Propagación de autorización: el problema oculto de los multi-agente

Un nuevo paper en arXiv (2605.05440), publicado el 6 de mayo por Krti Tallam, argumenta que la conversación de seguridad en torno a la IA agéntica está demasiado centrada en prompt injection y deja en la sombra un problema distinto e igual de estructural: cómo mantener las invariantes de autorización cuando varios agentes no-humanos delegan tareas, recuperan datos y combinan resultados a través de fronteras que cambian todo el tiempo. El autor llama a este problema propagación de autorización.

¿Por qué prompt injection no es la única amenaza?

El paper sostiene que la propagación de autorización no es reducible a prompt injection y que tampoco la resuelven los modelos clásicos de control de acceso. Los esquemas como RBAC (basado en roles), ABAC (basado en atributos) y ReBAC (basado en relaciones) están diseñados para principales humanos en flujos estables. En cambio, los sistemas multi-agente operan con principales no-humanos que invocan capacidades, delegan a otros agentes y agregan resultados en cadenas dinámicas.

Tres subproblemas

Tallam formaliza la propagación de autorización como una propiedad a nivel de workflow e identifica tres subproblemas concretos:

• Delegación transitiva: cuando el agente A delega a B y B delega a C, los permisos efectivos pueden divergir del intento original sin que ningún paso individual sea inválido.
• Inferencia por agregación: dos resultados individualmente autorizados pueden combinarse en una respuesta que el solicitante no tendría derecho a ver.
• Validez temporal: una autorización vigente al momento de la invocación puede haber caducado para cuando el resultado se entrega.

A partir de estos tres problemas, el paper deriva siete requisitos estructurales para arquitecturas de autorización en sistemas multi-agente.

Las piezas que ya están emergiendo

El estado del arte, según el autor, está convergiendo en piezas técnicas concretas pero todavía no en una arquitectura completa:

• Tokens de capacidad ligados a invocación (invocation-bound capability tokens).
• Sobres de autorización con alcance por tarea (task-scoped authorization envelopes).
• Enforcement de políticas sobre el grafo de dependencias (dependency-graph policy enforcement).
• Revocación por contador de ejecuciones (execution-count revocation).

Cada una resuelve una parte del problema, pero ninguna se ha consolidado todavía como contrato común entre frameworks.

La tesis: identity governance como infraestructura

La afirmación central de Tallam es directa: el identity governance debe tratarse como infraestructura, evaluado de manera continua, aplicado en cada frontera de interacción y diseñado antes de que la lógica de orquestación crezca a escala.

El paper aporta evidencia preliminar desde una plataforma de IA empresarial en producción. El hallazgo más incómodo: las fallas que el modelo predice no requieren un actor adversarial, ya aparecen como consecuencia del comportamiento ordinario del sistema. Es decir, no se trata solo de defenderse de un atacante: se trata de evitar que la propia composición de agentes filtre datos, otorgue permisos no deseados o ejecute acciones más allá de su mandato simplemente porque nadie modeló la propagación.

El paper completo está disponible en arXiv:2605.05440 bajo la categoría cs.AI.