Zum Inhalt springen
Neu: KI-Berichte in einfacher Sprache.
Scampilot
Für Entwickler & KI-Integratoren

JSON rein. JSON raus.

Ruf Scampilot auf wie Google Safe Browsing. Eine REST-Route für Klassiker, ein MCP-Server für deinen Claude-Agenten, eine Browser-Erweiterung für deine User. Strukturierte Antworten - keine Freitext-Roulette.

API-Token erstellen API-Dokumentation
v1 stabilp95 4,8 s2880 req/day pro NutzerOpenAPI 3.1
# Token aus Dashboard holen
export SCAMPILOT_TOKEN="sk_live_…"

# Nachricht analysieren
curl https://scampilot.de/api/v1/scan \
  -H "Authorization: Bearer $SCAMPILOT_TOKEN" \
  -H "Content-Type: application/json" \
  -d '{
    "content": "Ihr Konto wird in 24 Std…",
    "locale": "de"
  }'

# Strukturierte Antwort
{
  "verdict": "danger",
  "confidence": 94,
  "summary_plain": "Phishing-Versuch …",
  "actions": [...],
  "signals": [...],
  "model_used": "gpt-5-mini"
}
01
Vier Integrationswege

Such dir den passenden aus.

Egal ob Backend-Service, KI-Agent, Browser-User oder Chat-Bot - eine Pipeline, vier Adapter.

REST-API

Empfohlen

Bearer-Token, Per-User-Bucket-Rate-Limit, JSON-Body, OpenAPI 3.1 Spec auto-generiert.

POST /api/v1/scanGET /api/v1/reports

MCP-Server

Für KI-Agenten

Model Context Protocol - dein Claude, Cursor oder Continue.dev sieht Scampilot als Werkzeug. HTTP- oder stdio-Transport.

scan_textscan_urlscan_email

Browser-Erweiterung

Bald

Chrome & Firefox, MV3. Rechtsklick auf markierten Text oder Link → Prüfung im Popup. Antwort ohne Seitenwechsel. Bald verfügbar - wir arbeiten daran.

Telegram-Bot

Webhook-basiert

Eigenen Bot bauen? Geh den Weg über die REST-API. Oder verlinke deine User auf @scampilot_bot mit einem /link-Code.

02
Anatomie eines API-Calls

Vorhersagbare Form. Stabile Verträge.

Wir versionieren über die URL, nicht über Header. Das Verdict-Enum ist auf 3 Werte fixiert. Signal-Keys sind stabile Slugs.

Request

POST /api/v1/scan HTTP/1.1
Authorization: Bearer sk_live_…
Content-Type: application/json
X-Request-ID: 9f2c1b3a-…

{
  "kind":    "email",
  "content": "From: support@spk-verify.io…",
  "locale":  "de",
  "hints": {
    "source_app": "my-extension"
  }
}

Response

HTTP/1.1 200 OK
X-Request-ID: 9f2c1b3a-…
X-RateLimit-Remaining: 117

{
  "id": "rpt_8f2a1c…",
  "verdict": "danger",
  "confidence": 94,
  "summary_plain": "Phishing-Versuch …",
  "actions": [
    { "icon": "❌", "text": "Klicke auf keinen Link." }
  ],
  "signals": [
    {
      "key": "credential_request",
      "severity": "high",
      "evidence": "„bestätigen Sie umgehend Ihr Passwort"
    }
  ],
  "model_used": "gpt-5-mini",
  "input_tokens": 1842,
  "output_tokens": 412
}
MCP-Server

Dein Claude bekommt einen Co-Piloten.

Model Context Protocol - der offene Standard für KI-Werkzeuge. Hänge Scampilot an deinen Claude-, Cursor- oder Continue.dev-Workflow, und der Agent entscheidet selbst, wann er einen Link prüft.

Tool
scan_text - Klartext-Inhalt prüfen.
Tool
scan_url - Einzelne URL gegen Reputation prüfen.
Tool
scan_email - Vollständige Mail inkl. Headers.
Tool
list_my_recent_reports - Letzte Prüfungen.
Prompt
explain_report_to_my_parent - Bericht in einfache Sprache übersetzen.
Resource
signals_glossary - Was bedeutet jeder Signal-Key.

Claude Desktop Config

{
  "mcpServers": {
    "scampilot": {
      "transport": "http",
      "url": "https://scampilot.de/mcp/scampilot",
      "headers": {
        "Authorization": "Bearer sk_live_…"
      }
    }
  }
}

Lokal als stdio

# In deiner App / im Editor:
php artisan mcp:start scampilot
# → stdin/stdout MCP-Channel
Quoten & Limits

Vorhersagbar. Nicht überraschend.

AuthentifizierungBearer-Token mit Abilities pro Token (scan:create, reports:read).
Rate-Limit2880 Requests pro Tag pro Nutzer-Bucket. Mehrere Tokens teilen sich das Bucket.
PayloadMax 64 KB pro Anfrage. PDF-/DOCX-Anhänge separat per Multipart, OCR vor der Analyse.
WebhooksAsynchron für lange Analysen. Geheimnis ist Pfad-Suffix - rotierbar.
OpenAPI 3.1

Spec live - immer aktuell.

Die Spec wird aus den PHP-Annotationen generiert. Kein Drift zwischen Doku und Code. Clients in jeder Sprache generierbar.

scampilot.de/docs/api
live
POST/api/v1/scan
GET/api/v1/reports
GET/api/v1/reports/{public_id}
DELETE/api/v1/reports/{public_id}
GET/health
03
Was du noch erwarten darfst

Versprechen, die in der Doku stehen - nicht nur auf der Marketing-Seite.

X-Request-ID

Jeder Request bekommt eine. Wenn du sie mitschickst, echoen wir sie. Logs, Telemetrie-Events, Antwort-Header - alles korreliert.

Strukturierte Fehler

Keine Stack-Traces im Body. {type, title, status, detail} nach Problem Details (RFC 7807).

Heuristik-Fallback

Wenn der KI-Anbieter streikt, antwortet die Heuristik. model_used = "heuristic-fallback". Der Client merkt es.

Token-Buchhaltung

Pro Bericht: input_tokens, output_tokens, model_used. Kosten je Anfrage exakt zuordenbar.

24 h URL-Cache

Google Safe Browsing und PhishTank werden aggressiv gecached. Du zahlst nicht für identische URL-Prüfungen.

Beweis-Felder

Jedes Signal verweist auf die konkrete Stelle in der Eingabe. Du kannst dem Endnutzer das warum zeigen.