Session Risk Memory (SRM): Temporal Authorization for Deterministic Pre-Execution Safety Gates

Diese Arbeit stellt SRM (Session Risk Memory) vor, einen leichten deterministischen Modul, der durch die Analyse von Trajektorien auf Basis semantischer Zentren die Sicherheit von Agentensystemen verbessert, indem es verteilte Angriffe erkennt und gleichzeitig die Fehlalarmrate im Vergleich zu zustandslosen Gate-Systemen eliminiert.

Das Wesentliche

Stell dir vor, du hast einen sehr strengen, aber klugen Türsteher für ein exklusives Clubhaus. Dieser Türsteher ist der ILION-Wächter aus dem Paper. Seine Aufgabe ist es, jeden einzelnen Gast zu prüfen, bevor er hereinkommt.

Hier ist die einfache Erklärung der neuen Erfindung, SRM (Session Risk Memory), wie sie im Paper beschrieben wird, mit ein paar anschaulichen Vergleichen:

1. Das Problem: Der "schleichende Dieb"

Der Türsteher (ILION) ist extrem gut darin, sofort zu erkennen, wenn jemand versucht, mit einer Waffe hereinzukommen oder einen falschen Ausweis vorzeigt. Er prüft jede einzelne Handlung: "Darf dieser Gast jetzt ein Glas Wasser holen? Ja. Darf er jetzt einen Stuhl verschieben? Ja."

Aber der Türsteher hat ein kleines Blindspot: Er vergisst, was der Gast vorher getan hat.
Stell dir einen Dieb vor, der nicht mit einer Waffe hereinkommt. Stattdessen macht er harmlose Dinge:

1. Er fragt nach dem Öffnungszeitenplan (harmlos).
2. Er macht ein Foto von der Wand (harmlos).
3. Er nimmt eine Broschüre mit (harmlos).
4. Er läuft zur Hintertür und wirft die Broschüre hinaus (harmlos).
5. Er kommt wieder rein und wirft die Broschüre noch einmal hinaus...

Jeder einzelne Schritt ist für den Türsteher erlaubt. Aber wenn man die Reihe der Schritte betrachtet, ist das ein klarer Diebstahl. Der Türsteher sieht nur die einzelnen Schritte, nicht das große Bild. Das nennt man im Paper einen "verteidigten Angriff" (distributed attack).

2. Die Lösung: SRM – Der "Gedächtnis-Beobachter"

Hier kommt SRM ins Spiel. Stell dir SRM als einen zweiten Mitarbeiter vor, der neben dem Türsteher steht. Dieser Mitarbeiter hat ein kurzes Gedächtnis und einen Warn-Index.

• Der Türsteher (ILION) schaut nur auf die aktuelle Handlung (Raum-Zeit-Konsistenz).
• SRM schaut auf die Reihe der Handlungen (Zeit-Konsistenz).

Wie funktioniert SRM?

1. Der "Wärmebild"-Start: Wenn ein Gast (der Agent) den Club betritt, ignoriert SRM die ersten paar Schritte. Es ist wie eine "Aufwärmphase". Der Gast könnte ein Sicherheitsbeauftragter sein, der viel herumläuft und viele Dinge prüft. Das ist normal. SRM lernt also erst, wie "normal" dieser Gast ist.
2. Der Warn-Index: Sobald der Gast warm ist, fängt SRM an zu zählen. Wenn der Gast Dinge tut, die etwas riskanter sind als sein persönlicher Durchschnitt, steigt ein kleiner Warn-Index.
3. Der "Kipppunkt": Solange der Index niedrig ist, ist alles okay. Aber wenn der Index einen bestimmten Wert erreicht (weil der Gast langsam aber sicher Dinge tut, die zusammen ein Problem ergeben), sagt SRM: "Stopp! Die Geschichte passt nicht mehr zusammen!" und sperrt den Gast aus.

3. Die zwei Arten von Sicherheit

Das Paper unterscheidet zwei Dinge, die wir brauchen:

• Räumliche Sicherheit (Der Türsteher): "Ist diese eine Handlung erlaubt?" (Ja/Nein).
• Zeitliche Sicherheit (SRM): "Macht diese Abfolge von Handlungen Sinn zusammen?" (Ja/Nein).

Ohne SRM könnte ein Hacker den Türsteher austricksen, indem er den Diebstahl in 100 harmlose Schritte zerlegt. Mit SRM wird der Dieb erwischt, weil die Gesamtheit seiner Schritte verdächtig wird, auch wenn jeder einzelne Schritt erlaubt ist.

4. Warum ist das so cool? (Die Ergebnisse)

Das Paper hat das System getestet, indem es 80 verschiedene Szenarien durchgespielt hat (40 normale Gäste, 40 schleichende Diebe).

• Der alte Türsteher (nur ILION): Hat alle Diebe erwischt (100%), hat aber auch 5 normale Gäste fälschlicherweise rausgeworfen, weil er zu misstrauisch war (falsche Alarme).
• Das Team (ILION + SRM): Hat alle Diebe erwischt UND keinen normalen Gast fälschlicherweise rausgeworfen.
• Geschwindigkeit: SRM ist so schnell, dass es kaum Zeit kostet (unter einer Viertelsekunde pro Schritt). Es ist wie ein unsichtbarer Schutzschild, der im Hintergrund läuft.

Zusammenfassung in einem Satz

SRM ist wie ein Sicherheitsassistent, der nicht nur prüft, ob ein einzelner Schritt erlaubt ist, sondern sich merkt, ob die Reise des Agenten langsam in eine falsche Richtung abdriftet, und so schlaue Diebe entlarvt, die sich in harmlose Schritte verstecken.

Es ist eine Art "Gedächtnis" für KI-Agenten, damit sie nicht nur im Moment, sondern auch im Laufe der Zeit sicher bleiben.

Technische Zusammenfassung

1. Problemstellung

Autonome KI-Agenten werden zunehmend in komplexen Unternehmensworkflows eingesetzt, die Datenzugriff, API-Aufrufe und Finanzoperationen umfassen. Bestehende Sicherheitsmechanismen, sogenannte deterministische Pre-Execution-Safety-Gates (wie das ILION-Framework), bewerten jede Agentenaktion einzeln (stateless), bevor sie ausgeführt wird.

• Die Schwäche: Diese Systeme sind „blind" für verteilte Angriffe. Ein Angreifer kann einen schädlichen Intent (z. B. Datenexfiltration oder Privilegienausweitung) in eine Sequenz von einzelnen Schritten zerlegen, die für sich genommen alle legitim und konform mit der Rolle des Agenten erscheinen.
• Das Ergebnis: Ein Angriff, der sich über mehrere Turns hinweg entwickelt (z. B. erst Abfragen, dann Backup, dann Upload), passiert die einzelnen Gate-Prüfungen, wird aber erst spät oder gar nicht erkannt. Umgekehrt führen statische Gate-Prüfungen bei bestimmten legitimen Rollen (z. B. Sicherheitsanalysten) oft zu False Positives, da deren normale Aktionen per se einen höheren Risikowert aufweisen.

2. Methodik: Session Risk Memory (SRM)

Das Paper stellt SRM vor, ein leichtgewichtiges, deterministisches Modul, das als temporale Erweiterung zu bestehenden stateless Gates fungiert. SRM fügt keine probabilistischen Komponenten hinzu und erfordert kein Training.

Kernarchitektur und Funktionsweise:

• Semantischer Zentroid (Centroid): SRM pflegt einen gleitenden Durchschnitt (Exponential Moving Average, EMA) der semantischen Vektoren der Aktionen innerhalb einer Sitzung. Dieser Zentroid repräsentiert das verhaltensmäßige Profil der Sitzung.
• Basislinien-Subtraktion (Baseline Subtraction): Um False Positives bei spezifischen Rollen zu vermeiden, wird in einer „Warmup-Phase" (erste $K$ Turns) eine rollenspezifische Basislinie des Gate-Risikos berechnet. Das tatsächliche Risikosignal wird dann um diese Basislinie korrigiert ($\dot{g}_t = \max(0, g_t - b_K)$). SRM detektiert somit nur Risikoeskalationen über den etablierten Normwert hinaus, nicht absolute Risikowerte.
• Risikokumulation: Ein kumuliertes Sitzungsrisko $R_t$ wird über einen EMA mit Decay-Faktor $\lambda$ aktualisiert.
  • Formel: $R_t = \lambda \cdot R_{t-1} + (1 - \lambda) \cdot r_t$
  • Das Risikosignal $r_t$ setzt sich aus dem korrigierten Gate-Risiko und (theoretisch) einer semantischen Drift-Komponente zusammen.
• Entscheidungslogik: Wenn $R_t$ einen Schwellenwert $\tau$ überschreitet, wird die Sitzung blockiert. Dies implementiert eine konservative „einmal verdächtig, immer blockiert"-Politik.

Konzeptuelle Unterscheidung:
Das Paper führt zwei orthogonale Dimensionen der Autorisierung ein:

1. Räumliche Konsistenz (Spatial): Ist die einzelne Aktion mit der Rolle kompatibel? (Geprüft durch das stateless Gate).
2. Zeitliche Konsistenz (Temporal): Ist die Sequenz der Aktionen über die Zeit hinweg kohärent mit der Rolle? (Geprüft durch SRM).

3. Wichtige Beiträge

1. Deterministischer temporaler Mechanismus: SRM bietet eine autorisierende Sicherheit auf Sitzungsebene ohne probabilistische Inferenz, Training oder Modifikation des zugrunde liegenden Gates.
2. Mathematische Formulierung: Eine präzise Definition der Akkumulation von semantischem Drift und Risikosignalen mittels EMA und Basislinien-Korrektur.
3. Modulare Kompatibilität: SRM kann als optionale Schicht in bestehende Gate-Architekturen integriert werden, ohne Latenzgarantien zu verletzen.
4. Konzeptuelles Framework: Die Trennung von räumlicher und zeitlicher Autorisierung als komplementäre Sicherheitsdimensionen.

4. Ergebnisse (Evaluation)

Die Evaluation erfolgte auf einem Benchmark (ILION-SRM-Bench v1) mit 80 Sitzungen (40 bösartig, 40 legitim), die drei Angriffskategorien abdecken: langsame Exfiltration, schrittweise Privilegienausweitung und Compliance-Drift.

Vergleich: Stateless ILION vs. ILION + SRM

Metrik	Stateless ILION	ILION + SRM
Erkennungsrate (Recall)	100 %	100 %
False Positive Rate (FPR)	5 %	0 %
Precision	0,9524	1,0000
F1-Score	0,9756	1,0000
Durchschnittliche Erkennung	Turn 4,05	Turn 4,45
Overhead pro Turn	< 1 ms	< 0,25 ms (zusätzlich)

Schlüsselerkenntnisse:

• Eliminierung von False Positives: SRM eliminierte alle 5 % der False Positives des reinen Gates, während die Erkennungsrate von 100 % erhalten blieb.
• Detektion verteilter Angriffe: Während der durchschnittliche Auslösezeitpunkt leicht später liegt (wegen der konservativen Akkumulation), erkennt SRM Angriffe, die sich langsam aufbauen und bei denen einzelne Schritte unter dem Schwellenwert bleiben.
• Performance: Der Overhead liegt bei ca. 240 Mikrosekunden pro Turn, was für Echtzeit-Anwendungen in Unternehmen vernachlässigbar ist.

5. Bedeutung und Fazit

Das Paper demonstriert, dass deterministische Sicherheitsverifikation von der isolierten Analyse einzelner Aktionen auf eine trajektorienbewusste Autorisierung erweitert werden kann, ohne die Vorteile deterministischer Systeme (Interpretierbarkeit, Reproduzierbarkeit, niedrige Latenz) zu opfern.

• Sicherheitsgewinn: SRM schließt die Lücke, die durch „Slow-Burn"-Angriffe entsteht, die einzelne Gate-Prüfungen umgehen.
• Praktische Anwendbarkeit: Durch die Basislinien-Subtraktion wird das System robust gegenüber unterschiedlichen Rollenprofilen, was die Einsatzfähigkeit in heterogenen Unternehmensumgebungen erhöht.
• Zukunftsausblick: Die Architektur ist so gestaltet, dass sie mit höherdimensionalen, kontinuierlichen Embeddings (z. B. Transformer-basiert) noch aussagekräftigere Drift-Signale liefern könnte, was den semantischen Drift $\Delta_t$ in der aktuellen Formel (die bei 21D-Keyword-Vektoren noch wenig informativ war) nutzbar machen würde.

Zusammenfassend bietet SRM einen prinzipiellen Ansatz für die Sicherheit auf Sitzungsebene, der die räumliche und zeitliche Konsistenz als komplementäre Verteidigungslinien gegen sowohl offensichtliche als auch subtile, verteilte Angriffe auf KI-Agenten nutzt.