Session Risk Memory (SRM): 決定論的な事前実行安全ゲートのための時間的（temporal）な認可

Abstract

決定論的な事前実行安全ゲートは、個々のエージェントの行動が割り当てられた役割と両立可能かどうかを評価する。これらの仕組みは行動単位の許可に対して有効である一方で、有害な意図を複数のそれぞれ個別には適合するステップに分解することで成立する分散型攻撃には構造的に盲目である。本論文では、セッショ ン・リスク・メモリ（SRM）という軽量な決定論的モジュールを導入し、無状態の実行ゲートを拡張して、軌跡（トラジェクトリ）レベルの許可を実現する。SRMは、エージェント・セッションの進行中の行動プロファイルを表すコンパクトな意味重心（セマンティック・セントロイド）を維持し、ベースラインから差し引いたゲート出力に対して指数移動平均を用いてリスク信号を蓄積する。SRMは、基盤となるゲートと同じ意味ベクトル表現上で動作し、追加のモデル構成要素、学習、確率的推論を一切必要としない。私たちは、遅延して進行する情報流出、段階的な権限昇格、コンプライアンスのドリフトといったシナリオを含む80セッションのマルチターン・ベンチマークでSRMを評価した。結果として、ILION+SRMはF1 = 1.0000、誤検知率0%を達成したのに対し、無状態のILIONはF1 = 0.9756、FPR 5%でありながら、両システムとも検出率は100%を維持した。決定的に重要なのは、SRMが1ターンあたり250マイクロ秒未満のオーバーヘッドで、すべての誤検知を解消する点である。本フレームワークは、空間的な許可整合性（行動ごとに評価）と時間的な許可整合性（軌跡にわたって評価）という概念的な区別を導入し、エージェント型システムにおけるセッション・レベルの安全性のための原理に基づく基盤を与える。