Pylae is a transparent proxy that sits between AI agents (Claude Code, Cursor, Windsurf, etc.) and their MCP servers. It intercepts every tool call, applies configurable policies, runs 8 security subsystems, and logs everything to a tamper-evident audit trail - without modifying the agent or the server.
No. Point your agent at Pylae instead of directly at the MCP server. Pylae proxies the connection transparently - the agent sees the same tools, the server sees the same requests. Zero SDK changes, zero code modifications.
Single binary, no dependencies. Docker: docker run -p 8080:8080 ghcr.io/pylaelabs/pylae demo. Or download from GitHub releases. Run pylae demo to explore the dashboard with sample data.
EU AI Act compliance
If your AI agents score credit, screen job candidates, assess insurance risk, or classify emergency calls, they likely fall under Annex III of the EU AI Act as high-risk systems. Enforcement starts August 2, 2026. Non-compliance carries fines of up to €15 M or 3 % of the company's total worldwide annual turnover for the preceding financial year, whichever is higher (Art. 99(4)).
Seven articles: Art. 9 (Risk Management), Art. 10 (Data Governance), Art. 11 (Technical Documentation), Art. 12 (Record-keeping), Art. 13 (Transparency), Art. 14 (Human Oversight), and Art. 15 (Accuracy, Robustness, Cybersecurity). Each article gets a compliance status, evidence list, gap analysis, and numeric score.
A 9-section governance posture report designed for cyber insurance underwriting. It covers deployment overview, governance controls, security posture, cost controls, compliance status, audit chain integrity, safety infrastructure, incident history, and health score - sealed with a SHA-256 cryptographic hash.
Pricing & licensing
The full MCP proxy with all 6 policy actions, 8 runtime security subsystems, 10-page dashboard, agent behavioral contracts, human-in-the-loop escalations, kill switch, and cost ceiling. No usage limits, no per-agent pricing. Free forever.
EU AI Act compliance engine (7 articles), compliance and insurability reports, GDPR erasure with PDF certificate, policy simulation, incident replay with narrative, forensic export with SHA-256 seal, policy and contract version history, webhooks, Slack, email alerts, and 180-day retention. €99/month.
Yes. Run pylae demo to explore the full dashboard with sample data. Demo mode includes all Pro features - compliance engine, policy simulation, incident replay - so you can evaluate everything before committing.
Security & data
Nowhere. Pylae is self-hosted - it runs on your infrastructure as a single binary with a local SQLite database. Audit trails, compliance evidence, and governance data never leave your systems. The only external call is license validation for Pro (one HTTPS request to license.pylae.net on startup).
Description firewall (30+ attack patterns), tool pinning (hash-based tamper detection), PII sanitization, blast radius scoring, circuit breaker (loop detection), adaptive posture (NORMAL→ELEVATED→HIGH→CRITICAL), auto-remediation (quarantine, rate-limit, block), and cross-server data flow control. All included in the Free tier.
Every action is logged with SHA-256 hashes chained in Merkle blocks. Each action references the previous hash, creating a tamper-evident chain. The compliance engine verifies chain coverage and integrity automatically. Gaps are detected and reported.
Pylae es un proxy transparente que se sitúa entre los agentes de IA (Claude Code, Cursor, Windsurf, etc.) y sus servidores MCP. Intercepta cada llamada a herramientas, aplica políticas configurables, ejecuta 8 subsistemas de seguridad y lo registra todo en una pista de auditoría resistente a manipulaciones, sin modificar ni el agente ni el servidor.
No. Basta con apuntar el agente a Pylae en lugar de directamente al servidor MCP. Pylae actúa como intermediario de forma transparente: el agente ve las mismas herramientas, el servidor recibe las mismas peticiones. Sin cambios de SDK ni modificaciones de código.
Un único binario, sin dependencias. Docker: docker run -p 8080:8080 ghcr.io/pylaelabs/pylae demo. O descárgalo desde GitHub Releases. Ejecuta pylae demo para explorar el panel de control con datos de ejemplo.
Cumplimiento del EU AI Act
Si tus agentes de IA califican créditos, filtran candidatos en procesos de selección, evalúan riesgos para seguros de vida y salud, o clasifican llamadas de emergencia, probablemente se enmarcan en el anexo III del EU AI Act como sistemas de alto riesgo. La aplicación obligatoria comienza el 2 de agosto de 2026. El incumplimiento conlleva multas de hasta 15 M € o el 3 % del volumen de negocios anual mundial de la empresa en el ejercicio anterior, la cifra que resulte mayor (art. 99, apartado 4).
Siete artículos: art. 9 (gestión de riesgos), art. 10 (gobernanza de datos), art. 11 (documentación técnica), art. 12 (conservación de registros), art. 13 (transparencia), art. 14 (supervisión humana) y art. 15 (precisión, robustez y ciberseguridad). Cada artículo recibe un estado de cumplimiento, lista de evidencias, análisis de carencias y puntuación numérica.
Un informe de postura de gobernanza en 9 secciones diseñado para la suscripción de ciberseguros. Cubre la visión general del despliegue, controles de gobernanza, postura de seguridad, controles de coste, estado de cumplimiento, integridad de la cadena de auditoría, infraestructura de seguridad, historial de incidentes y puntuación de salud, sellado con un hash criptográfico SHA-256.
Precios y licencias
El proxy MCP completo con las 6 acciones de política, 8 subsistemas de seguridad en tiempo de ejecución, panel de control de 10 páginas, contratos de comportamiento de agentes, escalados con intervención humana, kill switch y techo de coste. Sin límites de uso ni cobro por agente. Gratis para siempre.
Motor de cumplimiento del EU AI Act (7 artículos), informes de cumplimiento y asegurabilidad, supresión conforme al RGPD con certificado PDF, simulación de políticas, reproducción de incidentes con narrativa, exportación forense con sello SHA-256, historial de versiones de políticas y contratos, webhooks, alertas en Slack y correo electrónico, y 180 días de retención. 99 €/mes.
Sí. Ejecuta pylae demo para explorar el panel de control completo con datos de ejemplo. El modo demo incluye todas las funciones Pro (motor de cumplimiento, simulación de políticas, reproducción de incidentes) para que puedas evaluarlo todo antes de comprometerte.
Seguridad y datos
A ningún sitio. Pylae es autoalojado: se ejecuta en tu infraestructura como un único binario con una base de datos SQLite local. Las pistas de auditoría, las evidencias de cumplimiento y los datos de gobernanza nunca salen de tus sistemas. La única llamada externa es la validación de licencia para Pro (una petición HTTPS a license.pylae.net al arrancar).
Cortafuegos de descripción (más de 30 patrones de ataque), fijación de herramientas (detección de manipulación basada en hash), higienización de datos personales, puntuación de radio de impacto, disyuntor (detección de bucles), postura adaptativa (NORMAL, ELEVADO, ALTO, CRÍTICO), autorremediación (cuarentena, limitación de frecuencia, bloqueo) y control de flujo de datos entre servidores. Todo incluido en el nivel gratuito.
Cada acción se registra con hashes SHA-256 encadenados en bloques Merkle. Cada acción referencia el hash anterior, creando una cadena resistente a manipulaciones. El motor de cumplimiento verifica automáticamente la cobertura y la integridad de la cadena. Los huecos se detectan y se notifican.
¿Tienes alguna pregunta que no aparece aquí? Escríbenos