Overlaying Governance: A Compositional Authorization Framework for Delegation and Scope in Agentic AI

Dit artikel stelt een compositioneel governance-framework voor dat formele primitieven introduceert voor recursieve delegatie, contextuele grenzen en dynamische scoping om de beperkingen van traditionele autorisatiesystemen te overwinnen bij het beheren van de complexe, autonome aard van agentic AI.

De kern

Het Grote Plaatje: Van "Sleutels" naar "Smart Contracts"

Stel je voor dat je een huis hebt (je digitale leven) en je huurt een menselijke assistent in om het schoon te maken. Je geeft diegene een sleutel. Die sleutel werkt voor altijd, of totdat je hem weer terugneemt. Dit is hoe traditionele computerbeveiliging werkt: je geeft een gebruiker een "token" of een "sleutel" die zegt: "Je mag de voordeur openen."

Stel je nu voor dat je een robotassistent (een AI Agent) inhuurt die superintelligent is. Hij maakt niet alleen schoon; hij kan ook andere robots inhuren om te helpen, hij kan besluiten om de koelkast, de garage of de kluis te openen, en hij kan dit doen terwijl jij slaapt.

Het Probleem:
Het oude "sleutel"-systeem loopt hier vast.

1. Te veel macht: Als je de robot de hoofdsleutel geeft, kan hij per ongeluk de kluis openen en je foto's verwijderen.
2. Te rigide: Als de robot een sub-robot moet inhuren om de loodgieter te vervangen, weet het oude systeem niet hoe het de "loodgieter-permissie" door de keten moet doorgeven.
3. Statisch: De oude sleutel weet niet wanneer of waar hij wordt gebruikt. Hij opent gewoon de deur.

De Oplossing:
Dit paper stelt een nieuwe manier voor om deze AI-robots te beheren. In plaats van ze een statische sleutel te geven, geven we ze een dynamisch, levend contract. Denk aan een slimme polsband die zijn regels aanpast op basis van de situatie.

---

De Kernconcepten (Het "Hoe")

De auteurs stellen drie ingrediënten voor om dit werkend te krijgen:

1. Delegatie als een "Contract" (Niet alleen een Sleutel)

In de oude wereld was delegatie als het overhandigen van een reservesleutel. In deze nieuwe wereld is delegatie als het tekenen van een tijdelijk, specifiek contract.

• Analogie: Stel je voor dat je een aannemer inhuurt om je dak te repareren. Je geeft hem niet de sleutels van je hele huis. Je geeft hem een contract dat zegt: "Je mag het dakgedeelte betreden, maar alleen tussen 9:00 en 17:00 uur, en alleen als je een veiligheidsgordel draagt."
• In het paper: Dit wordt Delegatie genoemd. Het is een regel die zegt: "Agent A mag handelen voor Gebruiker B, maar alleen onder deze specifieke voorwaarden."

2. Scope als een "Envelop" (De Bubbel)

Je kunt de robot niet overal laten ronddwalen. Je moet hem binnen een bubbel plaatsen.

• Analogie: Stel je voor dat de robot zich in een holografische bubbel bevindt. Binnen de bubbel kan hij dingen aanraken. Buiten de bubbel kan hij dat niet. Als de robot probeert buiten de bubbel te reiken, zegt het systeem: "Nee, je bent buiten de grenzen."
• In het paper: Dit wordt Scope genoemd. Het beperkt wat de agent kan aanraken. Als een gebruiker toestemming delegeert om "documenten te bewerken", beslaat de bubbel van de agent alleen documenten, en niet "budgetten verwijderen".

3. De "Overlay" (De Magische Laag)

Het moeilijkste deel is dat bedrijven al beveiligingssystemen hebben (zoals die voor menselijke werknemers). Ze willen die niet weggooien en opnieuw beginnen.

• Analogie: Stel je voor dat je huis een heel oud, stevig alarmsysteem heeft. Je wilt niet de muren afbreken om een nieuw robotbeveiligingssysteem te installeren. In plaats daarvan leg je een nieuwe, transparante laag van slim glas over het oude systeem aan (een overlay). Het oude alarm werkt nog steeds voor mensen, maar de nieuwe glaslaag voegt de "robotregels" daarbovenop toe.
• In het paper: Dit is de Compositional Operator. Het neemt de bestaande beveiligingsregels en "plakt" de nieuwe agent-regels erop zonder de oude te breken. Het creëert een nieuwe "graaf" (een kaart van wie wat mag doen) die beide combineert.

---

Hoe het in de Praktijk Werkt (Het Scenario)

Laten we kijken naar een verhaal uit het paper om te zien hoe deze "Overlay" werkt:

1. De Gebruiker: Bob is een menselijke werknemer. Hij heeft toestemming om een map met ontwerpdocumenten te bekijken.
2. De Delegatie: Bob vraagt zijn AI-assistent, "Agent 1", om die documenten voor hem te lezen.
   • Het Contract: Bob tekent een digitaal contract met Agent 1. "Je mag deze documenten lezen, maar alleen voor het komende uur."
3. De Sub-delegatie: Agent 1 merkt dat hij te druk is, dus vraagt hij een tweede robot, "Agent 2", om te helpen.
   • De Keten: Agent 1 geeft een kleiner contract door aan Agent 2. "Je mag de documenten lezen, maar alleen voor de komende 10 minuten, en alleen het bestand 'Budget'."
4. De Controle: Agent 2 probeert het bestand te openen.
   • Stap A (De Bubbel): Het systeem controleert: Is Agent 2 binnen de "Ontwerpmap"-bubbel? Ja.
   • Stap B (De Keten): Het systeem controleert: Heeft Agent 2 toestemming gekregen van iemand die daadwerkelijk de sleutel heeft? Ja, het leidt terug naar Bob.
   • Stap C (De Voorwaarden): Het systeem controleert: Is het nog binnen de tijdspanne van 10 minuten? Ja.
   • Resultaat: De deur gaat open.

Als Agent 2 probeert een bestand te openen dat buiten de map valt, of als de 10 minuten voorbij zijn, zegt het "contract" "Nee" en blijft de deur dicht.

---

Waarom Dit Belangrijk Is (De "En Nu?")

Het paper betoogt dat we dit systeem nodig hebben omdat AI-agents steeds meer autonoom worden. Ze zijn niet alleen hulpmiddelen; het zijn actoren die beslissingen kunnen nemen, andere agents kunnen inhuren en zich kunnen verplaatsen.

• Veiligheid: Het voorkomt dat een AI "ontspoort" en dingen doet die hij niet had mogen doen (zoals je bankrekening verwijderen omdat hij je "helpt" je financiën te organiseren).
• Verantwoording: Als er iets misgaat, kun je de "contractketen" bekijken en precies zien wie aan wie toestemming heeft gegeven, en onder welke voorwaarden. Het is als een papierwerk-spoor voor digitale acties.
• Flexibiliteit: Het stelt bedrijven in staat om hun bestaande beveiligingssystemen te gebruiken (waar ze jarenlang aan hebben gebouwd) zonder alles vanaf nul opnieuw te hoeven bouwen. Ze leggen simpelweg de nieuwe AI-regels als een "overlay" over de oude heen.

Samenvatting

Het paper stelt een nieuw framework voor waarbij AI-agents niet een statische "sleutel" krijgen tot je digitale huis. In plaats daarvan krijgen ze dynamische, tijdsgebonden, contextbewuste contracten die over je bestaande beveiliging worden gelegd. Dit zorgt ervoor dat zelfs wanneer AI-agents slimmer en onafhankelijker worden, ze binnen de grenzen blijven die jij stelt en optreden als verantwoordelijke afgevaardigden in plaats van oncontroleerbare krachten.

Technische samenvatting

Technische Samenvatting: Overlaying Governance: Een Compositioneel Autorisatiekader voor Delegatie en Scope in Agentic AI

1. Probleemstelling

Naarmate AI-systemen evolueren van passieve modellen naar autonome "Agentic AI" die in staat zijn om acties te initiëren, samen te werken en recursief taken te delegeren, worden traditionele softwaregrenzen en autorisatiekaders ontoereikend. Bestaande Identity and Access Management (IAM)-systemen en standaarden zoals OAuth 2.0 vertrouwen op statische tokens, vaste scopes en expliciete verzoeken. Deze mechanismen falen om de dynamische, recursieve aard van agent-interacties te vatten waarbij:

• Recursieve Delegatie: Agents delegeren subtaken aan andere agents, wat ketens van autoriteit creëert die statische tokens niet efficiënt kunnen representeren.
• Dynamische Context: Agents opereren onder runtime-condities (bijv. tijdslimieten, specifieke hardware, netwerklocaties) die statische scopes niet kunnen aanpassen.
• Scope-attenuatie: Er is een gebrek aan mechanismen om de reikwijdte van autoriteit progressief in te perken naarmate deze door een delegatieketen wordt doorgegeven (bijv. een agent kan voorstellen bewerken, maar niet budgetten).
• Verantwoording: Traditionele modellen worstelen met het traceren van de afstamming van permissies in complexe, multi-agent ecosystemen, wat forensische analyse en handhaving van het principe van 'least privilege' bemoeilijkt.

Het artikel betoogt dat het behandelen van delegatie louter als een overdracht van credentials inadequaat is; in plaats daarvan moet het worden behandeld als een contractuele voorwaarde met uitvoerbare governance-primitieven.

2. Methodologie

De auteurs stellen een compositioneel governance-kader voor dat agentische semantiek over bestaande autorisatiedomeinen legt zonder de kernlogica ervan te herschrijven. De methodologie is geworteld in Relation-Based Access Control (ReBAC) en maakt gebruik van OpenFGA (een open-source implementatie van Google's Zanzibar-model) als het referentie-substraat.

Kerncomponenten:

• Relationele Primitieven: Het kader definieert delegatie en scope als relationele graafranden in plaats van statische tokens.
  • Delegatietypes: Het artikel formaliseert zes typen delegatie:
    1. Volledige delegatie: Onvoorwaardelijke "spreekt namens"-autoriteit.
    2. Scoped delegatie: Autoriteit beperkt tot een subset van acties/bronnen.
    3. Conditionele delegatie: Autoriteit geldig onder specifieke predicaten (bijv. tijd, locatie).
    4. Dieptegebonden delegatie: Beperkt de recursie-diepte van delegatieketens.
    5. Temporele delegatie: Tijdgebonden geldigheid.
    6. Groepsdelegatie: Vereist goedkeuring door meerdere principals (n-van-m).
  • Scope en Attenuatie: Scopes worden gemodelleerd als hiërarchische containers (bijv. organisatie $\to$ project $\to$ map). De "autorisatie-envelop" van een agent is het snijvlak van zijn delegatieketen (afkomstig van een mens) en zijn actieve sessie-scope.
• Compositionele Operator (Overlay):
  • De auteurs definiëren een getypeerde graaf-rewrite operator (geïnspireerd door Double-Pushout/DPO-theorie) die een domeinspecifiek ReBAC-schema fuseert met een generiek "agentisch overlay"-schema.
  • De overlay introduceert nieuwe typen (agent, session, scope) en relaties (delegatee, kan_uitvoeren_namens_mij, in_scope).
  • Lift-specificatie: De operator "lift" bestaande menselijke permissies (bijv. viewer) en herdefinieert deze als de unie van de oorspronkelijke menselijke toegang en de intersectie van:
    1. Agents in de actieve scope (ags_in_scope).
    2. Agents bereikbaar via een delegatieketen vanaf de oorspronkelijke menselijke principals (chain_agents_for_r).
  • Dit zorgt ervoor dat menselijke toegang autoritatief blijft, terwijl agentische toegang strikt afgeleid en begrensd is door de overlay.

3. Belangrijkste Bijdragen

Het artikel levert vier specifieke bijdragen:

1. Conceptualisering: Het definieert delegatietypes en resource-scoping als de primaire drijvers van agentische toegang, waarbij het verder gaat dan statische rollen naar contractuele, runtime-geëvalueerde voorwaarden.
2. Formalisering: Het biedt een formalisering van delegatie als een agentische governance-overlay en een compositionele operator om deze semantiek te integreren in bestaande autorisatiedomeinen, gebaseerd op graaftransformatie-theorie.
3. Security Architectuur: Het illustreert een security-architectuur die de resulterende autorisatiegraaf gebruikt om gebruikers, agents, scopes en delegatiesessies te besturen, wat continue verificatie en intrekking mogelijk maakt.
4. Validatie: Het bevat formele bewijzen voor de behoud van bestaande autorisatie-semantiek en de agent-autorisatie-soundness, naast empirische benchmarks die de runtime-overhead van de overlay op grote synthetische ReBAC-modellen aantonen.

4. Resultaten en Evaluatie

• Formele Bewijzen: De auteurs bewijzen dat de compositionele overlay de soundness van de onderliggende ReBAC-engine behoudt. De overlay introduceert geen nieuwe executie-semantiek voor autorisatiecontroles, maar voegt wel getypeerde relaties toe die worden geëvalueerd door de bestaande userset-machinerie. Dit zorgt ervoor dat het systeem deterministisch en weloverwogen blijft.
• Empirische Evaluatie: Het artikel presenteert benchmarks die de runtime-overhead tonen bij het toepassen van de overlay op grote synthetische ReBAC-modellen. De resultaten wijzen uit dat de compositionele aanpak praktisch is en een beheersbare overhead introduceert, wat de haalbaarheid voor real-world implementatie ondersteunt.
• Operationeel Voorbeeld: Het kader wordt gedemonstreerd via een scenario waarin een gebruiker autoriteit delegeert aan een agent met tijdgebonden restricties. Het systeem berekent succesvol de toegangsrechten van de agent door de delegatieketen te snijden met de actieve sessie-scope, waarbij de toegang onmiddellijk wordt ingetrokken zodeling de conditie verloopt.

5. Betekenis en Claims

Het artikel claimt een formeel doch praktisch fundament te bieden voor verantwoorde autorisatie in agentic AI-systemen. De betekenis ligt in:

• Operationalisering van Governance: Het brengt AI-governance van abstracte principes naar uitvoerbare, relationele primitieven die gestandaardiseerd en herbruikbaar kunnen worden over verschillende domeinen (bijv. financiën, gezondheidszorg).
• Handhaving van Least Privilege: Door delegatie te behandelen als een contractuele, contextbewuste relatie, dwingt het kader 'least privilege' dynamisch af, waardoor agents alleen handelen binnen hun begrensde "envelop".
• Interoperabiliteit: Het compositionele karakter van het kader stelt het in staat om bovenop bestaande RBAC, ABAC of hybride policies te draaien zonder dat een volledige herontwerp van enterprise identity-infrastructuren nodig is.
• Traceerbaarheid: Het maakt het mogelijk om de autorisatiestaten te traceren, waardoor systemen de keten van delegatie en scope voor een gegeven actie kunnen auditeren, wat cruciaal is voor forensische analyse in autonome systemen.

De auteurs positioneren dit werk als een noodzakelijke evolutie van statische token-gebaseerde toestemming (OAuth) naar dynamische, recursieve en contextbewuste governance-primitieven die vereist zijn voor de volgende generatie autonome agents.