropic. Shield analizza l'input (blocca prima del provider) e l'output (oscura le fughe). Mantiene la tua chiave API, lo streaming e le chiamate agli strumenti.

Scan API

Endpoint per analizzare input, output e chiamate agli strumenti, per un'integrazione personalizzata nella tua pipeline esistente.

Protezione RAG

Sanificazione, gate di pertinenza e separazione delle fonti direttamente nella tua pipeline di chat / RAG.

Widget web

Protegge moduli, login e API da bot e abusi (classico livello WAF + bot).

Whitepaper tecnico

Documento tecnico dettagliato con diagrammi di integrazione, threat modeling e benchmark di performance.

Avviso sull'ambito della protezione. Corpilus Shield è un livello di protezione AI in tempo reale progettato per estendere i meccanismi di sicurezza standard per siti Web, negozi elettronici e applicazioni LLM, non per sostituirli. Non sostituisce antivirus, firewall, test di penetrazione o controlli di sicurezza formali. Per una protezione completa, consigliamo di combinare più strati.