Memória de Risco de Sessão (SRM): Autorização Temporal para Portas de Segurança de Pré-Execução Determinística
Session Risk Memory (SRM): Temporal Authorization for Deterministic Pre-Execution Safety Gates
March 22, 2026
Autores: Florin Adrian Chitan
cs.AI
Resumo
Portões de segurança determinísticos de pré-execução avaliam se ações individuais de agentes são compatíveis com suas funções atribuídas. Embora eficazes na autorização por ação, esses sistemas são estruturalmente cegos a ataques distribuídos que decompõem intenções maliciosas em múltiplas etapas individualmente conformes. Este artigo apresenta o Memória de Risco de Sessão (SRM), um módulo determinístico de baixo custo computacional que estende os portões de execução sem estado com autorização em nível de trajetória. O SRM mantém um centróide semântico compacto que representa o perfil comportamental em evolução de uma sessão de agente e acumula um sinal de risco através da média móvel exponencial sobre as saídas dos portões subtraídas da linha de base. Ele opera na mesma representação vetorial semântica do portão subjacente, não requerendo componentes de modelo adicionais, treinamento ou inferência probabilística. Avaliamos o SRM em um benchmark multi-turn de 80 sessões contendo cenários de exfiltração lenta, escalação gradual de privilégios e desvio de conformidade. Os resultados mostram que ILION+SRM alcança F1 = 1,0000 com 0% de taxa de falsos positivos, comparado ao ILION sem estado com F1 = 0,9756 e 5% de FPR, enquanto mantém 100% de taxa de detecção para ambos os sistemas. Criticalmente, o SRM elimina todos os falsos positivos com uma sobrecarga por turno inferior a 250 microssegundos. O framework introduz uma distinção conceitual entre consistência de autorização espacial (avaliada por ação) e consistência de autorização temporal (avaliada ao longo da trajetória), fornecendo uma base fundamentada para a segurança em nível de sessão em sistemas agentivos.
English
Deterministic pre-execution safety gates evaluate whether individual agent actions are compatible with their assigned roles. While effective at per-action authorization, these systems are structurally blind to distributed attacks that decompose harmful intent across multiple individually-compliant steps. This paper introduces Session Risk Memory (SRM), a lightweight deterministic module that extends stateless execution gates with trajectory-level authorization. SRM maintains a compact semantic centroid representing the evolving behavioral profile of an agent session and accumulates a risk signal through exponential moving average over baseline-subtracted gate outputs. It operates on the same semantic vector representation as the underlying gate, requiring no additional model components, training, or probabilistic inference. We evaluate SRM on a multi-turn benchmark of 80 sessions containing slow-burn exfiltration, gradual privilege escalation, and compliance drift scenarios. Results show that ILION+SRM achieves F1 = 1.0000 with 0% false positive rate, compared to stateless ILION at F1 = 0.9756 with 5% FPR, while maintaining 100% detection rate for both systems. Critically, SRM eliminates all false positives with a per-turn overhead under 250 microseconds. The framework introduces a conceptual distinction between spatial authorization consistency (evaluated per action) and temporal authorization consistency (evaluated over trajectory), providing a principled basis for session-level safety in agentic systems.