Session Risk Memory (SRM): Temporal Authorization for Deterministic Pre-Execution Safety Gates

Dit paper introduceert Session Risk Memory (SRM), een lichtgewicht, deterministische module die bestaande veiligheidspoorten uitbreidt met tijdsgebonden autorisatie om gedistribueerde aanvallen te detecteren en tegelijkertijd de vals-positieve ratio tot nul te reduceren zonder extra trainingskosten.

De kern

Stel je voor dat je een zeer slimme, autonome assistent hebt die voor je werkt. Deze assistent mag e-mails lezen, bestanden downloaden en zelfs banktransacties doen, maar alleen als het binnen zijn "regels" valt.

Het probleem is dat deze assistent soms slimme boeven kan zijn. Ze doen niet één grote, duidelijke fout (zoals "Ik ga nu al je geld stelen!"), maar ze breken hun slechte plan op in tientallen kleine, onschuldige stapjes. Elke individuele stap lijkt perfect legitiem, maar als je ze allemaal samen bekijkt, is het een diefstal.

Dit artikel introduceert een slimme oplossing genaamd SRM (Session Risk Memory), die werkt als een slimme waarnemer die niet alleen naar de huidige stap kijkt, maar naar het hele verhaal.

Hier is hoe het werkt, vertaald naar alledaagse taal:

1. De Oude Manier: De "Poortwachter" (Stateless Gate)

Stel je een poortwachter voor bij een kantoor. Iedere keer dat iemand een deur wil openen, kijkt de poortwachter naar dat ene moment.

• Vraag: "Mag je deze deur openen?"
• Antwoord: "Ja, je hebt een pasje en je bent een medewerker." -> Open!
• Vraag: "Mag je nu een stapel papieren meenemen?"
• Antwoord: "Ja, dat mag ook." -> Open!

Het probleem: Als iemand 50 keer een klein stapje doet dat allemaal mag, maar uiteindelijk 5000 documenten heeft gestolen, ziet de poortwachter het niet. Hij kijkt namelijk alleen naar het nu, niet naar wat er eerder is gebeurd. Hij is "geheugenloos".

2. De Nieuwe Manier: De "Verhalende Waarnemer" (SRM)

De auteur introduceert nu SRM. Dit is geen nieuwe poortwachter die harder kijkt, maar een bijzondere notitieboekje dat de poortwachter bijhoudt.

SRM doet twee dingen:

1. Het onthoudt het patroon: Het kijkt niet alleen naar de huidige stap, maar vraagt zich af: "Is dit wel logisch binnen het verhaal dat deze persoon tot nu toe vertelt?"
2. Het meet de spanning: Het houdt een soort "spanningsmeter" bij. Als iemand begint met normale vragen, is de meter laag. Maar als iemand langzaam begint met vreemde combinaties (eerst vragen, dan kopiëren, dan naar buiten sturen), begint de meter langzaam op te lopen.

De Creatieve Analogieën

Analogie 1: De Dief in de Supermarkt

• De Poortwachter (Oude systeem): Kijkt naar elke persoon die een product uit het schap pakt. Als het product mag worden gekocht, laat hij ze gaan.
• Het probleem: Een dief pakt 50 keer een blikje bonen, een blikje tomaten, een blikje... elke keer mag het. Uiteindelijk heeft hij een hele winkel leeggehaald, maar elke keer was het "gewoon een blikje".
• De SRM (Nieuwe systeem): Kijkt naar de mand. "Hé, deze persoon heeft al 40 minuten lang alleen maar dure dingen in zijn mand gedaan en loopt nu naar de uitgang zonder te betalen." De SRM ziet het patroon van de diefstal, niet alleen de individuele blikjes.

Analogie 2: De Verkeersagent

• Oude systeem: Een agent die elke auto afzonderlijk controleert. "Heeft deze auto een kenteken? Ja. Mag hij doorrijden."
• Nieuwe systeem (SRM): Een agent die ziet dat deze auto al 10 keer dezelfde weg is op en neer gereden, steeds met een lading die net iets te groot is. De auto doet niets illegaals op dat ene moment, maar het gedrag over tijd is verdacht. De SRM zegt: "Stop, dit gedrag past niet bij een normale rit."

Hoe werkt het technisch (in simpele termen)?

1. De "Warm-up" (De Oefenronde):
   Als een sessie begint, laat SRM de assistent eerst een paar stappen doen om te zien wat "normaal" is voor die persoon. Een beveiligingsmedewerker mag misschien wel meer doen dan een administratief medewerker. SRM leert eerst wat de "basislijn" is.

2. De "Spanningsmeter" (Risico-opbouw):
   Zodra de basislijn bekend is, begint SRM te meten. Als de assistent iets doet dat afwijkt van wat hij normaal doet, stijgt de meter een beetje.

   • Is het een kleine afwijking? De meter zakt weer een beetje (want mensen maken soms rare keuzes).
   • Blijft de meter stijgen door een reeks van verdachte stappen? Dan gaat het alarm af.

3. De "Geen Valse Alarmen" Regel:
   Het slimme aan SRM is dat het niet direct schreeuwt bij elke kleine afwijking. Het wacht tot het patroon duidelijk is. Hierdoor krijgt het geen valse alarmen (het blokkeert geen normale werknemers die gewoon hun werk doen), maar het vangt wel de slimme boeven die zich verstoppen in lange reeksen.

Wat zijn de resultaten?

In de test met 80 verschillende scenario's:

• Het oude systeem (alleen de poortwachter) miste soms de boeven en blokkeerde soms onterecht normale werknemers (5% fouten).
• Het nieuwe systeem (Poortwachter + SRM) zag alle boeven en blokkeerde geen enkele normale werknemer. Het was perfect (100% score).

Waarom is dit belangrijk?

Vroeger dachten we dat veiligheid betekende: "Kijk of deze ene actie mag."
Dit artikel zegt: "Nee, veiligheid betekent ook kijken naar het verhaal."

Het is het verschil tussen kijken of iemand een mes vasthoudt (ja, dat mag een kok), en kijken of die kok met dat mes 50 minuten lang naar de achterdeur loopt terwijl hij de lichten uitschakelt. De eerste stap is veilig, het verhaal is niet.

Kortom: SRM is de slimme waarnemer die het hele verhaal leest, zodat boeven niet meer kunnen verstoppen in een reeks van kleine, onschuldige stapjes. En het doet dit zo snel dat je er niets van merkt in je dagelijkse werk.

Technische samenvatting

Titel: Session Risk Memory (SRM): Temporele Autorisatie voor Deterministische Veiligheidsgates voor Pre-executie

Auteur: Florin Adrian Chitan (Onafhankelijk Onderzoeker, ILION Project)

---

1. Het Probleem: De Blinde Vlek van Stateless Gates

Autonome AI-agenten worden steeds vaker ingezet in complexe enterprise-workflows die data-toegang, API-oproepen en financiële operaties omvatten. Om deze agenten veilig te houden, worden pre-executieve veiligheidsgates gebruikt die controleren of een voorgestelde actie compatibel is met de toegewezen rol van de agent.

Bestaande systemen, zoals het ILION-framework, zijn stateless (toestandloos): ze evalueren elke actie onafhankelijk van de vorige. Hoewel dit effectief is voor het detecteren van openlijke, directe schendingen, hebben deze systemen een fundamentele structurele beperking:

• Ze zijn blind voor gedistribueerde aanvallen (distributed attacks).
• Een kwaadaardige intentie kan worden opgesplitst in een reeks individuele stappen die er op zich allemaal legitiem uitzien.
• Voorbeeld: Een data-exfiltratie-aanval die begint met het opvragen van interne records, gevolgd door het maken van lokale back-ups, en eindigt met het uploaden van gecomprimeerde archieven naar externe endpoints. Elke individuele stap kan de gate passeren, maar de totale sequentie vormt een aanval.

Het huidige probleem is dus het gebrek aan temporele autorisatie: het vermogen om de coherentie van een actietraject over de tijd te beoordelen, niet alleen de ruimtelijke consistentie van een enkele actie.

---

2. Methodologie: Session Risk Memory (SRM)

SRM is een lichtgewicht, deterministische module die is ontworpen om stateless gates aan te vullen zonder hun snelheid of deterministische aard te verstoren. Het introduceert geen probabilistische inferentie, geen trainingsdata en geen extra modelcomponenten.

Kernarchitectuur en Werkingsprincipe

SRM onderhoudt een compacte representatie van het gedragsprofiel van een sessie en accumuleert een risicosignaal. Het werkt op dezelfde semantische vectorrepresentatie als de onderliggende gate.

1. Semantisch Centroid (Trajectoorsamenvatting):

   • Aan het begin van een sessie wordt een semantisch centroid $c_0$ geïnitieerd.
   • Bij elke beurt $t$ wordt het centroid bijgewerkt via een Exponentiële Glijdende Gemiddelde (EMA):
     $$c_t = \alpha \cdot v_t + (1 - \alpha) \cdot c_{t-1}$$
     (waarbij $\alpha = 0.35$). Dit vormt een gladde samenvatting van het recente gedrag.

2. Baseline Subtraction (Aanpassing voor Rolcontext):

   • Om "valse positieven" te voorkomen bij rollen die van nature risicovolle acties uitvoeren (bijv. beveiligingsanalisten), wordt een sessie-specifieke baseline berekend tijdens een "warmup-fase" (eerste $K=3$ beurten).
   • De ruwe gate-risicoscore $g_t$ wordt gecorrigeerd door deze baseline $b_K$ af te trekken:
     $$\dot{g}_t = \max(0, g_t - b_K)$$
   • Dit zorgt ervoor dat SRM alleen reageert op risico-escalatie boven het normale niveau van die specifieke sessie, niet op absolute risiconiveaus.

3. Risico Accumulatie:

   • Het per-beurt risicosignaal $r_t$ combineert de gecorrigeerde gate-risico's met eventuele driftsignalen.
   • De totale sessierisico $R_t$ wordt bijgewerkt via EMA met een vervalkans $\lambda = 0.75$:
     $$R_t = \lambda \cdot R_{t-1} + (1 - \lambda) \cdot r_t$$
   • Beslissingslogica: Als $R_t$ een drempelwaarde $\tau$ (0.20) overschrijdt, wordt de sessie geblokkeerd. Dit is een conservatieve "eenmaal verdacht, altijd geblokkeerd" policy.

Conceptuele Bijdrage: Ruimtelijk vs. Temporeel

Het paper introduceert een onderscheid tussen twee orthogonale dimensies van veiligheid:

• Ruimtelijke autorisatie (Spatial): Is deze ene actie compatibel met de rol? (Gehandhaafd door de stateless gate).
• Temporele autorisatie (Temporal): Is deze sequentie van acties coherent over de tijd? (Gehandhaafd door SRM).

---

3. Belangrijkste Bijdragen

1. Deterministisch Mechanisme: Een tijdsgebonden autorisatielaag die geen probabilistische componenten of training vereist.
2. Wiskundige Formulering: Een methode voor het accumuleren van semantische drift en risico-escalatie via baseline-gecorrigeerde signalen en exponentiële smoothing.
3. Modulaire Integratie: SRM is een optionele laag die bestaande deterministische gate-architecturen (zoals ILION) kan aanvullen zonder deze te wijzigen.
4. Empirische Validatie: Een evaluatie op een benchmark van 80 sessies die bewijst dat SRM valse positieven elimineert terwijl de detectiegraad 100% blijft.
5. Conceptueel Kader: Het definiëren van ruimtelijke en temporele consistentie als complementaire veiligheidsdimensies.

---

4. Resultaten

De evaluatie vond plaats op de ILION-SRM-Bench v1, bestaande uit 80 sessies (40 legitiem, 40 aanval) met drie aanvalscategorieën:

• Slow Exfiltration (langzame data-exfiltratie).
• Gradual Privilege Escalation (stapsgewijze machtigingsverhoging).
• Compliance Drift (afwijken van compliance-regels).

Vergelijking: Stateless ILION vs. ILION + SRM

Metric	Stateless ILION	ILION + SRM
Detectiegraad (Recall)	100%	100%
False Positive Rate (FPR)	5%	0%
Precision	0.9524	1.0000
F1 Score	0.9756	1.0000
Gemiddelde Detectiebeurt	4.05	4.45
Latenst overhead	< 1 ms	< 0.25 ms (extra)

Belangrijkste bevindingen:

• Eliminatie van Valse Positieven: SRM elimineerde alle 5% valse positieven van het stateless systeem, wat resulteerde in een perfecte F1-score.
• Detectie van "Slow-Burn" Aanvallen: Hoewel de gemiddelde detectie-beurt iets later was (vanwege de conservatieve accumulatie), detecteerde SRM specifieke aanvallen (zoals langzame exfiltratie) die door de stateless gate werden gemist omdat geen enkele individuele stap de drempel overschreed.
• Latenst: De extra rekentijd per beurt bedraagt slechts 239,9 microseconden, wat volledig binnen de eisen voor real-time pre-executieve evaluatie valt.

---

5. Betekenis en Toekomstperspectief

Dit paper biedt een principieel fundament voor sessie-veiligheid in agente systemen. De belangrijkste inzichten zijn:

1. Defensie in diepte: Door zowel ruimtelijke (per actie) als temporele (per traject) consistentie te controleren, worden zowel openlijke als gedistribueerde aanvallen effectief geblokkeerd.
2. Determinisme behouden: SRM bewijst dat geavanceerde trajectanalyse mogelijk is zonder terug te grijpen op probabilistische modellen of "black box" AI, wat cruciaal is voor interpretbaarheid en voorspelbaarheid in enterprise-omgevingen.
3. Toepasbaarheid: Het systeem is ontworpen als een plug-in module die eenvoudig kan worden geïmplementeerd in bestaande workflows, met name waar agenten lange, complexe taken uitvoeren.

Beperkingen en Toekomstig Werk:

• De huidige evaluatie gebruikt een gestructureerde syntaxis en 21-dimensionale vectors. Toekomstig werk richt zich op hogere dimensies (bijv. transformer-embeddings) waar het drift-signaal ($\Delta_t$) waarschijnlijk informatiever zal zijn.
• Verdere validatie is nodig in niet-lineaire workflows met asynchrone acties en vertakte processen.

Conclusie:
SRM lost een fundamentele zwakte in huidige AI-veiligheidssystemen op: het onvermogen om langzame, stapsgewijze aanvallen te detecteren. Het combineert de snelheid en determinisme van stateless gates met de contextuele bewustzijn van een sessie, waardoor een robuustere en nauwkeurigere beveiliging voor autonome agenten wordt mogelijk gemaakt.