Overlaying Governance: A Compositional Authorization Framework for Delegation and Scope in Agentic AI

Dieses Paper schlägt ein kompositionelles Governance-Framework vor, das formale Primitive für rekursive Delegation, kontextuelle Grenzen und dynamische Skopierung einführt, um die Einschränkungen traditioneller Autorisierungssysteme bei der Verwaltung der komplexen, autonomen Natur agentischer KI zu überwinden.

Das Wesentliche

Das große Ganze: Von „Schlüsseln“ zu „Smart Contracts“

Stellen Sie sich vor, Sie haben ein Haus (Ihr digitales Leben) und stellen einen menschlichen Assistenten ein, um es zu reinigen. Sie geben ihm einen Schlüssel. Dieser Schlüssel funktioniert ewig oder bis Sie ihn zurücknehmen. So funktioniert die traditionelle Computersicherheit: Sie geben einem Benutzer ein „Token“ oder einen „Schlüssel“, der besagt: „Du darfst die Haustür öffnen.“

Stellen Sie sich nun vor, Sie stellen einen Roboter-Assistenten (einen KI-Agenten) ein, der superintelligent ist. Er reinigt nicht nur; er kann auch andere Roboter anheuern, um zu helfen, er kann entscheiden, den Kühlschrank, die Garage oder den Tresor zu öffnen, und er kann dies tun, während Sie schlafen.

Das Problem:
Das alte „Schlüssel“-System versagt hier.

1. Zu viel Macht: Wenn Sie dem Roboter den Generalschlüssel geben, könnte er versehentlich den Tresor öffnen und Ihre Fotos löschen.
2. Zu starr: Wenn der Roboter einen Unter-Roboter anheuern muss, um die Sanitäranlagen zu reparieren, weiß das alte System nicht, wie es die „Sanitär-Berechtigung“ in der Kette weitergeben kann.
3. Statisch: Der alte Schlüssel weiß nicht, wann oder wo er verwendet wird. Er öffnet einfach nur die Tür.

Die Lösung:
Dieses Paper schlägt einen neuen Weg vor, um diese KI-Roboter zu verwalten. Anstatt ihnen einen statischen Schlüssel zu geben, geben wir ihnen einen dynamischen, lebendigen Vertrag. Denken Sie an ein smartes Armband, das seine Regeln je nach Situation ändert.

---

Die Kernkonzepte (Das „Wie“)

Die Autoren schlagen drei Zutaten vor, um dies umsetzbar zu machen:

1. Delegation als „Vertrag“ (Nicht nur ein Schlüssel)

In der alten Welt war Delegation wie das Überreichen eines Ersatzschlüssels. In dieser neuen Welt ist Delegation wie das Unterzeichnen eines temporären, spezifischen Vertrags.

• Analogie: Stellen Sie sich vor, Sie engagieren einen Handwerker, um Ihr Dach zu reparieren. Sie geben ihm nicht die Schlüssel zu Ihrem ganzen Haus. Sie geben ihm einen Vertrag, der besagt: „Sie dürfen den Dachbereich betreten, aber nur zwischen 9:00 und 17:00 Uhr und nur, wenn Sie einen Sicherheitsgurt tragen.“
• Im Paper: Dies wird als Delegation bezeichnet. Es ist eine Regel, die besagt: „Agent A kann für Nutzer B handeln, aber nur unter diesen spezifischen Bedingungen.“

2. Scope als „Umschlag“ (Die Blase)

Man kann den Roboter nicht überall herumlaufen lassen. Man muss ihn in eine Blase setzen.

• Analogie: Stellen Sie sich vor, der Roboter befindet sich in einer holografischen Blase. Innerhalb der Blase kann er Dinge berühren. Außerhalb der Blase kann er es nicht. Wenn der Roboter versucht, aus der Blase herauszugreifen, sagt das System: „Nein, Sie sind außerhalb des Bereichs.“
• Im Paper: Dies wird als Scope bezeichnet. Es begrenzt, was der Agent berühren darf. Wenn ein Nutzer die Berechtigung zum „Bearbeiten von Dokumenten“ delegiert, deckt die Blase des Agenten nur Dokumente ab, nicht aber „Budgets löschen“.

3. Das „Overlay“ (Die magische Schicht)

Der schwierigste Teil ist, dass Unternehmen bereits Sicherheitssysteme haben (wie die für menschliche Mitarbeiter). Sie wollen diese nicht wegwerfen und bei Null anfangen.

• Analogie: Stellen Sie sich vor, Ihr Haus hat ein sehr altes, robustes Alarmsystem. Sie wollen nicht die Wände aufreißen, um die neue Roboter-Sicherheit zu installieren. Stattdessen legen Sie eine neue, transparente Smart-Glass-Schicht über das alte System. Das alte Alarmsystem funktioniert weiterhin für Menschen, aber die neue Glasschicht fügt die „Roboter-Regeln“ darüber hinzu.
• Im Paper: Dies ist der Compositional Operator. Er nimmt die bestehenden Sicherheitsregeln und „verklebt“ die neuen Agenten-Regeln daran, ohne die alten zu brechen. Er erstellt einen neuen „Graphen“ (eine Karte darüber, wer was tun darf), der beide kombiniert.

---

Wie es im echten Leben funktioniert (Das Szenario)

Betrachten wir eine Geschichte aus dem Paper, um zu sehen, wie dieses „Overlay“ funktioniert:

1. Der Nutzer: Bob ist ein menschlicher Angestellter. Er hat die Berechtigung, einen Ordner mit Designdokumenten einzusehen.
2. Die Delegation: Bob bittet seinen KI-Assistenten „Agent 1“: „Lies diese Dokumente für mich.“
   • Der Vertrag: Bob unterzeichnet einen digitalen Vertrag mit Agent 1. „Du darfst diese Dokumente lesen, aber nur für die nächsten 60 Minuten.“
3. Die Unter-Delegation: Agent 1 stellt fest, dass er zu beschäftigt ist, und bittet einen zweiten Roboter, „Agent 2“, um Hilfe.
   • Die Kette: Agent 1 übergibt einen kleineren Vertrag an Agent 2. „Du darfst die Dokumente lesen, aber nur für die nächsten 10 Minuten und nur die Datei ‚Budget‘.“
4. Die Prüfung: Agent 2 versucht, die Datei zu öffnen.
   • Schritt A (Die Blase): Das System prüft: Befindet sich Agent 2 innerhalb der Blase des „Design-Ordners“? Ja.
   • Schritt B (Die Kette): Das System prüft: Hat Agent 2 die Erlaubnis von jemandem erhalten, der tatsächlich den Schlüssel besitzt? Ja, die Spur führt zurück zu Bob.
   • Schritt C (Die Bedingungen): Das System prüft: Liegt es noch innerhalb des 10-Minuten-Fensters? Ja.
   • Ergebnis: Die Tür öffnet sich.

Wenn Agent 2 versucht, eine Datei außerhalb des Ordners zu öffnen, oder wenn die 10 Minuten um sind, sagt der „Vertrag“ „Nein“ und die Tür bleibt geschlossen.

---

Warum das wichtig ist (Das „Was bringt es?“)

Das Paper argumentiert, dass wir dieses System brauchen, weil KI-Agenten immer autonomer werden. Sie sind nicht mehr nur Werkzeuge; sie sind Akteure, die Entscheidungen treffen, andere Agenten anheuern und sich bewegen können.

• Sicherheit: Es verhindert, dass eine KI Amok läuft und Dinge tut, die sie nicht sollte (wie Ihr Bankkonto zu löschen, während sie Ihnen beim Organisieren Ihrer Finanzen „hilft“).
• Verantwortlichkeit: Wenn etwas schiefgeht, können Sie die „Vertragskette“ prüfen und genau sehen, wer wem unter welchen Bedingungen die Erlaubnis gegeben hat. Es ist wie ein digitaler Pfad aus Papier für digitale Handlungen.
• Flexibilität: Es ermöglicht Unternehmen, ihre bestehenden Sicherheitssysteme (die sie über Jahre aufgebaut haben) weiter zu nutzen, ohne alles neu bauen zu müssen. Sie legen die neuen KI-Regeln einfach als „Overlay“ über die vorhandenen Strukturen.

Zusammenfassung

Das Paper schlägt ein neues Framework vor, bei dem KI-Agenten keinen statischen „Schlüssel“ zu Ihrem digitalen Haus erhalten. Stattdessen erhalten sie dynamische, zeitlich begrenzte und kontextsensitive Verträge, die über Ihre bestehende Sicherheit gelegt werden. Dies stellt sicher, dass KI-Agenten, selbst wenn sie intelligenter und unabhängiger werden, innerhalb der Grenzen bleiben, die Sie setzen, und als verantwortungsbewusste Delegierte statt als unkontrollierbare Kräfte agieren.

Technische Zusammenfassung

Technisches Resümee: Overlaying Governance: Ein kompositionelles Autorisierungs-Framework für Delegation und Scope in der Agentic AI

1. Problemstellung

Da KI-Systeme sich von passiven Modellen zu autonomen „Agentic AI“-Systemen entwickeln, die in der Lage sind, Aktionen einzuleiten, zu kollaborieren und Aufgaben rekursiv zu delegieren, werden traditionelle Softwaregrenzen und Autorisierungs-Frameworks unzureichend. Bestehende Identity and Access Management (IAM)-Systeme und Standards wie OAuth 2.0 basieren auf statischen Token, festen Scopes und expliziten Anfragen. Diese Mechanismen können die dynamische, rekursive Natur von Agenten-Interaktionen, bei denen Agenten Aufgaben delegieren, nicht effizient abbilden:

• Rekursive Delegation: Agenten delegieren Teilaufgaben an andere Agenten und schaffen so Delegationsketten der Autorität, die statische Token nicht effizient darstellen können.
• Dynamischer Kontext: Agenten agieren unter Laufzeitbedingungen (z. B. Zeitlimits, spezifische Hardware, Netzwerkstandorte), die statische Scopes nicht anpassen können.
• Scope-Attenuation (Abschwächung des Geltungsbereichs): Es mangelt an Mechanismen, um den Umfang der Autorität im Zuge einer Delegationskette progressiv einzuschränken (z. B. darf ein Agent Vorschläge bearbeiten, aber keine Budgets).
• Rechenschaftspflicht (Accountability): Traditionelle Modelle haben Schwierigkeiten, die Abstammung (Lineage) von Berechtigungen in komplexen Multi-Agenten-Ökosystemen nachzuverfolgen, was die forensische Analyse und die Durchsetzung des Least-Privilege-Prinzips erschwert.

Das Paper argumentiert, dass die Behandlung von Delegation lediglich als Transfer von Zugangsdaten unzureichend ist; sie muss stattdessen als ein vertraglicher Begriff (contractual term) mit ausführbaren Governance-Primitiven behandelt werden.

2. Methodik

Die Autoren schlagen ein kompositionelles Governance-Framework vor, das agentische Semantik über bestehende Autorisierungsdomänen legt, ohne deren Kernlogik neu schreiben zu müssen. Die Methodik basiert auf Relation-Based Access Control (ReBAC) und nutzt OpenFGA (eine Open-Source-Implementierung von Googles Zanzibar-Modell) als Referenz-Substrat.

Kernkomponenten:

• Relationale Primitive: Das Framework definiert Delegation und Scope als relationale Graphkanten statt als statische Token.
  • Delegationstypen: Das Paper formalisiert sechs Arten der Delegation:
    1. Vollständige Delegation: Unbedingte „Speak-for“-Autorität.
    2. Gesteuerte Delegation (Scoped delegation): Autorität, die auf eine Teilmenge von Aktionen/Ressourcen beschränkt ist.
    3. Bedingte Delegation (Conditional delegation): Autorität, die nur unter spezifischen Prädikaten gültig ist (z. B. Zeit, Ort).
    4. Tiefenbeschränkte Delegation (Depth-bounded delegation): Begrenzt die Rekursionstiefe von Delegationsketten.
    5. Temporale Delegation: Zeitlich begrenzte Gültigkeit.
    6. Gruppen-Delegation: Erfordert die Genehmigung durch mehrere Prinzipale (n-von-m).
  • Scope und Attenuation: Scopes werden als hierarchische Container modelliert (z. B. Organisation $\to$ Projekt $\to$ Ordner). Der „Autorisierungs-Umschlag“ (Authorization Envelope) eines Agenten ist der Schnittpunkt seiner Delegationskette (die vom menschlichen Urheber ausgeht) und seines aktiven Sitzungs-Scopes.
• Kompositioneller Operator (Overlay):
  • Die Autoren definieren einen typisierten Graph-Rewrite-Operator (inspiriert von der Double-Pushout/DPO-Theorie), der ein domänenspezifisches ReBAC-Schema mit einem generischen „agentischen Overlay“-Schema verschmilzt.
  • Das Overlay führt neue Typen (agent, session, scope) und Relationen (delegatee, can_execute_on_my_behalf, in_scope) ein.
  • Lift-Spezifikation: Der Operator „hebt“ (lifts) bestehende menschliche Berechtigungen (z. B. viewer) an und definiert sie neu als die Vereinigung des ursprünglichen menschlichen Zugriffs und des Schnittpunkts aus:
    1. Agenten im aktiven Scope (ags_in_scope).
    2. Agenten, die über eine Delegationskette vom ursprünglichen menschlichen Principal erreichbar sind (chain_agents_for_r).
  • Dies stellt sicher, dass der menschliche Zugriff autoritativ bleibt, während der Zugriff des Agenten strikt abgeleitet und durch das Overlay begrenzt wird.

3. Zentrale Beiträge

Das Paper leistet vier spezifische Beiträge:

1. Konzeptualisierung: Es definiert Delegationstypen und Ressourcen-Scoping als primäre Treiber des agentischen Zugriffs und bewegt sich damit weg von statischen Rollen hin zu vertraglichen, zur Laufzeit evaluierten Bedingungen.
2. Formalisierung: Es bietet eine Formalisierung der Delegation als agentisches Governance-Overlay und einen kompositionellen Operator, um diese Semantik in bestehende Autorisierungsdomänen zu integrieren, wobei es sich auf die Graph-Transformationstheorie stützt.
3. Sicherheitsarchitektur: Es illustriert eine Sicherheitsarchitektur, die den resultierenden Autorisierungsgraph nutzt, um Benutzer, Agenten, Scopes und Delegationssitzungen zu steuern, was eine kontinuierliche Verifizierung und Revokation ermöglicht.
4. Validierung: Es enthält formale Beweise für die Bewahrung der bestehenden Autorisierungssemantik sowie der Agenten-Autorisierungs-Korrektheit (Soundness) sowie empirische Benchmarks, die den Runtime-Overhead des Overlays auf großen synthetischen ReBAC-Modellen aufzeigen.

4. Ergebnisse und Evaluierung

• Formale Beweise: Die Autoren beweisen, dass das kompositionelle Overlay die Korrektheit (Soundness) der zugrunde liegenden ReBAC-Engine bewahrt. Das Overlay führt keine neuen Ausführungssemantiken für Autorisierungsprüfungen ein, sondern fügt lediglich wohldefinierte Relationen hinzu, die durch die bestehende Userset-Maschinerie evaluiert werden. Dies stellt sicher, dass das System deterministisch und fundiert bleibt.
• Empirische Evaluierung: Das Paper präsentiert Benchmarks, die den Runtime-Overhead der Anwendung des Overlays auf große synthetische ReBAC-Modelle aufzeigen. Die Ergebnisse deuten darauf hin, dass der kompositionelle Ansatz praktikabel ist und einen handhabbaren Overhead verursacht, was seine Machbarkeit für den realen Einsatz unterstützt.
• Operatives Beispiel: Das Framework wird durch ein Szenario demonstriert, in dem ein Benutzer die Autorität an einen Agenten mit zeitlich begrenzten Einschränkungen delegiert. Das System berechnet den Zugriff des Agenten erfolgreich durch den Schnittpunkt der Delegationskette mit dem aktiven Sitzungs-Scope und entzieht den Zugriff unmittelbar nach Ablauf der Bedingung.

5. Bedeutung und Ansprüche

Das Paper beansprucht, eine formale, aber praktische Grundlage für eine rechenschaftspflichtige Autorisierung in Agentic-AI-Systemen zu liefern. Seine Bedeutung liegt in:

• Operationalisierung von Governance: Es überführt KI-Governance von abstrakten Prinzipien in ausführbare, relationale Primitiva, die standardisiert und über verschiedene Domänen hinweg (z. B. Finanzen, Gesundheitswesen) wiederverwendet werden können.
• Durchsetzung des Least-Privilege-Prinzips: Indem es Delegation als vertragliche, kontextsensitive Relation behandelt, erzwingt das Framework das Least-Privilege-Prinzip dynamisch und stellt sicher, dass Agenten nur innerhalb ihrer begrenzten „Envelopes“ agieren.
• Interoperabilität: Die kompositionelle Natur des Frameworks ermöglicht es, auf bestehenden RBAC-, ABAC- oder Hybrid-Policies zu operieren, ohne eine vollständige Neugestaltung der Enterprise-Identity-Infrastrukturen zu erfordern.
• Rückverfolgbarkeit (Traceability): Es ermöglicht die Rückverfolgung von Autorisierungszuständen, wodurch Systeme in der Lage sind, die Delegationskette und den Scope für jede gegebene Aktion zu auditieren, was für die forensische Analyse in autonomen Systemen entscheidend ist.

Die Autoren positionieren diese Arbeit als eine notwendige Evolution von der statischen, tokenbasierten Einwilligung (OAuth) hin zu dynamischen, rekursiven und kontextsensitiven Governance-Primitiva, die für die nächste Generation autonomer Agenten erforderlich sind.