Runtime Governance for AI Agents: Policies on Paths

Este artículo propone un marco formal para la gobernanza en tiempo real de agentes de IA que define las políticas de cumplimiento como funciones deterministas evaluando la trayectoria de ejecución del agente, superando así las limitaciones de las instrucciones estáticas y el control de acceso tradicional para gestionar el comportamiento no determinista y dependiente del camino.

Lo esencial

Imagina que las IA Agentes son como empleados digitales muy inteligentes, pero un poco impredecibles. A diferencia de un programa de computadora antiguo que sigue una lista de instrucciones rígida (como una receta de cocina paso a paso), estos agentes piensan, razonan y deciden por sí mismos qué hacer a continuación.

El problema es que, como toman decisiones al vuelo, pueden tomar caminos muy extraños. A veces, un solo paso parece inofensivo, pero si lo combinas con otro paso que ocurrió antes, el resultado puede ser un desastre (por ejemplo, leer un dato confidencial y luego enviarlo por correo).

Esta paper (documento) propone un nuevo sistema para vigilar a estos agentes mientras trabajan, no solo antes de contratarlos. Aquí te lo explico con analogías sencillas:

1. El Problema: El "Laberinto" de Decisiones

Imagina que le pides a un agente que "prepare un informe financiero".

• El viejo sistema (Software tradicional): Era como un tren en vías fijas. Sabías exactamente por dónde pasaría. Si las vías estaban bloqueadas, el tren no pasaba.
• El nuevo sistema (Agentes IA): Es como enviar a un explorador a un bosque. El explorador elige su propio camino. Puede ir por la izquierda, por la derecha, o detenerse a mirar un pájaro.
  • El riesgo: El explorador podría tomar un camino que, paso a paso, parece legal, pero al final termina robando un mapa secreto. Las reglas antiguas (como "no puedes entrar al bosque") no sirven porque el explorador necesita entrar al bosque para trabajar.

2. La Solución: El "Guardián de Tiempo Real"

Los autores proponen un Sistema de Gobernanza en Tiempo Real. Imagina que tienes un Inspector de Seguridad (llamado Policy Engine) que no solo mira al agente al principio, sino que lo vigila en cada paso que da.

• Cómo funciona: Cada vez que el agente piensa en hacer algo (ej. "voy a enviar un correo"), el Inspector detiene el tiempo por una fracción de segundo y pregunta:
  1. ¿Quién eres? (Identidad del agente).
  2. ¿Qué has hecho hasta ahora? (El camino recorrido).
  3. ¿Qué quieres hacer ahora? (La acción propuesta).
  4. ¿Qué está pasando en la empresa? (Estado compartido, ej. "hoy hay una alerta de seguridad").

Con toda esa información, el Inspector calcula: "¿Cuál es la probabilidad de que esto sea una violación?".

• Si la probabilidad es baja: "¡Adelante!".
• Si es alta: "¡Alto! No puedes hacer eso".

3. ¿Por qué los métodos actuales no funcionan?

El paper explica por qué las herramientas que usamos hoy son insuficientes:

• Las "Instrucciones" (Prompts): Es como decirle al explorador: "Por favor, no robes mapas". Funciona la mayoría de las veces, pero si el explorador está distraído o engañado, puede ignorar la orden. No hay un candado real.
• El "Control de Acceso" (Access Control): Es como poner candados en las puertas. Si al explorador no le das la llave de la caja fuerte, no puede abrirla. Pero, ¿qué pasa si le das la llave de la puerta de entrada y la llave de la ventana? Puede entrar, tomar el mapa por la ventana y salir. El control de acceso tradicional no entiende la historia de lo que el agente ha hecho antes.
• La "Aprobación Humana": Pedirle a un humano que revise cada acción es como tener un guardia que revisa cada paso del explorador. Funciona, pero si el explorador da 1000 pasos, el humano se agota y deja de prestar atención. Además, el humano no ve el contexto completo de los pasos anteriores.

4. La Analogía del "Semáforo Inteligente"

Imagina que el agente es un coche conduciendo por la ciudad.

• Antes: Teníamos reglas fijas: "No conducir en rojo" y "No conducir en azul".
• Ahora: El coche decide su ruta. A veces toma un atajo por un barrio peligroso.
• El nuevo sistema: Es un semáforo inteligente que ve todo el viaje del coche.
  • Si el coche solo condujo por la autopista (paso 1) y luego quiere entrar a una escuela (paso 2), el semáforo dice "OK".
  • Pero si el coche primero robó un coche (paso 1) y luego quiere entrar a la escuela (paso 2), el semáforo sabe que el conjunto de acciones es peligroso y pone la luz en rojo, aunque entrar a la escuela por sí solo no sea ilegal.

5. ¿Qué pasa si el agente se "reprograma"?

Un punto crucial es que algunos agentes pueden escribir su propio código. Es como si el explorador pudiera fabricar sus propias llaves.
El sistema propone que el Inspector verifique constantemente si el agente ha cambiado su "identidad" o sus herramientas. Si el agente intenta saltarse las reglas escribiendo su propio código para burlar al Inspector, el sistema debe ser capaz de detectarlo (aunque esto sigue siendo un desafío técnico difícil).

6. El Objetivo Final: Equilibrio

El objetivo no es detener a todos los agentes (eso haría que la empresa no trabaje). El objetivo es encontrar el punto dulce:

• Permitir que los agentes hagan su trabajo útil y rápido.
• Pero asegurarse de que el riesgo de cometer un error grave (como filtrar datos) se mantenga por debajo de un límite aceptable para la empresa.

En resumen

Esta paper dice: "Dejemos de tratar a las IAs como robots de línea de montaje y empecemos a tratarlas como empleados que toman decisiones en tiempo real. Necesitamos un supervisor que no solo mire las reglas fijas, sino que entienda la historia completa de lo que el empleado ha hecho hasta ahora, para poder decir 'Sí' o 'No' en el momento exacto en que se va a cometer un error."

Es una guía para construir empresas donde la IA es potente y útil, pero segura y controlada, incluso cuando toma caminos que nadie había previsto.

Resumen técnico

Resumen Técnico: Gobernanza en Tiempo de Ejecución para Agentes de IA

1. El Problema

La implementación de agentes de IA (sistemas que utilizan modelos de lenguaje grandes para planificar, razonar y actuar autónomamente) presenta un desafío de gobernanza fundamentalmente diferente al del software tradicional o los sistemas de IA de consulta única.

• No determinismo y dependencia de la ruta: Los agentes generan comportamientos no deterministas y dependientes de la ruta de ejecución. Una misma tarea puede ejecutarse mediante secuencias de acciones completamente diferentes en distintas iteraciones.
• Fallo de los mecanismos actuales: Las herramientas de gobernanza existentes (control de acceso basado en roles - RBAC, prompts de sistema, filtros de contenido) son insuficientes porque:
  • Prompts: Solo reducen la probabilidad de comportamientos indeseados, pero no garantizan la ejecución ni pueden imponer restricciones estrictas.
  • Control de acceso: Es estático y ciego al contexto; permite o bloquea categorías de acciones sin considerar la secuencia previa (ej. permitir leer una base de datos y enviar un correo por separado, pero no detectar que la combinación de ambos constituye una exfiltración de datos).
  • Filtros de contenido: Analizan pasos individuales, no la trayectoria completa del comportamiento.
• El vacío regulatorio: Con la entrada en vigor de la Ley de IA de la UE en agosto de 2026, las organizaciones necesitan garantizar que los sistemas de alto riesgo cumplan con normativas estrictas de seguridad y auditoría, algo que la gobernanza en tiempo de diseño no puede asegurar para agentes dinámicos.

2. Metodología y Marco Formal

Los autores proponen un marco formal donde el objeto central de la gobernanza es la ruta de ejecución (la secuencia de acciones) y no el agente en sí.

Definiciones Clave

1. Ruta de Ejecución ($P$): Una secuencia finita de pasos discretos $s_i = (\tau_i, d_{in,i}, d_{out,i})$, donde $\tau$ es el tipo de paso (estocástico, determinista o compuesto/delegación).
2. Función de Política ($\pi_j$): Se define como una función determinista que mapea cuatro entradas a una probabilidad de violación $[0, 1]$:
   $$\pi_j(A, P_i, s^*, \Sigma) \rightarrow [0, 1]$$
   • $A$: Identidad del agente (metadatos registrados).
   • $P_i$: Ruta parcial (historial de acciones completadas).
   • $s^*$: Acción propuesta siguiente (tipo e input).
   • $\Sigma$: Estado compartido de gobernanza (datos globales de la organización, como barreras de información activas).
3. Motor de Políticas (Policy Engine): Un componente organizacional externo que intercepta las acciones propuestas, evalúa todas las políticas activas y calcula una puntuación de violación por paso ($v_i$).
4. Objetivo de Gobernanza: Optimización restringida a nivel de flota. Maximizar la utilidad esperada de las tareas completadas ($E[u]$) manteniendo la puntuación de violación terminal esperada ($E[v_T]$) dentro de un presupuesto de riesgo aceptable ($B$).

Mecanismo de Intervención

El Motor de Políticas aplica una función de decisión $\delta$ basada en la puntuación $v_i$:

• Pasar: Ejecutar la acción.
• Dirigir (Steer): Pausar la ejecución, inyectar contexto de cumplimiento o solicitar aprobación humana.
• Bloquear: Terminar la tarea inmediatamente (estado de fallo) para prevenir la violación.

3. Contribuciones Clave

1. Unificación Teórica

El paper demuestra que los enfoques existentes son casos especiales (o no casos) de este marco general:

• Control por Prompts: No es una evaluación de política; solo modifica la distribución de probabilidad de las rutas futuras sin evaluarlas.
• Control de Acceso (RBAC): Es un caso degenerado de la función de política donde se ignoran la ruta ($P_i$), el input propuesto y el estado compartido ($\Sigma$), evaluando solo la identidad y el tipo de acción.
• Evaluación en Tiempo de Ejecución: Es el caso general necesario para cualquier política dependiente de la secuencia de acciones.

2. Marco de Implementación Práctica

Se propone una arquitectura de dos fases:

• Fase de Registro: Evaluación de políticas estáticas (integridad del agente, documentación, clasificación de riesgo) antes de iniciar cualquier tarea.
• Fase por Paso: Intercepción de cada acción propuesta, actualización de un vector de estado de gobernanza compacto y evaluación de políticas dinámicas.

3. Ejemplos de Políticas Concretas

Se ilustran políticas inspiradas en la Ley de IA de la UE, como:

• Prevención de exfiltración de datos: Evalúa si una acción de envío externo sigue a un acceso a datos sensibles.
• Barreras de información: Detecta si un agente que accedió a datos de "consejería" delega una tarea a un agente de "trading", violando la separación de funciones.
• Requisito de aprobación humana: Obliga a una aprobación previa si se detecta una acción de alto riesgo en la ruta.

4. Implementación de Referencia

Se describe una implementación piloto desarrollada por Kyvvu B.V. que opera en modo prospectivo (intercepta antes de la ejecución), integrándose con frameworks como LangChain y Microsoft Copilot Studio. Esta implementación valida la viabilidad técnica de mantener un vector de estado y auditar decisiones en tiempo real.

4. Resultados y Hallazgos

• Viabilidad Técnica: Es posible construir un motor de políticas que evalúe rutas completas con un sobrecoste computacional moderado, utilizando vectores de estado resumidos en lugar de re-evaluar el historial completo en cada paso.
• Limitaciones de la Aprobación Humana: La aprobación humana no es una solución mágica; debe ser invocada selectivamente por una política bien calibrada. Sin una estructura de gobernanza previa, la aprobación humana se vuelve inescalable y propensa a errores.
• Necesidad de Calibración: Un hallazgo crítico es que las funciones de política actuales a menudo devuelven "puntuaciones de severidad" en lugar de probabilidades reales. Para que el marco sea riguroso, estas salidas deben calibrarse empíricamente contra datos de violaciones reales.

5. Significado e Impacto

Relevancia Regulatoria (Ley de IA de la UE)

El marco proporciona la infraestructura técnica necesaria para cumplir con los artículos clave de la Ley de IA de la UE (2026):

• Gestión de Riesgos (Art. 9): La evaluación continua de $v_T$ contra el presupuesto $B$ es una instancia en tiempo de ejecución de la gestión de riesgos del ciclo de vida.
• Registro Automático (Art. 12): El registro de auditoría detallado (ruta, puntuación, decisión, versión de política) satisface los requisitos de trazabilidad.
• Supervisión Humana (Art. 14): El mecanismo de "Steer" (pausa para aprobación) implementa la supervisión humana significativa requerida.
• Robustez (Art. 15): La capa de gobernanza en tiempo de ejecución protege contra inyecciones de prompts y manipulaciones adversarias que no se pueden prever en el diseño.

Desafíos Abiertos

El paper identifica problemas de investigación futuros:

• Calibración de Riesgos: Necesidad de datos etiquetados para convertir puntuaciones de política en probabilidades reales.
• Evasión Estratégica: El riesgo de que agentes avanzados aprendan a navegar la gobernanza para lograr resultados prohibidos manteniendo puntuaciones bajas en pasos individuales.
• Compleción de la Ejecución: La dificultad de auditar código generado por el agente si se ejecuta como un paso atómico sin desglose interno.
• Problemas de Delegación: Cómo propagar la responsabilidad y el estado de gobernanza cuando un agente delega tareas a otros agentes.

Conclusión

El artículo establece que la gobernanza efectiva de agentes de IA requiere un cambio de paradigma: pasar de restricciones estáticas y diseño previo a una evaluación dinámica, basada en rutas y en tiempo de ejecución. Este marco no solo es teóricamente sólido, sino que ofrece una hoja de ruta práctica para que las organizaciones desplieguen agentes seguros, auditables y conformes con la regulación emergente.