Session Risk Memory (SRM): Temporal Authorization for Deterministic Pre-Execution Safety Gates

Este artículo presenta la Memoria de Riesgo de Sesión (SRM), un módulo determinista y ligero que mejora la seguridad de los agentes al evaluar la coherencia temporal de las acciones a lo largo de una sesión, logrando una detección perfecta de ataques distribuidos sin falsos positivos y con un sobrecoste computacional mínimo.

Lo esencial

Imagina que tienes un guardia de seguridad muy estricto en la entrada de un edificio corporativo. Este guardia tiene una lista de reglas muy clara: "Si intentas entrar con un martillo, no te dejo pasar. Si intentas entrar con una caja de herramientas, sí".

El problema es que un ladrón astuto no entra con un martillo gigante. En su lugar, entra con un destornillador (parece inofensivo), luego con un trozo de alambre (también parece normal), luego con una llave inglesa, y así sucesivamente. Por separado, cada herramienta es legal. Pero si juntas todas esas herramientas en orden, el ladrón puede desarmar toda la seguridad del edificio.

El guardia tradicional (llamado ILION en el papel) es muy bueno revisando cada objeto individualmente, pero es "ciego" a la historia completa. No recuerda qué trajiste hace cinco minutos.

Aquí es donde entra la Memoria de Riesgo de Sesión (SRM), la innovación de este artículo.

¿Qué es SRM? (La analogía del "Detective de la Historia")

SRM es como un detective secundario que se sienta junto al guardia de seguridad. Mientras el guardia revisa el objeto actual, el detective lleva un cuaderno donde anota el "comportamiento general" de la persona.

1. El "Centro de Comportamiento": El detective crea un promedio mental de lo que la persona ha hecho hasta ahora. Si eres un fontanero, tu "promedio" es llevar herramientas de fontanería.
2. La "Línea Base": Al principio, el detective espera unos minutos (la "fase de calentamiento") para ver qué es normal para ti. Si eres un analista de seguridad, es normal que lleves muchas llaves y códigos. El detective aprende eso y no se asusta.
3. Detectando la "Deriva": Si de repente, el fontanero empieza a sacar herramientas de un banco de valores o a pedir acceso a la bóveda de dinero, el detective nota que el comportamiento se está desviando de su "promedio" normal. Aunque cada herramienta individual sea legal, la historia de lo que estás haciendo es sospechosa.

¿Cómo funciona en la vida real?

El artículo explica que SRM es determinista. Esto significa que no es una "adivinación" basada en inteligencia artificial compleja que a veces falla. Es como una calculadora matemática simple y rápida:

• Si el comportamiento se desvía demasiado de la norma, suma puntos de "riesgo".
• Si los puntos de riesgo cruzan una línea roja, el sistema dice: "¡Alto! Algo va mal en la historia completa, aunque cada paso por separado pareciera bien".

Los Resultados (El "Superpoder")

Los autores probaron esto con 80 situaciones simuladas (como un videojuego de seguridad):

• El Guardia Solo (ILION): Atrapó a todos los ladrones, pero también detuvo a 5 personas inocentes (falsas alarmas) porque sus herramientas parecían raras en ese momento.
• El Guardia + El Detective (ILION + SRM): Atrapó a todos los ladrones y cero personas inocentes.

Además, el detective es increíblemente rápido. Tarda menos de un milisegundo en revisar la historia. Es como si el detective pudiera leer todo el libro de tu vida en el tiempo que tarda en parpadear.

¿Por qué es importante?

En el mundo de la Inteligencia Artificial, los "agentes" (robots de software) hacen muchas tareas seguidas.

• Seguridad Espacial (El Guardia): ¿Es este paso individual seguro?
• Seguridad Temporal (El Detective SRM): ¿Es esta secuencia de pasos coherente con lo que debería hacer este robot?

En resumen:
Este papel nos dice que para proteger a los robots inteligentes, no basta con mirar solo el paso actual. Necesitamos un sistema que recuerde la "trayectoria" o el camino que han recorrido. SRM es esa memoria ligera y rápida que evita que los hackers engañen al sistema haciendo pequeños movimientos ilegales que, uno por uno, parecen inocentes, pero que juntos son un desastre.

Es como tener un sistema de seguridad que no solo mira si llevas un arma, sino que también se pregunta: "¿Por qué un contable está entrando a la sala de servidores, luego a la bóveda, y luego descargando datos a un servidor externo? Eso no tiene sentido, ¡deténganlo!".

Resumen técnico

Aquí tienes un resumen técnico detallado del artículo en español, estructurado según los puntos solicitados:

Resumen Técnico: Memoria de Riesgo de Sesión (SRM) para Puertas de Seguridad Deterministas

1. El Problema: Ceguera Estructural ante Ataques Distribuidos

El artículo identifica una limitación crítica en los sistemas de seguridad actuales para agentes autónomos: las puertas de seguridad pre-ejecución sin estado (stateless).

• Funcionamiento actual: Sistemas como el marco ILION evalúan cada acción individualmente para determinar si es compatible con el rol del agente. Son deterministas, rápidos y libres de inferencia probabilística.
• La vulnerabilidad: Estos sistemas son "cegos" a los ataques distribuidos de "combustión lenta" (slow-burn). Un atacante puede descomponer una intención maliciosa (como exfiltración de datos o escalada de privilegios) en una secuencia de pasos que, individualmente, parecen legítimos y cumplen con las reglas de seguridad.
• Consecuencia: Una puerta sin estado puede permitir los primeros pasos de un ataque (ej. consultar una base de datos, crear un archivo local) y solo bloquear la acción final (ej. subir el archivo a un servidor externo), permitiendo que el daño se acumule antes de la detección. Además, estos sistemas tienden a generar falsos positivos en roles legítimos que manejan inherentemente alto riesgo (ej. analistas de seguridad).

2. Metodología: Memoria de Riesgo de Sesión (SRM)

El autor propone SRM, un módulo temporal determinista y ligero que se integra como una capa complementaria a las puertas de seguridad existentes, sin modificar su arquitectura base.

• Concepto Central: Distingue entre dos dimensiones de seguridad:

  1. Consistencia Espacial: Evaluada por la puerta sin estado (¿Es esta acción compatible con el rol?).
  2. Consistencia Temporal: Evaluada por SRM (¿Es coherente esta trayectoria de acciones a lo largo de la sesión?).

• Arquitectura y Algoritmo:

  • Sin Estado de Aprendizaje: No requiere entrenamiento, modelos probabilísticos ni componentes adicionales. Utiliza las mismas señales semánticas que la puerta base.
  • Centroide Semántico: Mantiene un vector de resumen (centroide) del comportamiento de la sesión, actualizado mediante un Promedio Móvil Exponencial (EMA).
  • Resto de Línea Base (Baseline Subtraction): Para evitar falsos positivos en roles de alto riesgo, SRM calcula una "línea base" de riesgo durante una fase de calentamiento (primeras $K$ vueltas). El riesgo acumulado se calcula restando esta línea base, detectando así solo la escalada de riesgo sobre la norma de la sesión, no el riesgo absoluto.
  • Acumulación de Riesgo: Combina la señal de riesgo de la puerta (ajustada por la línea base) y la deriva semántica (distancia coseno entre la acción actual y el centroide previo). Este riesgo se acumula con un factor de decaimiento $\lambda$.
  • Decisión: Si el riesgo acumulado de la sesión ($R_t$) supera un umbral $\tau$, la sesión se bloquea. Es una política conservadora: "una vez sospechoso, siempre marcado".

3. Contribuciones Clave

1. Mecanismo Determinista Temporal: Introducción de SRM, un mecanismo de autorización temporal que no requiere aprendizaje ni inferencia probabilística.
2. Formulación Matemática: Definición formal de la acumulación de deriva semántica a nivel de sesión utilizando señales de puerta restadas de la línea base y suavizado exponencial.
3. Arquitectura Modular: Un diseño compatible con puertas de ejecución deterministas existentes, desplegable como una capa opcional de conciencia de sesión.
4. Marco Conceptual: La distinción teórica entre la consistencia de autorización espacial (por acción) y temporal (por trayectoria) como dimensiones ortogonales de seguridad.
5. Evaluación Empírica: Resultados en un benchmark de 80 sesiones que demuestran la eliminación de falsos positivos y la mejora en la discriminación de ataques distribuidos.

4. Resultados Experimentales

El sistema se evaluó en un benchmark de 80 sesiones (40 benignas, 40 de ataque) que incluyen escenarios de exfiltración lenta, escalada gradual de privilegios y desviación de cumplimiento.

• Precisión y Falsos Positivos:
  • ILION (Sin estado): Tasa de Falsos Positivos (FPR) del 5% y un F1 de 0.9756.
  • ILION + SRM: Tasa de Falsos Positivos del 0% y un F1 perfecto de 1.0000.
• Detección: Ambos sistemas mantuvieron una tasa de detección (recall) del 100%.
• Eficiencia: El sobrecosto computacional por turno es inferior a 250 microsegundos, manteniendo la latencia sub-milisegundo necesaria para la evaluación pre-ejecución en tiempo real.
• Análisis de Trayectoria: SRM logra eliminar los falsos positivos al distinguir entre el perfil de riesgo natural de un rol (ej. un analista de seguridad) y una escalada anómala de riesgo, algo que la puerta sin estado no puede hacer.

5. Significado e Impacto

• Seguridad Defensiva en Profundidad: SRM proporciona una segunda línea de defensa esencial contra ataques sofisticados que evaden la detección por acción individual.
• Viabilidad Industrial: Al ser determinista y no requerir entrenamiento, SRM es ideal para entornos empresariales donde la interpretabilidad, la reproducibilidad y la baja latencia son críticas.
• Paradigma de Seguridad: Cambia el enfoque de "¿Es esta acción segura?" a "¿Es esta secuencia de acciones segura?", abordando la naturaleza evolutiva de las amenazas en sistemas de agentes autónomos multi-turno.
• Escalabilidad: La arquitectura permite que la detección mejore a medida que las sesiones se vuelven más largas y complejas, ofreciendo ventajas crecientes sobre las evaluaciones puramente sin estado en flujos de trabajo extensos.

En conclusión, el papel demuestra que es posible extender la verificación de seguridad determinista de un análisis de acción aislada a una autorización consciente de la trayectoria, eliminando falsos positivos y cerrando la brecha de seguridad ante ataques distribuidos sin sacrificar el rendimiento ni la interpretabilidad.