Memoria del Rischio di Sessione (SRM): Autorizzazione Temporale per Cancelli di Sicurezza a Pre-Esecuzione Deterministica
Session Risk Memory (SRM): Temporal Authorization for Deterministic Pre-Execution Safety Gates
March 22, 2026
Autori: Florin Adrian Chitan
cs.AI
Abstract
I gate di sicurezza deterministici a pre-esecuzione valutano se le singole azioni di un agente sono compatibili con i ruoli loro assegnati. Sebbene efficaci per l'autorizzazione per singola azione, questi sistemi sono strutturalmente ciechi agli attacchi distribuiti che scompongono un'intenzione dannosa in più passi individualmente conformi. Questo articolo introduce la Memoria del Rischio di Sessione (SRM), un modulo deterministico leggero che estende i gate di esecuzione senza stato con l'autorizzazione a livello di traiettoria. SRM mantiene un centroide semantico compatto che rappresenta il profilo comportamentale evolutivo di una sessione agente e accumula un segnale di rischio attraverso una media mobile esponenziale sugli output del gate sottratti al valore baseline. Opera sulla stessa rappresentazione vettoriale semantica del gate sottostante, non richiedendo componenti modellistici aggiuntivi, training o inferenza probabilistica. Valutiamo SRM su un benchmark multi-turn di 80 sessioni contenenti scenari di esfiltrazione lenta, escalation dei privilegi graduale e deriva della conformità. I risultati mostrano che ILION+SRM raggiunge un F1 = 1.0000 con tasso di falsi positivi dello 0%, rispetto a ILION senza stato che ha F1 = 0.9756 con FPR del 5%, mantenendo un tasso di rilevamento del 100% per entrambi i sistemi. Fondamentalmente, SRM elimina tutti i falsi positivi con un overhead per turno inferiore a 250 microsecondi. Il framework introduce una distinzione concettuale tra coerenza autorizzativa spaziale (valutata per azione) e coerenza autorizzativa temporale (valutata sulla traiettoria), fornendo una base principiata per la sicurezza a livello di sessione nei sistemi agentivi.
English
Deterministic pre-execution safety gates evaluate whether individual agent actions are compatible with their assigned roles. While effective at per-action authorization, these systems are structurally blind to distributed attacks that decompose harmful intent across multiple individually-compliant steps. This paper introduces Session Risk Memory (SRM), a lightweight deterministic module that extends stateless execution gates with trajectory-level authorization. SRM maintains a compact semantic centroid representing the evolving behavioral profile of an agent session and accumulates a risk signal through exponential moving average over baseline-subtracted gate outputs. It operates on the same semantic vector representation as the underlying gate, requiring no additional model components, training, or probabilistic inference. We evaluate SRM on a multi-turn benchmark of 80 sessions containing slow-burn exfiltration, gradual privilege escalation, and compliance drift scenarios. Results show that ILION+SRM achieves F1 = 1.0000 with 0% false positive rate, compared to stateless ILION at F1 = 0.9756 with 5% FPR, while maintaining 100% detection rate for both systems. Critically, SRM eliminates all false positives with a per-turn overhead under 250 microseconds. The framework introduces a conceptual distinction between spatial authorization consistency (evaluated per action) and temporal authorization consistency (evaluated over trajectory), providing a principled basis for session-level safety in agentic systems.