Sessie Risico Geheugen (SRG): Tijdelijke Autorisatie voor Deterministische Veiligheidsvoorzieningen bij Pre-Executie
Session Risk Memory (SRM): Temporal Authorization for Deterministic Pre-Execution Safety Gates
March 22, 2026
Auteurs: Florin Adrian Chitan
cs.AI
Samenvatting
Deterministische veiligheidscontroles voor pre-uitvoering evalueren of individuele agentacties compatibel zijn met hun toegewezen rollen. Hoewel ze effectief zijn voor autorisatie per actie, zijn deze systemen structureel blind voor gedistribueerde aanvallen die schadelijke intentie verdelen over meerdere individueel-conforme stappen. Dit artikel introduceert Session Risk Memory (SRM), een lichtgewicht deterministische module die stateless uitvoeringscontroles uitbreidt met autorisatie op trajectniveau. SRM onderhoudt een compacte semantische centroid die het evoluerende gedragsprofiel van een agentsessie vertegenwoordigt en accumuleert een risicosignaal via exponentieel voortschrijdend gemiddelde over baseline-gesubtraheerde controle-uitvoer. Het werkt op dezelfde semantische vectorrepresentatie als de onderliggende controle, vereist geen extra modelcomponenten, training of probabilistische inferentie. We evalueren SRM op een multi-turn benchmark van 80 sessies met slow-burn exfiltratie, geleidelijke privilege-escalatie en compliance drift-scenario's. Resultaten tonen aan dat ILION+SRM een F1 = 1,0000 bereikt met 0% false positive rate, vergeleken met stateless ILION op F1 = 0,9756 met 5% FPR, terwijl beide systemen een detectierate van 100% behouden. Cruciaal is dat SRM alle false positives elimineert met een overhead per beurt van minder dan 250 microseconden. Het framework introduceert een conceptueel onderscheid tussen ruimtelijke autorisatieconsistentie (geëvalueerd per actie) en temporele autorisatieconsistentie (geëvalueerd over een traject), en biedt zo een principiële basis voor veiligheid op sessieniveau in agent-systemen.
English
Deterministic pre-execution safety gates evaluate whether individual agent actions are compatible with their assigned roles. While effective at per-action authorization, these systems are structurally blind to distributed attacks that decompose harmful intent across multiple individually-compliant steps. This paper introduces Session Risk Memory (SRM), a lightweight deterministic module that extends stateless execution gates with trajectory-level authorization. SRM maintains a compact semantic centroid representing the evolving behavioral profile of an agent session and accumulates a risk signal through exponential moving average over baseline-subtracted gate outputs. It operates on the same semantic vector representation as the underlying gate, requiring no additional model components, training, or probabilistic inference. We evaluate SRM on a multi-turn benchmark of 80 sessions containing slow-burn exfiltration, gradual privilege escalation, and compliance drift scenarios. Results show that ILION+SRM achieves F1 = 1.0000 with 0% false positive rate, compared to stateless ILION at F1 = 0.9756 with 5% FPR, while maintaining 100% detection rate for both systems. Critically, SRM eliminates all false positives with a per-turn overhead under 250 microseconds. The framework introduces a conceptual distinction between spatial authorization consistency (evaluated per action) and temporal authorization consistency (evaluated over trajectory), providing a principled basis for session-level safety in agentic systems.