Zum Inhalt springen
Für Entwickler & KI-Integratoren

Is-this-real? als API & MCP.

JSON rein, JSON raus - in der Form, in der du Safe Browsing schon aufrufst. Plus ein MCP-Server, damit dein KI-Agent dieselbe Frage beantworten kann. Stabile Verträge, kein Anwalt zum Vertrag.

v1 stabilp95 4,8 s10 req/day pro NutzerOpenAPI 3.1
# Token aus Dashboard holen
export SCAMPILOT_TOKEN="sk_live_…"

# Nachricht analysieren
curl https://scampilot.de/api/v1/scan \
  -H "Authorization: Bearer $SCAMPILOT_TOKEN" \
  -H "Content-Type: application/json" \
  -d '{
    "content": "Ihr Konto wird in 24 Std…",
    "locale": "de"
  }'

# Strukturierte Antwort
{
  "verdict": "danger",
  "confidence": 94,
  "summary_plain": "Phishing-Versuch …",
  "actions": [...],
  "signals": [...],
  "model_used": "gpt-5-mini"
}
01
Vier Integrationswege

Such dir den passenden aus.

Egal ob Backend-Service, KI-Agent, Browser-User oder Chat-Bot - eine Pipeline, vier Adapter.

REST-API

Empfohlen

Bearer-Token, Per-User-Bucket-Rate-Limit, JSON-Body, OpenAPI 3.1 Spec auto-generiert.

POST /api/v1/scanGET /api/v1/reports

MCP-Server

Für KI-Agenten

Model Context Protocol - dein Claude, Cursor oder Continue.dev sieht Scampilot als Werkzeug. HTTP-Transport.

scan_textscan_urlscan_email

Browser-Erweiterung

Chrome MV3

Rechtsklick auf markierten Text, Link oder Bild → Prüfung in der Seitenleiste. Antwort ohne Seitenwechsel, inklusive QR-Code-Erkennung auf der Seite.

Telegram-Bot

Webhook-basiert

Eigenen Bot bauen? Geh den Weg über die REST-API. Oder verlinke deine User auf @scampilot_bot mit einem /link-Code.

02
Die REST-API

Ein Endpoint, ein Urteil.

Bearer-Token mit Abilities, OpenAPI 3.1, Per-User-Bucket-Rate-Limit. Wir versionieren über die URL, nicht über Header. Das Verdict-Enum ist auf 3 Werte fixiert.

Anfrage

POST /api/v1/scan HTTP/1.1
Authorization: Bearer sk_live_…
Content-Type: application/json
X-Request-ID: 9f2c1b3a-…

{
  "kind":    "email",
  "content": "From: support@spk-verify.io…",
  "locale":  "de",
  "hints": {
    "source_app": "my-extension"
  }
}

Antwort

HTTP/1.1 200 OK
X-Request-ID: 9f2c1b3a-…
X-RateLimit-Remaining: 117

{
  "id": "rpt_8f2a1c…",
  "verdict": "danger",
  "confidence": 94,
  "summary_plain": "Phishing-Versuch …",
  "actions": [
    { "icon": "❌", "text": "Klicke auf keinen Link." }
  ],
  "signals": [
    {
      "key": "credential_request",
      "severity": "high",
      "evidence": "„bestätigen Sie umgehend Ihr Passwort"
    }
  ],
  "model_used": "gpt-5-mini",
  "input_tokens": 1842,
  "output_tokens": 412
}
03
Der MCP-Server

Phishing-Schutz für deinen KI-Agenten.

Einer der ersten Verbraucherschutz-MCP-Server. Tools für Claude, Cursor & Co. - über HTTP. Der Agent entscheidet selbst, wann er einen Link prüft.

Tool
scan_text - Klartext-Inhalt prüfen.
Tool
scan_url - Einzelne URL gegen Reputation prüfen.
Tool
scan_email - Vollständige Mail inkl. Headers.
Tool
scan_image - Screenshot oder Bild analysieren (OCR + Vision).
Tool
list_my_recent_reports - Letzte Prüfungen.
Prompt
explain_report_to_my_parent - Bericht in einfache Sprache übersetzen.
Resource
signals_glossary - Was bedeutet jeder Signal-Key.

Claude-Desktop-Konfiguration

{
  "mcpServers": {
    "scampilot": {
      "transport": "http",
      "url": "https://scampilot.de/mcp/scampilot",
      "headers": {
        "Authorization": "Bearer sk_live_…"
      }
    }
  }
}
Quoten & Limits

Vorhersagbar. Nicht überraschend.

AuthentifizierungBearer-Token mit Abilities pro Token (scan:create, reports:read).
Rate-Limit10 Requests pro Tag pro Nutzer-Bucket. Mehrere Tokens teilen sich das Bucket.
PayloadMax 64 KB pro Anfrage. PDF-/DOCX-Anhänge separat per Multipart, OCR vor der Analyse.
WebhooksAsynchron für lange Analysen. Geheimnis ist Pfad-Suffix - rotierbar.
OpenAPI 3.1

Spec live - immer aktuell.

Die Spec wird aus den PHP-Annotationen generiert. Kein Drift zwischen Doku und Code. Clients in jeder Sprache generierbar.

scampilot.de/docs/api
live
POST/api/v1/scan
GET/api/v1/reports
GET/api/v1/reports/{public_id}
DELETE/api/v1/reports/{public_id}
GET/health
04
Verträge

Gebaut, um sich darauf zu verlassen.

Versprechen, die in der Doku stehen - nicht nur auf der Marketing-Seite.

OpenAPI 3.1

Live-Spec unter /docs/api, aus den PHP-Annotationen generiert. Kein Drift zwischen Doku und Code - generiere dir deinen Client in jeder Sprache.

Stabile Versionen

Versioniert über die URL, nicht über Header. Das Verdict-Enum ist auf 3 Werte fixiert, Signal-Keys sind stabile Slugs. Deprecations werden angekündigt.

DPA ohne Drama

EU-Hosting (Frankfurt & Falkenstein), namentliche Subprozessorenliste, kein Modelltraining auf deinen Inhalten, kein Datenverkauf.

X-Request-ID

Jeder Request bekommt eine. Wenn du sie mitschickst, echoen wir sie. Logs, Telemetrie-Events, Antwort-Header - alles korreliert.

Strukturierte Fehler

Keine Stack-Traces im Body. {type, title, status, detail} nach Problem Details (RFC 7807).

Heuristik-Fallback

Wenn der KI-Anbieter streikt, antwortet die Heuristik. model_used = "heuristic-fallback". Der Client merkt es.

Token-Buchhaltung

Pro Bericht: input_tokens, output_tokens, model_used. Kosten je Anfrage exakt zuordenbar.

24 h URL-Cache

Google Safe Browsing und PhishTank werden aggressiv gecached. Du zahlst nicht für identische URL-Prüfungen.

Beweis-Felder

Jedes Signal verweist auf die konkrete Stelle in der Eingabe. Du kannst dem Endnutzer das warum zeigen.

05
Preise

Bezahl nur, was du prüfst.

Privat-Nutzung bleibt kostenlos. Für Produktiv-Volumen rechnen wir pro geprüfter Nachricht ab - kein Sitzplatz-Abo, keine Mindestgebühr.

€5/ 1.000 Prüfungen

Richtpreis für die Beta. REST + MCP, gleiche Engine wie die App. Volumen-Staffeln auf Anfrage.

Zugang anfragen

Häufige Fragen

Wie rufe ich die Scampilot-API auf?

JSON rein, JSON raus, authentifiziert über Bearer-Tokens. Es gibt eine OpenAPI-3.1-Spezifikation; die API teilt sich das Tageskontingent mit der Web-Oberfläche.

Gibt es einen MCP-Server für KI-Agenten?

Ja. Der Model-Context-Protocol-Server bietet Tools wie scan_text, scan_url, scan_email, scan_qr und scan_links für Agenten wie Claude - per HTTP oder stdio.

Welche Rate-Limits gelten?

Anonyme Aufrufe sind auf 3 Prüfungen pro Tag begrenzt, registrierte auf 10; für höhere Volumina gibt es den Business-Tarif.