Session Risk Memory (SRM): Temporal Authorization for Deterministic Pre-Execution Safety Gates

Ce papier présente le SRM (Session Risk Memory), un module déterministe léger qui améliore la sécurité des agents en ajoutant une autorisation temporelle basée sur l'historique des sessions, éliminant ainsi les faux positifs et détectant les attaques distribuées que les systèmes d'autorisation par action seule ne peuvent pas identifier.

L'essentiel

Imaginez que vous embauchez un assistant très intelligent pour gérer les dossiers de votre entreprise. Cet assistant a le droit de faire des choses spécifiques : consulter des factures, envoyer des emails, ou modifier des bases de données.

Pour le protéger, vous installez un gardien de sécurité à la porte de chaque pièce. Ce gardien vérifie chaque demande individuellement.

• Si l'assistant dit : « Je veux consulter la facture du client X », le gardien regarde et dit : « OK, c'est dans tes permissions ».
• Si l'assistant dit : « Je veux voler le coffre-fort », le gardien dit : « STOP ! C'est interdit ».

C'est ce qu'on appelle un gardien sans mémoire (ou stateless). Il est très rapide et très strict, mais il a un gros défaut : il oublie tout dès qu'il a répondu.

Le Problème : L'Arnaque en "Slow Motion"

Imaginez maintenant un voleur malin qui veut voler des données sensibles. Il ne va pas crier « Je vole tout ! » d'un coup. Il va procéder par étapes, une par une, comme un escroc qui gagne la confiance de sa victime :

1. Étape 1 : « Je regarde juste la liste des clients. » (Le gardien dit : OK, c'est normal).
2. Étape 2 : « Je télécharge cette liste sur mon ordinateur pour faire une copie de sauvegarde. » (Le gardien dit : OK, c'est une tâche d'admin).
3. Étape 3 : « Je compresse le fichier pour l'envoyer à un serveur externe. » (Le gardien dit : OK, c'est une tâche technique).
4. Étape 4 : « J'envoie le fichier. » (Le gardien dit : OK, c'est une tâche de réseau).

À chaque étape, la demande semble légitime prise isolément. Le gardien sans mémoire ne voit rien de suspect. Il ne voit que des actions normales. C'est comme si un voleur entrait dans une maison pièce par pièce en disant « Je range la cuisine », « Je nettoie le salon », « Je vais dans la chambre », sans jamais déclencher l'alarme parce qu'il ne fait rien d'illégal sur le moment.

La Solution : La "Mémoire de Risque" (SRM)

C'est ici qu'intervient la Mémoire de Risque de Session (SRM) décrite dans l'article.

Imaginez que nous ajoutons un second gardien, un peu plus sage, qui ne regarde pas seulement la demande du moment, mais qui tient un journal de bord de tout ce que l'assistant a fait aujourd'hui.

Ce nouveau gardien utilise deux astuces intelligentes :

1. La "Moyenne Mobile" (Le Centre de Gravité) :
   Au lieu de regarder chaque action comme un événement isolé, ce gardien calcule une sorte de "moyenne" de ce que l'assistant fait habituellement. Si l'assistant commence à s'éloigner de sa trajectoire habituelle, le gardien s'alarme doucement. C'est comme un parent qui dit : « Tu as toujours fait tes devoirs à 17h, mais depuis trois jours, tu sors à 16h30. Ce n'est pas grave une fois, mais c'est une tendance inquiétante. »

2. La "Soustraction de Base" (Le Zéro Relatif) :
   Certains métiers sont naturellement plus "risqués" que d'autres. Un expert en cybersécurité a le droit de faire des choses que le comptable n'a pas le droit de faire.
   Le nouveau gardien ne juge pas l'action en absolu, mais en comparaison avec le début de la journée.

   • Exemple : Si un expert en sécurité commence sa journée par des tâches normales, le gardien dit « C'est sa base normale ». S'il commence soudainement à télécharger des fichiers massifs vers l'extérieur, le gardien voit l'écart par rapport à sa propre base et dit : « Attention, ça monte ! ».

Comment ça marche en pratique ?

Le système fonctionne comme un thermomètre de suspicion :

• Chaque fois que l'assistant fait une action qui semble un peu "hors norme" par rapport à ce qu'il a fait juste avant, le thermomètre monte d'un petit cran.
• Si l'assistant fait des actions normales, le thermomètre redescend doucement (comme une bouffée de chaleur qui s'évapore).
• Mais si l'assistant enchaîne des petites actions suspectes (le vol lent), le thermomètre monte, monte, monte...
• Dès qu'il dépasse une certaine ligne rouge, le gardien crie : « STOP ! » et bloque toute la session.

Les Résultats Magiques

L'article montre que ce système est incroyable pour deux raisons :

1. Zéro Faux Alarmes : Avant, le gardien simple bloquait parfois des gens innocents (comme un comptable qui fait une grosse mise à jour) parce qu'il ne comprenait pas le contexte. Avec la "mémoire", le système comprend que c'est normal pour ce métier-là, donc il ne bloque plus les gens innocents.
2. Détection des Voleurs Lents : Il attrape les voleurs qui essaient de passer à travers les mailles du filet en faisant des petites choses suspectes une par une.

En Résumé

• Le Gardien Simple (ILION) : Regarde une photo. « Est-ce que cette action est interdite ? » -> Oui/Non. Rapide, mais aveugle aux stratégies complexes.
• Le Gardien avec Mémoire (SRM) : Regarde un film. « Est-ce que l'histoire qui se déroule a du sens ? » -> Si l'histoire devient bizarre, il arrête le film.

L'article nous dit que pour protéger nos intelligences artificielles, nous ne devons pas seulement vérifier ce qu'elles font (l'action), mais aussi comment elles agissent au fil du temps (l'histoire). C'est la différence entre arrêter un voleur qui casse une vitre, et arrêter un espion qui passe des mois à copier des documents un par un.

C'est une méthode rapide, précise, et qui ne nécessite pas de "penser" comme un humain, mais juste de garder une trace mathématique simple du comportement.

Résumé technique

1. Problématique : La limite des portes de sécurité sans état (Stateless)

L'article aborde un défi critique dans la sécurité des systèmes d'agents autonomes : la détection des attaques distribuées.

• Contexte : Les agents IA sont de plus en plus utilisés dans des workflows d'entreprise complexes (accès aux données, appels API, opérations financières). La sécurité repose souvent sur des "portes de sécurité pré-exécution" (safety gates) qui évaluent chaque action individuellement avant son exécution.
• Limitation structurelle : Les systèmes actuels, comme le cadre ILION, fonctionnent de manière sans état (stateless). Ils vérifient la compatibilité sémantique d'une action unique par rapport au rôle de l'agent.
• Le risque : Ces systèmes sont aveugles aux attaques "lentes" (slow-burn) où une intention malveillante est décomposée en une séquence d'étapes individuellement légitimes. Par exemple, une exfiltration de données progressive (requête de base de données -> création de sauvegarde locale -> compression -> envoi externe) peut passer chaque vérification individuelle, car chaque étape isolée semble conforme, bien que la trajectoire globale soit malveillante.

2. Méthodologie : Session Risk Memory (SRM)

Pour combler cette lacune sans sacrifier la détermination, la latence ou l'interprétabilité, l'auteur propose SRM, un module temporel léger et déterministe.

Architecture et Principes

SRM ne remplace pas la porte de sécurité existante mais agit comme une couche temporelle complémentaire. Il maintient une mémoire de la trajectoire comportementale de la session.

• Déterminisme : Aucune inférence probabiliste, aucun apprentissage (training), aucune composante stochastique. Toutes les opérations sont algébriques.
• Mécanisme de Centroid Sémantique :
  • Au début d'une session, un vecteur centroid $c_0$ est initialisé à zéro.
  • À chaque tour $t$, le centroid est mis à jour via une Moyenne Mobile Exponentielle (EMA) : $c_t = \alpha \cdot v_t + (1 - \alpha) \cdot c_{t-1}$, où $v_t$ est le vecteur sémantique de l'action.
• Calcul du Risque :
  1. Soustraction de la ligne de base (Baseline Subtraction) : Pour éviter les faux positifs liés au vocabulaire naturel de certains rôles (ex: analystes de sécurité), SRM calcule une ligne de base de risque pendant une phase de "warmup" (les 3 premiers tours). Le risque ajusté $\dot{g}_t$ est la différence entre le risque brut de la porte et cette ligne de base.
  2. Signal de Dérive (Drift) : Mesure la distance cosinus entre l'action actuelle et le centroid précédent ($\Delta_t$).
  3. Accumulation du Risque : Le risque de session $R_t$ est mis à jour via une EMA : $R_t = \lambda \cdot R_{t-1} + (1 - \lambda) \cdot r_t$, où $r_t$ combine la dérive et le risque ajusté.
• Décision : Si $R_t$ dépasse un seuil $\tau$, la session est bloquée. Une fois le seuil franchi, la session reste marquée comme suspecte ("une fois suspecte, toujours marquée").

Distinction Conceptuelle

L'article introduit une décomposition de la sécurité en deux dimensions orthogonales :

1. Cohérence Spatiale (Spatial Consistency) : Vérifiée par la porte sans état (est-ce que cette action est compatible avec le rôle ?).
2. Cohérence Temporelle (Temporal Consistency) : Vérifiée par SRM (est-ce que cette séquence d'actions est cohérente dans le temps ?).

3. Contributions Clés

1. Mécanisme d'autorisation temporel déterministe : SRM permet la détection d'attaques distribuées sans introduire de composants probabilistes ou de besoins d'entraînement.
2. Formulation mathématique : Une approche basée sur l'accumulation de signaux de risque (soustraction de base + lissage exponentiel) pour détecter la dérive sémantique.
3. Compatibilité modulaire : SRM s'intègre aux architectures de portes existantes (comme ILION) sans modification de leur configuration interne, agissant comme une couche optionnelle.
4. Cadre conceptuel : La distinction formelle entre l'autorisation spatiale (par action) et temporelle (par trajectoire).

4. Résultats Expérimentaux

L'évaluation a été réalisée sur une ILION-SRM-Bench v1 comprenant 80 sessions (40 bénignes, 40 malveillantes) avec trois catégories d'attaques : exfiltration lente, élévation de privilèges progressive et dérive de conformité.

• Performance de Détection :
  • ILION (Sans état) : Taux de détection (Recall) de 100 %, mais un taux de faux positifs (FPR) de 5 %. Score F1 de 0,9756.
  • ILION + SRM : Taux de détection de 100 %, avec un taux de faux positifs de 0 %. Score F1 parfait de 1,0000.
• Élimination des Faux Positifs : SRM élimine totalement les faux positifs générés par la porte sans état, en distinguant les comportements légitimes à haut risque inhérents au rôle des véritables dérives d'attaque.
• Latence : Le surcoût de calcul par tour est inférieur à 250 microsecondes (médiane de 239,9 µs), ce qui préserve la capacité d'évaluation en temps réel pré-exécution.
• Détention Précoce : Bien que la détection moyenne soit légèrement plus tardive (4,45 tours vs 4,05) en raison de la nature conservatrice de l'accumulation, SRM détecte certaines attaques lentes (12,5 % des cas) que la porte sans état ne pourrait pas identifier avant la fin de la séquence.

5. Signification et Impact

Ce travail représente une avancée significative pour la sécurité des systèmes d'agents autonomes :

• Défense en Profondeur : Il démontre que la sécurité déterministe peut être étendue au-delà de l'analyse d'actions isolées pour couvrir la cohérence des trajectoires, offrant une protection contre les attaques sophistiquées qui contournent les vérifications ponctuelles.
• Pragmatisme Industriel : Contrairement aux solutions basées sur l'apprentissage profond (qui peuvent être lentes, non déterministes et nécessiter des données d'entraînement), SRM offre une solution légère, interprétable et déployable immédiatement sur des infrastructures existantes.
• Réduction des Faux Positifs : En normalisant le risque par rapport à la ligne de base de la session, SRM résout le problème critique des faux positifs dans les rôles à haut risque (comme les analystes de sécurité), permettant une sécurité plus stricte sans bloquer les opérations légitimes.

En conclusion, SRM établit un nouveau paradigme où la sécurité des agents ne se limite pas à "ce que l'agent fait maintenant", mais intègre "ce que l'agent a fait et ce qu'il fait ensuite", assurant ainsi une autorisation robuste face aux menaces distribuées.