Overlaying Governance: A Compositional Authorization Framework for Delegation and Scope in Agentic AI

Este artigo propõe uma estrutura de governança composicional que introduz primitivas formais para delegação recursiva, limites contextuais e escopo dinâmico para superar as limitações dos sistemas de autorização tradicionais no gerenciamento da natureza complexa e autônoma da IA agente.

O essencial

O Panorama Geral: De "Chaves" para "Contratos Inteligentes"

Imagine que você tem uma casa (sua vida digital) e contrata um assistente humano para limpá-la. Você dá a ele uma chave. Essa chave funciona para sempre, ou até você a pegar de volta. É assim que a segurança computacional tradicional funciona: você dá ao usuário um "token" ou uma "chave" que diz: "Você pode abrir a porta da frente".

Agora, imagine que você contrata um assistente robô (um Agente de IA) que é super inteligente. Ele não apenas limpa; ele pode contratar outros robôs para ajudar, pode decidir abrir a geladeira, a garagem ou o cofre, e pode fazer isso enquanto você dorme.

O Problema:
O antigo sistema de "chave" quebra aqui.

1. Poder excessivo: Se você der a chave mestra ao robô, ele pode acidentalamente abrir o cofre e deletar suas fotos.
2. Rigidez excessiva: Se o robô precisar contratar um sub-robô para consertar o encanamento, o sistema antigo não sabe como passar a "permissão de encanamento" adiante na cadeia.
3. Estático: A chave antiga não sabe quando ou onde está sendo usada. Ela apenas abre a porta.

A Solução:
Este artigo propõe uma nova maneira de gerenciar esses robôs de IA. Em vez de dar a eles uma chave estática, damos a eles um contrato dinâmico e vivo. Pense nisso como uma pulseira inteligente que altera suas regras com base na situação.

---

Os Conceitos Centrais (O "Como Fazer")

Os autores sugerem três ingredientes principais para fazer isso funcionar:

1. Delegação como um "Contrato" (Não apenas uma Chave)

No mundo antigo, a delegação era como entregar uma chave reserva a alguém. Neste novo mundo, a delegação é como assinar um contrato temporário e específico.

• Analogia: Imagine que você contrata um empreiteiro para consertar seu telhado. Você não dá a ele as chaves de toda a sua casa. Você dá a ele um contrato que diz: "Você pode entrar na área do telhado, mas apenas entre as 9h e as 17h, e apenas se estiver usando um arnês de segurança".
• No artigo: Isso é chamado de Delegação. É uma regra que diz: "O Agente A pode agir em nome do Usuário B, mas apenas sob estas condições específicas".

2. Escopo como um "Envelope" (A Bolha)

Você não pode deixar o robô vagar por toda parte. Você precisa colocá-lo dentro de uma bolha.

• Analogia: Imagine que o robô está dentro de uma bolha holográfica. Dentro da bolha, ele pode tocar nas coisas. Fora da bolha, ele não pode. Se o robô tentar alcançar algo fora da bolha, o sistema diz: "Não, você está fora dos limites".
• No artigo: Isso é chamado de Escopo. Ele limita o que o agente pode tocar. Se um usuário delega permissão para "editar documentos", a bolha do agente cobre apenas os documentos, não o "orçamento".

3. O "Overlay" (A Camada de Sobreposição)

A parte mais difícil é que as empresas já possuem sistemas de segurança (como os usados para funcionários humanos). Elas não querem jogar tudo fora e começar do zero.

• Analogia: Imagine que sua casa tem um sistema de alarme muito antigo e robusto. Você não quer derrubar as paredes para instalar a nova segurança do robô. Em vez disso, você sobrepõe uma nova camada de vidro inteligente e transparente sobre o sistema antigo. O alarme antigo ainda funciona para humanos, mas a nova camada de vidro adiciona as "regras do robô" por cima dele.
• No artigo: Isso é o Operador de Composição. Ele pega as regras de segurança existentes e "cola" as novas regras do agente nelas sem quebrar as antigas. Ele cria um novo "grafo" (um mapa de quem pode fazer o quê) que combina ambos.

---

Como Funciona na Vida Real (O Cenário)

Vamos observar uma história do artigo para ver como este "Overlay" funciona:

1. O Usuário: Bob é um funcionário humano. Ele tem permissão para visualizar uma pasta de documentos de design.
2. A Delegação: Bob pede ao seu assistente de IA, "Agente 1", para ler esses documentos por ele.
   • O Contrato: Bob assina um contrato digital com o Agente 1. "Você pode ler estes documentos, mas apenas pela próxima hora".
3. A Sub-Delegação: O Agente 1 percebe que está muito ocupado, então pede a um segundo robô, o "Agente 2", para ajudar.
   • A Cadeia: O Agente 1 passa um contrato menor para o Agente 2. "Você pode ler os documentos, mas apenas pelos próximos 10 minutos, e apenas o arquivo 'Orçamento'".
4. A Verificação: O Agente 2 tenta abrir o arquivo.
   • Passo A (A Bolha): O sistema verifica: O Agente 2 está dentro da bolha da "Pasta de Design"? Sim.
   • Passo B (A Cadeia): O sistema verifica: O Agente 2 recebeu permissão de alguém que realmente possui a chave? Sim, o rastro volta até Bob.
   • Passo C (As Condições): O sistema verifica: Ainda está dentro da janela de 10 minutos? Sim.
   • Resultado: A porta se abre.

Se o Agente 2 tentar abrir um arquivo fora da pasta, ou se os 10 minutos acabarem, o "contrato" diz "Não", e a porta permanece fechada.

---

Por Que Isso Importa (O "E daí?")

O artigo argumenta que precisamos deste sistema porque os agentes de IA estão se tornando autônomos. Eles não são apenas ferramentas; são atores que podem tomar decisões, contratar outros agentes e se movimentar.

• Segurança: Isso evita que uma IA saia do controle e faça coisas que não deveria (como deletar sua conta bancária porque estava "ajudando" você a organizar suas finanças).
• Responsabilidade (Accountability): Se algo der errado, você pode olhar para a "cadeia de contratos" e ver exatamente quem deu permissão a quem, e sob quais condições. É como um rastro de papel para ações digitais.
• Flexibilidade: Permite que as empresas utilizem seus sistemas de segurança atuais (que construíram ao longo de anos) sem ter que reconstruir tudo do zero. Elas apenas "sobrepõem" as novas regras de IA sobre o que já existe.

Resumo

O artigo propõe um novo framework onde os agentes de IA não recebem "chaves" estáticas para sua casa digital. Em vez disso, eles recebem contratos dinâmicos, com tempo limitado e conscientes do contexto, que são sobrepostos às suas regras de segurança existentes. Isso garante que, mesmo conforme os agentes de IA se tornam mais inteligentes e independentes, eles permaneçam dentro dos limites que você definiu, agindo como delegados responsáveis em vez de forças incontroláveis.

Resumo técnico

Resumo Técnico: Sobreposição de Governança: Um Framework de Autorização Composicional para Delegação e Escopo em IA Agêntica

1. Definição do Problema

À medida que os sistemas de IA evoluem de modelos passivos para "IA Agêntica" autônoma, capaz de iniciar ações, colaborar e delegar tarefas recursivamente, as fronteiras de software tradicionais e os frameworks de autorização tornam-se insuficientes. Os sistemas de Gestão de Identidade e Acesso (IAM) existentes e padrões como o OAuth 2.0 dependem de tokens estáticos, escopos fixos e requisições explícitas. Esses mecanismos falham em capturar a natureza dinâmica e recursiva das interações entre agentes, onde ocorrem:

• Delegação Recursiva: Agentes delegam subtarefas a outros agentes, criando cadeias de autoridade que tokens estáticos não conseguem representar eficientemente.
• Contexto Dinâmico: Agentes operam sob condições de tempo de execução (ex: limites de tempo, hardware específico, localização de rede) que escopos estáticos não conseguem adaptar.
• Atenuação de Escopo: Há uma falta de mecanismos para estreitar progressivamente o escopo da autoridade conforme ela passa por uma cadeia de delegação (ex: um agente pode editar propostas, mas não orçamentos).
• Responsabilidade (Accountability): Modelos tradicionais têm dificuldade em rastrear a linhagem de permissões em ecossistemas complexos de múltiplos agentes, dificultando a análise forense e a aplicação do princípio do privilégio mínimo.

O artigo argumenta que tratar a delegação meramente como uma transferência de credenciais é inadequado; em vez disso, ela deve ser tratada como um termo contratual com primitivas de governança executáveis.

2. Metodologia

Os autores propõem um framework de governança composicional que sobrepõe semânticas agênticas a domínios de autorização existentes sem reescrever sua lógica central. A metodologia é fundamentada em Controle de Acesso Baseado em Relações (ReBAC) e utiliza o OpenFGA (uma implementação de código aberto do modelo Zanzibar do Google) como o substrato de referência.

Componentes Principais:

• Primitivas Relacionais: O framework define delegação e escopo como arestas de um grafo relacional, em vez de tokens estáticos.
  • Tipos de Delegação: O artigo formaliza seis tipos de delegação:
    1. Delegação total: Autoridade incondicional de "falar em nome de".
    2. Delegação com escopo: Autoridade limitada a um subconjunto de ações/recursos.
    3. Delegação condicional: Autoridade válida apenas sob predicados específicos (ex: tempo, localização).
    4. Delegação com limite de profundidade: Limita a profundidade de recursão das cadeias de delegação.
    5. Delegação temporal: Validade limitada no tempo.
    6. Delegação de grupo: Requer aprovação de múltiplos principais (n-de-m).
  • Escopo e Atenuação: Os escopos são modelados como contêineres hierárquicos (ex: organização $\to$ projeto $\to$ pasta). O "envelope de autorização" de um agente é a interseção de sua cadeia de delegação (originada de um humano) e seu escopo de sessão ativa.
• Operador Composicional (Sobreposição):
  • Os autores definem um operador de reescrita de grafo tipado (inspirado na teoria Double-Pushout/DPO) que funde um esquema ReBAC específico de domínio com um esquema de "sobreposição agêntica" genérico.
  • A sobreposição introduz novos tipos (agente, sessão, escopo) e relações (delegado, pode_executar_em_meu_nome, no_escopo).
  • Especificação de Elevação (Lift): O operador "eleva" as permissões humanas existentes (ex: visualizador) e redefine-as como a união do acesso humano original e a interseção de:
    1. Agentes no escopo ativo (ags_no_escopo).
    2. Agentes alcançáveis via uma cadeia de delegação a partir dos principais humanos (chain_agents_for_r).
  • Isso garante que o acesso humano permaneça autoritativo, enquanto o acesso do agente é estritamente derivado e limitado pela sobreposição.

3. Principais Contribuições

O artigo apresenta quatro contribuições específicas:

1. Conceitualização: Define os tipos de delegação e o escopo de recursos como os principais drivers do acesso agêntico, indo além de papéis estáticos para termos contratuais avaliados em tempo de execução.
2. Formalização: Fornece uma formalização da delegação como uma sobreposição de governança agêntica e um operador composicional para integrar essas semânticas em domínios de autorização existentes, baseando-se na teoria de transformação de grafos.
3. Arquitetura de Segurança: Ilustra uma arquitetura de segurança que utiliza o grafo de autorização resultante para governar usuários, agentes, escopos e sessões de delegação, permitendo verificação e revogação contínuas.
4. Validação: Inclui provas formais para a preservação das semânticas de autorização existentes e da correção da autorização de agentes, juntamente com benchmarks empíricos demonstrando o overhead de tempo de execução da sobreposição em grandes modelos ReBAC sintéticos.

4. Resultados e Avaliação

• Provas Formais: Os autores provam que a sobreposição composicional preserva a correção do motor ReBAC subjacente. A sobreposição não introduz novas semânticas de execução para verificações de autorização, mas sim adiciona relações bem tipadas avaliadas pela maquinaria de userset existente. Isso garante que o sistema permaneça determinístico e bem fundamentado.
• Avaliação Empírica: O artigo apresenta benchmarks mostrando o overhead de tempo de execução ao aplicar a sobreposição a grandes modelos ReBAC sintéticos. Os resultados indicam que a abordagem composicional é prática e introduz um overhead gerenciável, apoiando sua viabilidade para implantação no mundo real.
• Exemplo Operacional: O framework é demonstrado através de um cenário onde um usuário delega autoridade a um agente com restrições de tempo limitado. O sistema computa com sucesso os direitos de acesso do agente ao intersectar a cadeia de delegação com o escopo da sessão ativa, revogando o acesso imediatamente após a expiração da condição.

5. Significância e Alegações

O artigo alega fornecer uma fundação formal, porém prática, para a autorização responsável em sistemas de IA agêntica. Sua significância reside em:

• Operacionalização da Governança: Move a governança de IA de princípios abstratos para primitivas relacionais executáveis que podem ser padronizadas e reutilizadas em diferentes domínios (ex: finanças, saúde).
• Aplicação do Privilégio Mínimo: Ao tratar a delegação como uma relação contratual e sensível ao contexto, o framework aplica o privilégio mínimo dinamicamente, garantindo que os agentes atuem apenas dentro de seus "envelopes" delimitados.
• Interoperabilidade: A natureza composicional do framework permite que ele se posicione sobre políticas existentes de RBAC, ABAC ou híbridas sem exigir um redesenho completo das infraestruturas de identidade corporativas.
• Rastreabilidade: Permite o rastreamento dos estados de autorização, possibilitando que os sistemas auditem a cadeia de delegação e o escopo para qualquer ação dada, o que é crítico para a análise forense em sistemas autônomos.

Os autores posicionam este trabalho como uma evolução necessária do consentimento baseado em tokens estáticos (OAuth) para primitivas de governança dinâmica, recursiva e sensível ao contexto, exigidas pela próxima geração de agentes autônomos.