Session Risk Memory (SRM): Temporal Authorization for Deterministic Pre-Execution Safety Gates

Este artigo apresenta a Memória de Risco de Sessão (SRM), um módulo determinista leve que aprimora os sistemas de segurança de agentes ao adicionar verificação de consistência temporal baseada em trajetória, eliminando falsos positivos e detectando ataques distribuídos de "queima lenta" sem exigir treinamento adicional ou inferência probabilística.

O essencial

Imagine que você tem um guarda de segurança muito inteligente (chamado de "ILION") que trabalha em um banco digital. A função desse guarda é verificar cada pedido que um funcionário faz antes de ele ser executado.

• Como ele funciona hoje: O guarda olha para o pedido individual. Se o funcionário pede para "ver a conta do cliente João", o guarda pensa: "Ok, ele é do departamento financeiro, isso é permitido. Aprovado!". Se o funcionário pede para "baixar um relatório", o guarda pensa: "Também é permitido. Aprovado!".

O Problema: O Ladrão Disfarçado
O problema é que um ladrão esperto pode não fazer nada errado de uma só vez. Ele pode fazer uma série de pedidos pequenos e normais, um por um, que parecem inocentes, mas que, juntos, formam um roubo gigante.

• Passo 1: "Ver lista de clientes" (Normal).
• Passo 2: "Baixar dados dos clientes" (Normal).
• Passo 3: "Compactar os dados em um arquivo" (Normal).
• Passo 4: "Enviar o arquivo para um e-mail pessoal" (Normal, mas perigoso aqui).

O guarda antigo (ILION) aprova cada passo isoladamente porque, sozinho, cada passo parece legítimo. Ele é "cego" para o padrão de comportamento ao longo do tempo. É como se alguém entrasse no banco, pegasse uma moeda, depois outra, depois mais uma, e saísse com o cofre inteiro, mas o guarda só olhasse para a moeda na mão de cada vez.

A Solução: A "Memória de Risco da Sessão" (SRM)
O artigo apresenta uma nova tecnologia chamada SRM (Session Risk Memory). Pense no SRM como um segundo guarda que trabalha ao lado do primeiro, mas com uma habilidade diferente: ele tem memória.

Enquanto o primeiro guarda olha para o agora (o pedido atual), o segundo guarda (SRM) olha para a história (o que aconteceu nos últimos minutos).

Como funciona a analogia do "Rastreador de Comportamento":

1. O "Círculo de Confiança" (Centróide Semântico):
   Imagine que, quando o funcionário começa o turno, o SRM desenha um círculo no chão ao redor dele. Esse círculo representa o que é "normal" para aquele funcionário. Se ele pede coisas que ficam dentro desse círculo, tudo bem.

2. O "Termômetro de Risco" (Acumulador de Risco):
   O SRM tem um termômetro. Se o funcionário começa a fazer coisas que se afastam um pouco do círculo normal, o termômetro sobe um pouquinho.

   • Se ele faz algo estranho, o termômetro sobe.
   • Se ele faz algo normal de novo, o termômetro desce um pouco (como um termômetro que esfria rápido).
   • Mas, se ele continua fazendo coisas estranhas, o termômetro sobe e sobe, acumulando "risco".

3. O "Período de Aquecimento" (Baseline Subtraction):
   O SRM é inteligente. Ele sabe que alguns funcionários (como um analista de segurança) naturalmente pedem coisas mais "arriscadas" do que um assistente de RH. Então, nos primeiros 3 pedidos do dia, o SRM apenas observa e aprende: "Ok, para este funcionário, pedir dados de segurança é normal". Ele ajusta o zero do termômetro para a realidade daquele funcionário. Isso evita que ele acuse um funcionário honesto só porque o trabalho dele é "arriscado".

4. O Grito de Alerta:
   Se o termômetro de risco acumulado passar de um certo limite (o limiar), o SRM grita: "PARE! O padrão de comportamento deste funcionário mudou. Ele está desviando do curso!", mesmo que cada pedido individual ainda pareça permitido.

O Resultado Mágico

O artigo testou isso em 80 cenários de "ladrões lentos" (que tentam roubar aos poucos).

• Só com o Guarda Velho (ILION): Ele pegou todos os ladrões, mas também acusou 5 funcionários inocentes de serem ladrões (falsos positivos), porque eles faziam coisas estranhas, mas legítimas.
• Com o Guarda Velho + SRM: O sistema pegou 100% dos ladrões e 0% dos inocentes.

Por que isso é importante?
O SRM não precisa de "aprendizado de máquina" complexo, nem de redes neurais que demoram para treinar. É uma fórmula matemática simples e rápida (leva menos de 0,00025 segundos para checar).

Resumo em uma frase:

O sistema antigo olha se cada passo é seguro; o novo sistema (SRM) olha se a caminhada inteira faz sentido, impedindo ladrões que tentam roubar o banco "pedaço por pedaço" sem nunca parecerem suspeitos em um único momento.

É como a diferença entre um guarda que verifica se você tem um passaporte válido (espaço) e um guarda que percebe que você está andando em círculos estranhos dentro do aeroporto, mesmo tendo o passaporte (tempo). Juntos, eles criam uma segurança perfeita.

Resumo técnico

Resumo Técnico: Session Risk Memory (SRM)

1. O Problema

Com a crescente adoção de agentes de IA autônomos em fluxos de trabalho empresariais (acesso a dados, chamadas de API, operações financeiras), garantir que essas ações permaneçam dentro do escopo autorizado é crítico.

Atualmente, os portões de segurança pré-execução determinísticos (como o framework ILION) avaliam ações individuais de forma estatal (stateless). Embora eficazes para bloquear violações óbvias e imediatas, eles possuem uma limitação estrutural: são "cegos" a ataques distribuídos.

• A Limitação: Um agente malicioso pode decompor uma intenção prejudicial em múltiplos passos, onde cada passo individual parece legítimo e passa na verificação de segurança.
• O Cenário de Ataque: Um ataque de "exfiltração lenta" (slow-burn) pode começar com consultas normais a um banco de dados, criar backups locais e, gradualmente, subir arquivos para endpoints externos. Cada ação isolada é aprovada, mas a sequência completa constitui uma violação de segurança.

2. Metodologia: Session Risk Memory (SRM)

O SRM é um módulo determinístico e leve projetado para estender os portões de segurança estatais com autorização consciente da trajetória. Ele não substitui o portão existente, mas atua como uma camada temporal complementar.

Arquitetura e Princípios

• Compatibilidade: Opera sobre os mesmos vetores semânticos gerados pelo portão subjacente (ILION), sem exigir novos componentes de modelo, treinamento ou inferência probabilística.
• Determinismo: Todas as computações são operações algébricas de forma fechada, garantindo resultados idênticos para a mesma sequência de entrada.
• Baixa Latência: O custo computacional por turno é inferior a 250 microssegundos.

Mecanismos Principais

O SRM mantém um estado de sessão composto por três elementos:

1. Centróide Semântico (EMA): Um vetor que representa o perfil comportamental médio da sessão, atualizado via Média Móvel Exponencial (EMA) a cada nova ação ($c_t = \alpha \cdot v_t + (1 - \alpha) \cdot c_{t-1}$).
2. Subtração de Linha de Base (Baseline Subtraction): Para evitar falsos positivos em funções legítimas que naturalmente geram alto risco (ex: analistas de segurança), o sistema executa uma fase de "aquecimento" (warmup) nos primeiros $K$ turnos para estimar uma linha de base de risco específica da sessão. O risco ajustado é calculado como $\dot{g}_t = \max(0, g_t - b_K)$.
3. Acumulador de Risco: O risco acumulado da sessão ($R_t$) é atualizado via EMA, combinando o desvio semântico e o risco do portão ajustado.
   • Se $R_t$ ultrapassar um limiar $\tau$, a sessão é bloqueada.

Distinção Conceitual

O artigo propõe uma decomposição da segurança em duas dimensões ortogonais:

• Consistência Espacial: Avaliada por ação (pelo portão estatal). Pergunta: "Esta ação é compatível com o papel?"
• Consistência Temporal: Avaliada pela trajetória (pelo SRM). Pergunta: "Esta sequência de ações é coerente com o papel ao longo do tempo?"

3. Contribuições Chave

1. Mecanismo Determinístico de Autorização Temporal: Uma solução para sistemas de agentes que detecta padrões de ataque distribuídos sem usar redes neurais ou probabilidades.
2. Formulação Matemática de Deriva Semântica: Uso de subtração de linha de base e suavização exponencial para acumular sinais de risco de forma controlada.
3. Implementação Modular: Pode ser ativada ou desativada por implantação sem alterar a configuração do portão de execução existente.
4. Novo Paradigma de Segurança: A distinção formal entre consistência espacial e temporal como dimensões de segurança complementares.

4. Resultados Experimentais

O sistema foi avaliado em um benchmark de 80 sessões (40 benignas, 40 de ataque) contendo três categorias de ataques: exfiltração lenta, escalonamento gradual de privilégios e desvio de conformidade.

Métrica	ILION (Estatal)	ILION + SRM
Taxa de Detecção (Recall)	100%	100%
Taxa de Falsos Positivos (FPR)	5%	0%
Precisão	0.9524	1.0000
F1 Score	0.9756	1.0000
Turno Médio de Detecção	4.05	4.45

Análise dos Resultados:

• Eliminação de Falsos Positivos: O SRM eliminou completamente os 5% de falsos positivos do sistema estatal, alcançando um F1 perfeito.
• Detecção de Ataques "Slow-Burn": Embora o turno médio de detecção seja ligeiramente maior (devido à necessidade de acumular risco acima da linha de base), o SRM é capaz de detectar ataques que o portão estatal não detectaria até o final da sequência.
• Latência: O overhead computacional é de ~240 microssegundos por turno, mantendo-se adequado para avaliação em tempo real pré-execução.

5. Significado e Conclusão

O SRM representa um avanço significativo na segurança de sistemas de agentes autônomos ao abordar a vulnerabilidade dos portões de segurança tradicionais contra ataques multi-etapa.

• Defesa em Profundidade: Ao combinar a verificação espacial (ação imediata) com a verificação temporal (coerência da sessão), o sistema cria uma barreira robusta contra tanto violações óbvias quanto ataques sutis e distribuídos.
• Viabilidade Industrial: Por ser determinístico, não probabilístico e modular, o SRM pode ser integrado em pipelines de execução existentes sem introduzir incertezas de IA ou requisitos de treinamento, tornando-o ideal para ambientes corporativos críticos.
• Futuro: O trabalho sugere que, com embeddings contínuos de alta dimensão (em vez dos vetores esparsos baseados em palavras-chave atuais), o componente de "desvio semântico" ($\Delta_t$) do SRM se tornará ainda mais discriminativo, potencialmente melhorando a detecção precoce.

Em suma, o SRM transforma a segurança de agentes de uma verificação pontual para uma avaliação contínua de comportamento, garantindo que a intenção maliciosa não possa se esconder atrás de passos individualmente legítimos.