Mémoire de Risque de Session (SRM) : Autorisation Temporelle pour des Barrières de Sécurité Déterministes en Pré-exécution
Session Risk Memory (SRM): Temporal Authorization for Deterministic Pre-Execution Safety Gates
March 22, 2026
Auteurs: Florin Adrian Chitan
cs.AI
Résumé
Les portiques de sécurité déterministes en pré-exécution évaluent si les actions individuelles d'un agent sont compatibles avec ses rôles assignés. Bien qu'efficaces pour l'autorisation action par action, ces systèmes sont structurellement aveugles aux attaques distribuées qui décomposent une intention malveillante en plusieurs étapes individuellement conformes. Cet article présente la Mémoire de Risque de Session (SRM), un module déterministe léger qui étend les portiques d'exécution sans état avec une autorisation au niveau de la trajectoire. SRM maintient un centroïde sémantique compact représentant le profil comportemental évolutif d'une session d'agent et accumule un signal de risque via une moyenne mobile exponentielle sur les sorties des portiques après soustraction de la ligne de base. Il opère sur la même représentation vectorielle sémantique que le portique sous-jacent, ne nécessitant aucun composant modèle supplémentaire, entraînement ou inférence probabiliste. Nous évaluons SRM sur un benchmark multi-tours de 80 sessions contenant des scénarios d'exfiltration lente, d'élévation de privilèges graduelle et de dérive de conformité. Les résultats montrent que ILION+SRM atteint F1 = 1,0000 avec 0% de taux de faux positifs, contre F1 = 0,9756 avec 5% de FPR pour ILION sans état, tout en maintenant un taux de détection de 100% pour les deux systèmes. Fait crucial, SRM élimine tous les faux positifs avec une surcharge par tour inférieure à 250 microsecondes. Le cadre introduit une distinction conceptuelle entre la cohérence d'autorisation spatiale (évaluée par action) et la cohérence d'autorisation temporelle (évaluée sur la trajectoire), fournissant une base principielle pour la sécurité au niveau session dans les systèmes agentiels.
English
Deterministic pre-execution safety gates evaluate whether individual agent actions are compatible with their assigned roles. While effective at per-action authorization, these systems are structurally blind to distributed attacks that decompose harmful intent across multiple individually-compliant steps. This paper introduces Session Risk Memory (SRM), a lightweight deterministic module that extends stateless execution gates with trajectory-level authorization. SRM maintains a compact semantic centroid representing the evolving behavioral profile of an agent session and accumulates a risk signal through exponential moving average over baseline-subtracted gate outputs. It operates on the same semantic vector representation as the underlying gate, requiring no additional model components, training, or probabilistic inference. We evaluate SRM on a multi-turn benchmark of 80 sessions containing slow-burn exfiltration, gradual privilege escalation, and compliance drift scenarios. Results show that ILION+SRM achieves F1 = 1.0000 with 0% false positive rate, compared to stateless ILION at F1 = 0.9756 with 5% FPR, while maintaining 100% detection rate for both systems. Critically, SRM eliminates all false positives with a per-turn overhead under 250 microseconds. The framework introduces a conceptual distinction between spatial authorization consistency (evaluated per action) and temporal authorization consistency (evaluated over trajectory), providing a principled basis for session-level safety in agentic systems.