Session Risk Memory (SRM): Temporal Authorization for Deterministic Pre-Execution Safety Gates

Il documento presenta SRM (Session Risk Memory), un modulo deterministico e leggero che estende i gate di sicurezza per agenti da un controllo per singola azione a una valutazione temporale dell'intera sessione, eliminando i falsi positivi e rilevando attacchi distribuiti a bassa intensità con un overhead computazionale trascurabile.

L'essenziale

🛡️ Il Guardiano che Ricorda: Come SRM Protegge gli Agenti AI

Immagina di avere un guardiano molto intelligente (chiamato ILION) che controlla chi entra e cosa fa in un grande ufficio aziendale. Questo guardiano è bravissimo: controlla ogni singola richiesta che un assistente AI fa. Se l'assistente chiede qualcosa di chiaramente pericoloso (come "Cancella tutti i dati"), il guardiano dice subito: "STOP!".

Ma c'è un problema...

Il guardiano attuale ha un difetto: ha la memoria corta.
Ogni volta che l'assistente fa una domanda, il guardiano la guarda da sola, come se fosse l'unica cosa che è mai accaduta. Non ricorda cosa è successo 5 minuti fa.

Questo apre una porta pericolosa per i truffatori. Immagina un ladro che vuole rubare tutti i documenti dell'ufficio. Non può dire subito "Voglio rubare tutto", perché il guardiano lo fermerebbe.
Invece, il ladro fa così:

1. Chiede di vedere un file (Sembra innocente).
2. Chiede di copiarlo (Sembra normale).
3. Chiede di comprimerlo in una cartella (Sembra utile).
4. Chiede di inviarlo a un indirizzo esterno (Sembra un backup).

Ogni singolo passo, guardato da solo, sembra legittimo. Il guardiano "senza memoria" li lascia passare tutti. Ma se messi insieme, formano un furto perfetto.

---

🧠 L'Innovazione: SRM (La Memoria del Rischio)

Il paper introduce una nuova tecnologia chiamata SRM (Session Risk Memory).
Pensa all'SRM come al braccio destro del guardiano, quello che tiene un quaderno degli appunti durante l'intera giornata di lavoro.

Ecco come funziona, con una metafora semplice:

1. Il "Centro di Gravità" (La Rotta)

Immagina che ogni sessione di lavoro dell'AI sia come una barca che naviga.

• All'inizio, la barca è ferma.
• Ogni volta che l'AI fa un'azione, l'SRM aggiorna la posizione della barca.
• Se l'AI fa cose normali (come un dipendente che lavora), la barca oscilla un po' ma rimane nella sua "corsa normale".
• Se l'AI inizia a fare cose strane (anche se piccole), la barca inizia a deviare dalla rotta.

L'SRM calcola questa deviazione. Non guarda se un singolo passo è sbagliato, ma guarda se la barca sta uscendo dal canale sicuro.

2. Il "Termometro del Rischio" (La Media Mobile)

L'SRM non si fida subito di un singolo movimento strano. Usa un trucco intelligente:

• Fase di riscaldamento: Nei primi 3 passi, l'SRM osserva cosa fa l'AI per capire qual è il suo "comportamento normale" (la sua linea di base).
• L'allarme: Se dopo i primi 3 passi, l'AI inizia a fare cose che si discostano da quella linea di base, l'SRM alza il "termometro del rischio".
• La regola d'oro: Se il rischio sale troppo e rimane alto, l'SRM blocca tutto, anche se ogni singolo passo sembrava innocuo da solo.

3. Perché è Geniale?

• Non è un mago: Non usa intelligenza artificiale complessa che impara e sbaglia. È matematica pura e veloce (come un calcolo veloce su un foglio di carta).
• È velocissimo: Aggiunge meno di un millesimo di secondo di ritardo. L'utente non se ne accorge nemmeno.
• Non si sbaglia: Nel test fatto dagli autori, il sistema vecchio (senza memoria) sbagliava il 5% delle volte (bloccava gente innocente o lasciava passare rischi). Il nuovo sistema (con SRM) ha fatto zero errori: ha bloccato tutti i ladri e non ha mai fermato i dipendenti onesti.

---

🎯 In Sintesi: Due Tipi di Sicurezza

Il paper ci insegna che la sicurezza ha due dimensioni, come un cubo:

1. Sicurezza Spaziale (Il Guardiano): "Questa singola azione è permessa?" (Guarda il singolo punto).
2. Sicurezza Temporale (L'SRM): "Questa sequenza di azioni ha senso nel tempo?" (Guarda la linea che collega i punti).

L'analogia finale:
Immagina di essere in una casa.

• Il Guardiano controlla se stai aprendo la porta di casa con la chiave giusta.
• L'SRM controlla se, dopo aver aperto la porta, inizi a camminare verso la cassaforte, a prendere gli occhiali da sole, a mettere i guanti e a scappare dalla finestra.

Da soli, questi gesti sembrano strani ma non illegali. Insieme, sono un furto. L'SRM è l'unico che riesce a vedere il "film completo" e a fermare il ladro prima che scappi con il bottino.

🏆 Il Risultato

Grazie a questa "memoria temporale", il sistema è diventato perfetto nel test:

• 100% di ladri fermati.
• 0% di dipendenti onesti fermati per errore.
• Tutto questo senza rallentare il lavoro.

È come avere un guardiano che non solo ha gli occhi aperti, ma ha anche la memoria di cosa è successo 5 minuti fa, rendendo l'ufficio digitale molto più sicuro contro i truffatori pazienti.

Sommario tecnico

Titolo: Session Risk Memory (SRM): Autorizzazione Temporale per Gate di Sicurezza Pre-Esecuzione Deterministici

1. Il Problema: Limiti dei Gate di Sicurezza Stateless

Il documento affronta una vulnerabilità critica nei sistemi di agenti AI autonomi, in particolare quelli che operano in flussi di lavoro multi-turno (multi-turn).

• Contesto: I gate di sicurezza pre-esecuzione attuali (come il framework ILION) valutano ogni azione proposta dall'agente in modo indipendente (stateless) per verificare la compatibilità semantica con il ruolo assegnato.
• La Lacuna: Questi sistemi sono "ciechi" agli attacchi distribuiti. Un attaccante può decomporre un intento dannoso in una sequenza di passaggi che, singolarmente, appaiono legittimi e compliant, ma che collettivamente costituiscono un attacco (es. esfiltrazione lenta di dati, escalation graduale dei privilegi, deriva della conformità).
• Conseguenza: I gate stateless possono bloccare le azioni palesemente maliziose, ma falliscono nel rilevare pattern di attacco che emergono solo attraverso l'analisi della traiettoria temporale dell'intera sessione.

2. Metodologia: Session Risk Memory (SRM)

Il paper introduce SRM, un modulo deterministico e leggero progettato per estendere i gate di sicurezza esistenti con una consapevolezza temporale, senza comprometterne la latenza o la determinismo.

Architettura e Principi di Funzionamento:

• Complementarità: SRM non sostituisce il gate sottostante (ILION), ma opera come un layer temporale aggiuntivo che elabora gli stessi segnali semantici.
• Dualità dell'Autorizzazione: Il lavoro concettualizza la sicurezza in due dimensioni ortogonali:
  1. Coerenza Spaziale: Valutata per azione (dal gate stateless).
  2. Coerenza Temporale: Valutata sulla traiettoria della sessione (da SRM).
• Meccanismi Chiave:
  • Centroide Semantico: SRM mantiene un vettore di "centroide" ($c_t$) che rappresenta un riassunto smussato del comportamento recente dell'agente, aggiornato tramite una Media Mobile Esponenziale (EMA).
  • Sottrazione della Linea di Base (Baseline Subtraction): Per evitare falsi positivi su ruoli che naturalmente generano azioni ad alto rischio (es. analisti di sicurezza), SRM calcola una linea di base specifica per la sessione durante una fase di "riscaldamento" (warmup, $K=3$ turni). Il segnale di rischio viene poi corretto sottraendo questa linea di base, rendendo il sistema sensibile solo all'escalation rispetto alla norma della sessione.
  • Accumulazione del Rischio: Il rischio della sessione ($R_t$) viene aggiornato ad ogni turno combinando il rischio grezzo del gate (corretto) e la deriva semantica. Se $R_t$ supera una soglia $\tau$, la sessione viene bloccata.
• Determinismo: L'intero processo è puramente algebrico, non richiede training, inferenza probabilistica o modelli aggiuntivi, garantendo latenze sub-millisecondo.

3. Contributi Chiave

1. Meccanismo Temporale Deterministico: Introduzione di SRM, un sistema di autorizzazione che non richiede apprendimento né componenti probabilistici.
2. Formulazione Matematica: Definizione di un metodo per l'accumulo di deriva semantica a livello di sessione utilizzando segnali di gate sottratti alla linea di base e smoothing esponenziale.
3. Integrazione Modulare: Un'implementazione compatibile con le architetture di gate esistenti, deployabile come layer opzionale.
4. Framework Concettuale: La distinzione formale tra coerenza spaziale (azione singola) e coerenza temporale (traiettoria) come dimensioni di sicurezza distinte ma complementari.

4. Risultati Sperimentali

Il sistema è stato valutato su un benchmark ILION-SRM-Bench v1 composto da 80 sessioni (40 benigne, 40 di attacco) con scenari di: esfiltrazione lenta, escalation dei privilegi e deriva della conformità.

Metrica	ILION Stateless (Solo Gate)	ILION + SRM
Tasso di Rilevamento (Recall)	100%	100%
Falso Positivo (FPR)	5%	0%
Precisione	0.9524	1.0000
F1 Score	0.9756	1.0000
Overhead di Latenza	< 1 ms	< 250 µs (aggiuntivo)

• Punti Salienti: La combinazione ILION+SRM ha eliminato completamente i falsi positivi (portando l'FPR al 0%) mantenendo un tasso di rilevamento perfetto.
• Rilevamento Precoce: Sebbene il rilevamento medio avvenga leggermente più tardi (turno 4.45 vs 4.05) a causa della natura conservativa dell'accumulo di rischio, SRM è in grado di rilevare attacchi "slow-burn" che il gate stateless mancherebbe fino alla fase finale.
• Efficienza: L'overhead computazionale per turno è di circa 239.9 microsecondi, rendendolo adatto per valutazioni pre-esecuzione in tempo reale.

5. Significato e Implicazioni

• Sicurezza Profonda (Defense in Depth): SRM fornisce un secondo livello di difesa critico contro le minacce moderne che sfruttano la complessità dei flussi di lavoro multi-turno. Mentre il gate stateless protegge da violazioni ovvie, SRM protegge da attacchi subdoli e distribuiti.
• Indipendenza dal Modello: A differenza delle soluzioni basate su LLM o apprendimento automatico, SRM offre garanzie di determinismo e riproducibilità, essenziali per ambienti enterprise sensibili.
• Scalabilità: La capacità di gestire sessioni lunghe senza degradare le prestazioni o introdurre falsi positivi su ruoli legittimi ad alto rischio rende questa soluzione praticabile per il deployment industriale.
• Futuro: Il framework è progettato per essere estendibile a embedding continui ad alta dimensionalità (es. basati su transformer), dove il segnale di deriva semantica ($\Delta_t$) potrebbe diventare ancora più informativo rispetto all'attuale embedding basato su parole chiave.

In sintesi, il paper dimostra che è possibile potenziare la sicurezza degli agenti AI contro attacchi complessi e multi-step mantenendo la rigidità, la velocità e la trasparenza dei sistemi deterministici, risolvendo il problema della "cecità temporale" dei gate di sicurezza attuali.