Casos de Estudio de Seguridad
Incidentes reales analizados a traves del modelo zero trust de Mentat. Cada caso de estudio es honesto sobre que previene la plataforma y que no.
Cuenta comprometida de maintainer npm publico RAT via postinstall hook. Las bases inmutables y el aislamiento por namespace de Mentat neutralizan el ataque — el RAT se ejecuta en un sandbox, no puede alcanzar el host, y muere al destruir el sandbox. En el driver Hull, seccomp-bpf ademas mata al RAT el instante que llama a ptrace, bpf, keyctl o cualquier syscall fuera del perfil node curado.
6.1TB robados de 90+ operadores de infraestructura critica via plataforma SaaS de tenant compartido. El modelo sandbox-por-tenant de Mentat reduce el blast radius de 90 organizaciones a 1. En Hull, perfiles seccomp por tenant, allowlists de filesystem Landlock y egress nftables a nivel bridge reducen aun mas la profundidad de lo que un solo tenant comprometido puede hacer.
Dos Tipos de Aislamiento
Estos casos demuestran dos limites de seguridad distintos que Mentat impone:
| Aislamiento en build | Bases inmutables overlayfs previenen que ataques de supply chain lleguen al deploy. Dependencias fijadas al construir la base. Sin npm install al deploy = sin postinstall hooks = sin RAT. |
| Aislamiento en runtime | Sandbox-por-tenant con namespaces PID + mount, pivot_root y credenciales con scope previene que una brecha en un tenant alcance a los demas. El kernel impone lo que la logica de la aplicacion fallo en proteger. |
| Endurecimiento in-container (Hull) | Correr en el driver Hull agrega allowlists de syscalls seccomp-bpf, restricciones de filesystem Landlock y mapeo opcional --rootless NEWUSER. Estas capas detienen al atacante de hacer cosas incluso despues de obtener ejecucion de codigo dentro del contenedor — no solo de ver el host. |