Is-this-real? als API & MCP.
JSON rein, JSON raus - in der Form, in der du Safe Browsing schon aufrufst. Plus ein MCP-Server, damit dein KI-Agent dieselbe Frage beantworten kann. Stabile Verträge, kein Anwalt zum Vertrag.
# Token aus Dashboard holen
export SCAMPILOT_TOKEN="sk_live_…"
# Nachricht analysieren
curl https://scampilot.de/api/v1/scan \
-H "Authorization: Bearer $SCAMPILOT_TOKEN" \
-H "Content-Type: application/json" \
-d '{
"content": "Ihr Konto wird in 24 Std…",
"locale": "de"
}'
# Strukturierte Antwort
{
"verdict": "danger",
"confidence": 94,
"summary_plain": "Phishing-Versuch …",
"actions": [...],
"signals": [...],
"model_used": "gpt-5-mini"
}Such dir den passenden aus.
Egal ob Backend-Service, KI-Agent, Browser-User oder Chat-Bot - eine Pipeline, vier Adapter.
REST-API
EmpfohlenBearer-Token, Per-User-Bucket-Rate-Limit, JSON-Body, OpenAPI 3.1 Spec auto-generiert.
MCP-Server
Für KI-AgentenModel Context Protocol - dein Claude, Cursor oder Continue.dev sieht Scampilot als Werkzeug. HTTP-Transport.
Browser-Erweiterung
Chrome MV3Rechtsklick auf markierten Text, Link oder Bild → Prüfung in der Seitenleiste. Antwort ohne Seitenwechsel, inklusive QR-Code-Erkennung auf der Seite.
Telegram-Bot
Webhook-basiertEigenen Bot bauen? Geh den Weg über die REST-API. Oder verlinke deine User auf @scampilot_bot mit einem /link-Code.
Ein Endpoint, ein Urteil.
Bearer-Token mit Abilities, OpenAPI 3.1, Per-User-Bucket-Rate-Limit. Wir versionieren über die URL, nicht über Header. Das Verdict-Enum ist auf 3 Werte fixiert.
Anfrage
POST /api/v1/scan HTTP/1.1
Authorization: Bearer sk_live_…
Content-Type: application/json
X-Request-ID: 9f2c1b3a-…
{
"kind": "email",
"content": "From: support@spk-verify.io…",
"locale": "de",
"hints": {
"source_app": "my-extension"
}
}Antwort
HTTP/1.1 200 OK
X-Request-ID: 9f2c1b3a-…
X-RateLimit-Remaining: 117
{
"id": "rpt_8f2a1c…",
"verdict": "danger",
"confidence": 94,
"summary_plain": "Phishing-Versuch …",
"actions": [
{ "icon": "❌", "text": "Klicke auf keinen Link." }
],
"signals": [
{
"key": "credential_request",
"severity": "high",
"evidence": "„bestätigen Sie umgehend Ihr Passwort"
}
],
"model_used": "gpt-5-mini",
"input_tokens": 1842,
"output_tokens": 412
}Phishing-Schutz für deinen KI-Agenten.
Einer der ersten Verbraucherschutz-MCP-Server. Tools für Claude, Cursor & Co. - über HTTP. Der Agent entscheidet selbst, wann er einen Link prüft.
Claude-Desktop-Konfiguration
{
"mcpServers": {
"scampilot": {
"transport": "http",
"url": "https://scampilot.de/mcp/scampilot",
"headers": {
"Authorization": "Bearer sk_live_…"
}
}
}
}Vorhersagbar. Nicht überraschend.
| Authentifizierung | Bearer-Token mit Abilities pro Token (scan:create, reports:read). |
| Rate-Limit | 10 Requests pro Tag pro Nutzer-Bucket. Mehrere Tokens teilen sich das Bucket. |
| Payload | Max 64 KB pro Anfrage. PDF-/DOCX-Anhänge separat per Multipart, OCR vor der Analyse. |
| Webhooks | Asynchron für lange Analysen. Geheimnis ist Pfad-Suffix - rotierbar. |
Spec live - immer aktuell.
Die Spec wird aus den PHP-Annotationen generiert. Kein Drift zwischen Doku und Code. Clients in jeder Sprache generierbar.
Gebaut, um sich darauf zu verlassen.
Versprechen, die in der Doku stehen - nicht nur auf der Marketing-Seite.
OpenAPI 3.1
Live-Spec unter /docs/api, aus den PHP-Annotationen generiert. Kein Drift zwischen Doku und Code - generiere dir deinen Client in jeder Sprache.
Stabile Versionen
Versioniert über die URL, nicht über Header. Das Verdict-Enum ist auf 3 Werte fixiert, Signal-Keys sind stabile Slugs. Deprecations werden angekündigt.
DPA ohne Drama
EU-Hosting (Frankfurt & Falkenstein), namentliche Subprozessorenliste, kein Modelltraining auf deinen Inhalten, kein Datenverkauf.
X-Request-ID
Jeder Request bekommt eine. Wenn du sie mitschickst, echoen wir sie. Logs, Telemetrie-Events, Antwort-Header - alles korreliert.
Strukturierte Fehler
Keine Stack-Traces im Body. {type, title, status, detail} nach Problem Details (RFC 7807).
Heuristik-Fallback
Wenn der KI-Anbieter streikt, antwortet die Heuristik. model_used = "heuristic-fallback". Der Client merkt es.
Token-Buchhaltung
Pro Bericht: input_tokens, output_tokens, model_used. Kosten je Anfrage exakt zuordenbar.
24 h URL-Cache
Google Safe Browsing und PhishTank werden aggressiv gecached. Du zahlst nicht für identische URL-Prüfungen.
Beweis-Felder
Jedes Signal verweist auf die konkrete Stelle in der Eingabe. Du kannst dem Endnutzer das warum zeigen.
Bezahl nur, was du prüfst.
Privat-Nutzung bleibt kostenlos. Für Produktiv-Volumen rechnen wir pro geprüfter Nachricht ab - kein Sitzplatz-Abo, keine Mindestgebühr.
Richtpreis für die Beta. REST + MCP, gleiche Engine wie die App. Volumen-Staffeln auf Anfrage.
Zugang anfragen
Häufige Fragen
Wie rufe ich die Scampilot-API auf?
JSON rein, JSON raus, authentifiziert über Bearer-Tokens. Es gibt eine OpenAPI-3.1-Spezifikation; die API teilt sich das Tageskontingent mit der Web-Oberfläche.
Gibt es einen MCP-Server für KI-Agenten?
Ja. Der Model-Context-Protocol-Server bietet Tools wie scan_text, scan_url, scan_email, scan_qr und scan_links für Agenten wie Claude - per HTTP oder stdio.
Welche Rate-Limits gelten?
Anonyme Aufrufe sind auf 3 Prüfungen pro Tag begrenzt, registrierte auf 10; für höhere Volumina gibt es den Business-Tarif.
