Memoria de Riesgo de Sesión (SRM): Autorización Temporal para Compuertas de Seguridad de Pre-ejecución Deterministas
Session Risk Memory (SRM): Temporal Authorization for Deterministic Pre-Execution Safety Gates
March 22, 2026
Autores: Florin Adrian Chitan
cs.AI
Resumen
Las compuertas de seguridad deterministas de pre-ejecución evalúan si las acciones individuales de un agente son compatibles con sus roles asignados. Si bien son efectivas para la autorización por acción, estos sistemas son estructuralmente ciegos a los ataques distribuidos que descomponen una intención dañina en múltiples pasos individualmente conformes. Este artículo presenta la Memoria de Riesgo de Sesión (SRM), un módulo determinista ligero que extiende las compuertas de ejecución sin estado con autorización a nivel de trayectoria. La SRM mantiene un centroide semántico compacto que representa el perfil conductual en evolución de una sesión de agente y acumula una señal de riesgo mediante una media móvil exponencial sobre las salidas de la compuerta tras sustraer la línea base. Opera sobre la misma representación vectorial semántica que la compuerta subyacente, sin requerir componentes de modelo adicionales, entrenamiento o inferencia probabilística. Evaluamos la SRM en un benchmark multi-turno de 80 sesiones que contienen escenarios de filtración lenta de datos, escalada gradual de privilegios y deriva de cumplimiento. Los resultados muestran que ILION+SRM alcanza F1 = 1.0000 con 0% de tasa de falsos positivos, comparado con ILION sin estado en F1 = 0.9756 con 5% de TFP, mientras mantiene una tasa de detección del 100% para ambos sistemas. Críticamente, la SRM elimina todos los falsos positivos con una sobrecarga por turno inferior a 250 microsegundos. El marco introduce una distinción conceptual entre la consistencia de autorización espacial (evaluada por acción) y la consistencia de autorización temporal (evaluada sobre la trayectoria), proporcionando una base fundamentada para la seguridad a nivel de sesión en sistemas agentivos.
English
Deterministic pre-execution safety gates evaluate whether individual agent actions are compatible with their assigned roles. While effective at per-action authorization, these systems are structurally blind to distributed attacks that decompose harmful intent across multiple individually-compliant steps. This paper introduces Session Risk Memory (SRM), a lightweight deterministic module that extends stateless execution gates with trajectory-level authorization. SRM maintains a compact semantic centroid representing the evolving behavioral profile of an agent session and accumulates a risk signal through exponential moving average over baseline-subtracted gate outputs. It operates on the same semantic vector representation as the underlying gate, requiring no additional model components, training, or probabilistic inference. We evaluate SRM on a multi-turn benchmark of 80 sessions containing slow-burn exfiltration, gradual privilege escalation, and compliance drift scenarios. Results show that ILION+SRM achieves F1 = 1.0000 with 0% false positive rate, compared to stateless ILION at F1 = 0.9756 with 5% FPR, while maintaining 100% detection rate for both systems. Critically, SRM eliminates all false positives with a per-turn overhead under 250 microseconds. The framework introduces a conceptual distinction between spatial authorization consistency (evaluated per action) and temporal authorization consistency (evaluated over trajectory), providing a principled basis for session-level safety in agentic systems.