Beyond Input Guardrails: Reconstructing Cross-Agent Semantic Flows for Execution-Aware Attack Detection

O artigo apresenta o \SysName, um framework que supera as limitações dos guardrails de entrada tradicionais em Sistemas Multi-Agentes ao reconstruir fluxos semânticos entre agentes para uma análise orientada à execução, detectando efetivamente ataques compostos complexos através da identificação de anomalias em trajetórias comportamentais.

O essencial

Imagine que você construiu um escritório futurista onde, em vez de uma única pessoa fazendo todo o trabalho, você tem uma equipe de robôs inteligentes (chamados de "Agentes") trabalhando juntos. Um robô pesquisa na internet, outro escreve código, um terceiro gerencia e-mails e outro cuida de bancos de dados. Eles conversam entre si o tempo todo para resolver tarefas complexas.

O problema é que esses robôs são tão inteligentes e autônomos que podem ser enganados de formas que um humano comum não imaginaria.

Aqui está a explicação do papel "MAScope" (o título do artigo) usando uma linguagem simples e analogias do dia a dia:

1. O Problema: O "Guarda" que só olha a porta

Atualmente, a segurança desses sistemas funciona como um segurança na porta de entrada (chamado de "Input Guardrails").

• Como funciona: O guarda olha o que você diz antes de entrar. Se você disser algo óbvio e perigoso (como "roube os cofres"), ele te barrar.
• Onde falha: E se um ladrão entrar com um bilhete inofensivo que diz "Vou apenas organizar os arquivos", mas, no meio do caminho, o bilhete muda de cor e diz "Agora roube os cofres"? Ou pior: e se o ladrão pedir para o Robô de E-mails escrever uma carta, e essa carta, ao ser lida pelo Robô de Banco de Dados, fizer ele entender que deve entregar os segredos?
• A falha: O guarda na porta só vê a primeira frase. Ele não consegue ver a história completa do que aconteceu dentro do escritório. Os ladrões modernos usam truques sutis, dividindo o ataque em várias pequenas etapas inofensivas que só se tornam perigosas quando você as vê juntas.

2. A Solução: O "Detetive de Histórias" (MAScope)

Os autores criaram o MAScope, que não é um guarda na porta, mas sim um detetive que vigia a história inteira.

Em vez de apenas checar o que entra, o MAScope faz três coisas mágicas:

A. Traduzindo o "Babel" (Extração Semântica)

Os robôs falam uma linguagem mista: às vezes usam termos técnicos, às vezes falam de arquivos, às vezes de IPs (endereço de internet). É como se um falasse português, outro inglês e outro código binário.

• A Analogia: Imagine que o MAScope é um tradutor universal que ouve a conversa e anota: "Ah, o Robô A pegou um segredo (senha) e o Robô B está prestes a mandar para um número de telefone estranho". Ele transforma conversas bagunçadas em uma lista clara de "Quem pegou o quê".

B. Reconstruindo o "Filme" (Reconstrução de Fluxo)

Muitas vezes, o ataque é dividido em pedaços.

• Passo 1: Robô A pede um arquivo (parece normal).
• Passo 2: Robô B lê o arquivo (parece normal).
• Passo 3: Robô C envia o arquivo para um estranho (parece normal isoladamente).
• O Truque do MAScope: Ele pega esses pedaços soltos e costura o filme inteiro. Ele vê que, juntos, esses passos formam um roubo. Ele reconstitui a "trajetória" do comportamento, mostrando o caminho completo que o dado percorreu.

C. O "Chefe Inteligente" (Supervisor LLM)

Depois de montar o filme, o MAScope usa um Super-Inteligente (um modelo de IA avançado) para assistir ao vídeo e julgar: "Isso é normal ou é um crime?".

• Ele verifica três coisas:
  1. Intenção: O robô fez o que o humano pediu? (Se o humano pediu para "organizar", mas o robô "roubou", é crime).
  2. Confidencialidade: O segredo foi para um lugar confiável? (Se a senha foi para um e-mail estranho, é crime).
  3. Controle: O robô usou poderes que não deveria? (Se um estagiário tentou abrir o cofre, é crime).

3. O Resultado na Prática

O papel mostra que, ao usar esse método, o sistema consegue pegar mais de 10 tipos diferentes de golpes complexos que os guardas de porta (sistemas antigos) deixariam passar.

• Exemplo Real do Papel: Um hacker enviou um e-mail com uma instrução escondida. O Robô de E-mails leu, passou para o Robô de Planejamento, que pediu para o Robô de Banco de Dados pegar a lista de funcionários e enviar para o hacker.
  • Sistema Antigo: "O e-mail parecia ok. O banco de dados só leu dados. Tudo normal." -> Falha.
  • MAScope: "Espera! O Robô de E-mails leu um comando estranho, que fez o Robô de Planejamento mudar de ideia, que fez o Banco de Dados pegar dados sensíveis e enviar para um IP desconhecido. ALERTA DE ATAQUE!"

Resumo Final

O MAScope muda a segurança de "olhar apenas o que você diz na porta" para "vigiar o que você faz durante toda a sua jornada". Ele entende que, em um time de robôs, o perigo não está apenas na primeira palavra, mas na história completa que eles contam entre si.

É como ter um sistema de segurança que não apenas revira sua bolsa na entrada, mas que tem uma câmera que grava cada passo seu dentro do banco e avisa o gerente se você começar a andar em direção ao cofre de forma suspeita, mesmo que você esteja "apenas caminhando".

Resumo técnico

Aqui está um resumo técnico detalhado do artigo "Beyond Input Guardrails: Reconstructing Cross-Agent Semantic Flows for Execution-Aware Attack Detection" (Além das Barreiras de Entrada: Reconstruindo Fluxos Semânticos entre Agentes para Detecção de Ataques Conscientes da Execução), apresentado em português.

---

1. Problema e Contexto

Os Sistemas Multi-Agente (MAS) baseados em Grandes Modelos de Linguagem (LLMs) estão se tornando o padrão para orquestrar tarefas complexas. No entanto, essa arquitetura introduz riscos de segurança críticos que as defesas tradicionais não conseguem mitigar:

• Limitações das Barreiras de Entrada (Input Guardrails): As defesas atuais focam na filtragem estática de entradas e saídas (I/O). Em MAS, os atacantes podem orquestrar explorações de múltiplos passos, onde micro-operações aparentemente inofensivas, distribuídas entre diferentes agentes e ao longo do tempo, só se manifestam como maliciosas quando vistas como uma sequência completa.
• Ambiguidade Semântica e Fragmentação: Os agentes operam com entradas não estruturadas e lógica probabilística. Isso cria uma "ambiguidade semântica" onde é difícil distinguir comportamentos legítimos complexos de intenções maliciosas.
• Superfície de Ataque Expandida: Os riscos não surgem apenas de defeitos individuais, mas das dinâmicas de interação, dependências de confiança transitiva e lógica de coordenação entre agentes. Ataques como injeção de prompt indireta, envenenamento de memória e abuso de privilégios exploram essas lacunas.

O artigo argumenta que a segurança precisa migrar de uma filtragem estática de entrada para uma análise consciente da execução (execution-aware analysis).

2. Metodologia: O Framework MAScope

O authors propõem o MAScope, um framework unificado que muda o paradigma de defesa para a análise de Fluxos Semânticos entre Agentes (Cross-Agent Semantic Flows). O sistema opera em três módulos principais:

A. Coleta de Dados (Data Collection)

Para preencher a lacuna semântica entre a camada de aplicação (intenção do agente) e a camada de kernel (artefatos do sistema), o MAScope utiliza uma estratégia de observação de duas camadas:

• Coletor de Kernel: Monitora processos do sistema, arquivos, rede e chamadas de sistema (usando ferramentas como ETW e eBPF).
• Coletor de Aplicação: Captura logs estruturados de interações de alto nível entre agentes (mensagens, chamadas de ferramentas, contexto).
• Unificação: Os dados heterogêneos são alinhados temporalmente e normalizados para construir um Grafo Semântico entre Agentes, onde cada evento é definido como uma quintupla $(l, s, r, o, t)$: camada, sujeito, relação, objeto e timestamp.

B. Extração Semântica e Reconstrução de Fluxo

Este módulo transforma logs não estruturados em primitivas semânticas estruturadas:

• Extração de Entidades Sensíveis: Utiliza um mecanismo chamado Hierarchical Sensitive Entity Constraint (HSEC). Em vez de apenas identificar entidades, o HSEC impõe restrições hierárquicas e contextuais ao LLM (ex: diferenciar um endereço residencial de uma cidade em notícias). Isso reduz falsos positivos e negativos.
• Atribuição de Risco: Cada entidade extraída recebe uma pontuação de sensibilidade baseada em sua categoria e contexto (ex: padrões de segredos, caminhos de arquivos sensíveis, destinos de rede não confiáveis).
• Reconstrução de Trajetórias: O sistema agrega eventos fragmentados em trajetórias comportamentais contínuas. Ele prioriza caminhos de proveniência com maior risco acumulado para análise posterior.

C. Escrutínio de Trajetória (Trajectory Scrutiny)

Um LLM Supervisor analisa as trajetórias reconstruídas contra três políticas de segurança rigorosas para detectar anomalias:

1. Consistência de Intenção: Verifica se as ações do agente desviam-se do objetivo declarado pelo usuário ou violam restrições explícitas (ex: "não exfiltrar dados").
2. Confidencialidade do Fluxo de Dados: Detecta se entidades sensíveis fluem para destinos externos não confiáveis (fora de uma lista branca).
3. Integridade do Fluxo de Controle: Identifica elevações de privilégio não autorizadas ou a execução de comandos de alto risco sem consentimento administrativo.

3. Principais Contribuições

• Mudança de Paradigma: Propõe a transição da defesa baseada em entrada estática para a análise dinâmica de fluxos de execução em tempo real.
• Framework de Fluxos Semânticos: Introduz a reconstrução de trajetórias comportamentais contínuas a partir de comunicações dispersas entre agentes, permitindo uma visão holística do sistema.
• Mecanismo HSEC: Desenvolveu uma técnica de extração de entidades sensíveis baseada em restrições hierárquicas que melhora significativamente a precisão na identificação de dados críticos em contextos não estruturados.
• Avaliação Empírica Abrangente: Reproduziu os Top 10 de Ataques da OWASP para Aplicações Agentic, cobrindo todo o ciclo de vida do sistema multi-agente.

4. Resultados Experimentais

Os experimentos foram realizados em 10 cenários de simulação de alta fidelidade (incluindo plataformas de recrutamento, orquestração de e-mails e assistentes de programação), gerando um conjunto de dados com quase 15.000 registros.

• Extração de Informações Sensíveis:
  • O uso do HSEC aumentou o F1-score de extração de 48,2% para 75,7% (com o modelo Gemini-3) e de 49,4% para 76,8% (com o modelo GPT-5.2), demonstrando uma melhoria drástica na precisão e recall.
• Detecção de Ataques:
  • Nível de Nó (Node-level): O MAScope alcançou um F1-score de 85,3%, superando significativamente a linha de base "VanillaGPT" (que obteve apenas 21,9%).
  • Nível de Caminho (Path-level): O framework alcançou um F1-score de 66,7% na detecção de vetores de ataque compostos, enquanto a linha de base falhou em capturar dependências semânticas de múltiplos passos.
• Capacidade de Detecção: O sistema detectou com sucesso mais de 10 vetores de ataque compostos distintos, incluindo injeção de prompt indireta, sequestro de objetivos de agentes e abuso de identidade.

5. Significado e Impacto

O trabalho do MAScope é fundamental para a segurança futura de ecossistemas de IA autônoma:

• Superação de Limitações Atuais: Demonstra que as barreiras de entrada tradicionais são insuficientes para sistemas multi-agente, onde o contexto e a cadeia de eventos são cruciais.
• Visibilidade Holística: Ao reconstruir o fluxo semântico, o sistema consegue identificar ataques que parecem benignos em cada etapa individual, mas são maliciosos em conjunto.
• Fundação para Confiança: Estabelece uma base para a computação agente confiável, permitindo que sistemas multi-agente operem em ambientes abertos e complexos sem comprometer a confidencialidade dos dados ou a integridade do sistema.

Em resumo, o MAScope oferece uma solução prática e eficaz para o desafio emergente de segurança em sistemas multi-agente, focando na análise comportamental contínua em vez da simples filtragem de entrada.