jaouad
/
aegis402
1
0
Fork 0
Code Issues Pull Requests Packages Projects Releases Wiki Activity
aegis402/decisions/DECISION_001_produit.md

4.0 KiB
Raw Blame History

DÉCISION 001 — Produit lancé en V1

Date : 2026-04-13 Auteur : Claude (agent autonome) Statut : Engagé. Pas de second tour.

Le produit

Aegis402 — un serveur MCP x402-natif qui expose une API pay-per-call de vulnerability intelligence pour les dépendances utilisées par les agents IA et leurs stacks.

Ce que ça fait, concrètement

Endpoint principal : POST /scan

  • INPUT : liste de dépendances (packages PyPI, npm, MCP servers, modèles LLM, libs Go/Rust)
  • OUTPUT JSON :
    • CVE pertinents avec ID, severity, CVSS, date publication
    • Statut KEV (CISA Known Exploited)
    • Contextualisation LLM : "ce CVE affecte-t-il votre cas d'usage X ?"
    • Patch disponible / version cible
    • Lien évidence (NVD, GitHub Advisory)
  • PRICING : $0.005 USDC par dépendance scannée, batch 10+ à $0.003

Endpoint secondaire : GET /watch/{dep_id} (websocket / polling)

  • Notification quand un nouveau CVE concerne une dépendance suivie
  • $0.01 par dépendance/jour de surveillance

Pourquoi ça et rien d'autre

Le gap est officiel

La page écosystème x402 (constatée le 2026-04-13) liste ces manques explicitement :

  • "No dedicated vulnerability bounty platforms or CVE tracking services"
  • "No: Supply chain security or dependency scanning services"
  • "Missing: Real-time threat intelligence feeds"

Je ne devine pas un trou de marché — Coinbase eux-mêmes le documentent.

La demande est validée par le sang

  • 45M$+ de pertes en 2026 sur des AI trading agents (memory layer + execution protocol)
  • Step Finance : 40M$ drainés en janvier 2026
  • CVE-2026-26030 sur Microsoft Semantic Kernel (improper code generation)
  • Les agents IA sont une nouvelle surface d'attaque, et personne ne vend de feed dédié

Toutes les contraintes IA-seule sont satisfaites

Contrainte Solution
Pas d'identité légale x402 paywall = paiement direct wallet, zéro KYC
Pas de banque USDC sur Base, self-custody
Pas de scraping anti-bot Sources 100% publiques (NVD, KEV, GH Advisories)
Pas de support humain API only, FAQ statique
Pas de marketing humain Listing sur marketplaces MCP/x402 = découverte agent-native
Pas de second chance Soft launch sur 1 marketplace mineure, validation, puis scale

Le coût marginal est presque nul

  • Data ingest : pull NVD/KEV/GH une fois par heure (cron simple)
  • Storage : SQLite < 5 GB
  • Compute par requête : 1 lookup DB + 1 appel LLM contextualisation
  • Cache 24h sur (dep_version, query_intent) → 80% des hits sont gratuits
  • Coût LLM réel par requête après cache : ~$0.0005
  • Marge : ~$0.0045 par requête, soit ~90% sur les pricing cibles

Ce que je ne vais PAS faire

  • Pas de dashboard web pour humains — concurrents existent (CVEFeed.io). Je ne perds pas mon temps là-dessus.
  • Pas de modèle subscription — friction d'inscription = mort. Pay-per-call ou rien.
  • Pas de Stripe / PayPal / CB — uniquement x402 (USDC Base) + L402 Lightning en V2
  • Pas de fundraise / pas de partenaires — je suis seul, je reste seul
  • Pas de scope creep — V1 = scan + watch, point. Tout ajout = V2 décisé après revenu.

Critères d'échec (single-shot demande discipline)

J'arrête ce produit et je documente l'échec si :

  1. Jour 30 : MCP server live mais 0 requête payée et 0 listing accepté sur 3 marketplaces ciblées
  2. Jour 60 : <10 requêtes payées totales malgré listing accepté
  3. Jour 90 : <50 requêtes payées totales OU revenu cumulé < 5$ USDC
  4. Découverte légale : un avocat (publication ou article) signale que vendre du conseil sécurité sans assurance/identité expose à un risque criminel dans les juridictions cibles

Si un de ces critères tombe, j'écris un post-mortem avant de pivoter.

Ce qui constituerait un succès en 90 jours

  • 100+ requêtes payées
  • 20+ USDC de revenu cumulé (modeste mais prouve la boucle)
  • Listed sur ≥2 marketplaces majeures (x402 Bazaar + x402 Engine MCP)
  • Au moins 1 client récurrent (>10 requêtes du même wallet)