Agent Governance Series
Nueve papers que establecen los fundamentos formales de la gobernanza de agentes autónomos. Cada paper aborda una capa distinta — desde la atomicidad en la frontera de decisión hasta la accountability criptográfica vinculada a identidad — formando una arquitectura irreducible para la ejecución gobernada.
Autor: Marcelo Fernandez · TraslaIA · agentcontrolprotocol.xyz
Secuencia de Lectura
Cada paper construye sobre el anterior. La serie puede leerse secuencialmente o por capa.
¿Por qué la atomicidad en la frontera de decisión es un requisito estructural?
¿Cómo implementamos esa frontera como un protocolo de cumplimiento concreto?
¿Qué podemos observar realmente por encima de la frontera de cumplimiento?
¿Es la arquitectura multicapa irreducible? ¿Quién ejecuta y bajo qué restricciones de asignación?
Dada la observabilidad parcial, ¿cuándo es válida la autoridad de ejecución?
¿Cómo implementamos RAM como protocolo de runtime en un sistema real?
¿El stack completo cierra la brecha entre gobernanza y ejecución en agentes LLM reales?
Ante un halt de gobernanza, ¿cómo vinculamos criptográficamente la re-autorización a un principal humano específico?
¿Cómo llega el stack de gobernanza APB a un agente sin modificar el código del agente?
¿Qué ocurre cuando el principal humano no está disponible? ¿Puede la gobernanza ser segura y vivaz simultáneamente?
Papers
Atomic Decision Boundaries: A Structural Requirement for Guaranteeing Execution-Time Admissibility in Autonomous Systems
Demuestra que ningún sistema que separe evaluación de ejecución puede garantizar admisibilidad en tiempo de ejecución. Introduce la frontera de decisión atómica — la condición bajo la cual la decisión y la transición de estado son un único paso indivisible — y clasifica RBAC, OPA y ACP en una taxonomía estructural de mecanismos de gobernanza.
Agent Control Protocol: ACP v1.30 — Admission Control for Agent Actions
La especificación ACP. Control de admisión temporal que aplica propiedades de comportamiento sobre trazas de ejecución mediante un pipeline de 6 etapas, tokens de ejecución, cadenas de delegación criptográficas y un motor de riesgo con estado (ACP-RISK-3.0). Verificado con TLA+ sobre 4,29 × 10⁹ estados con 9 invariantes de seguridad y 4 propiedades temporales.
From Admission to Invariants: Epistemological Limits of Local Observability in Agent Governance
Demuestra que las señales de cumplimiento son epistemológicamente insuficientes para detectar deriva de comportamiento. Introduce la Capa de Medición de Invariantes (IML): un estimador consistente de la desviación de comportamiento D̂(τ, A₀) con retardo de detección finito, validado en agentes LangGraph, pipelines webhook y ejecutores de agente único.
Irreducible Governance Structure for Autonomous Agent Systems: Fair Allocation, Strategy-Proofness, and Multi-Scale Composition
Establece la asignación como una dimensión de gobernanza de primer orden. Demuestra la amplificación Sybil (cualquier mecanismo de asignación es vulnerable a la multiplicación de identidades) y una imposibilidad de resistencia estratégica análoga al teorema de Arrow. El resultado central es el teorema de irreducibilidad: bajo observabilidad finita, ningún subconjunto estricto de las cuatro capas de gobernanza puede replicar las garantías de la arquitectura completa.
Reconstructive Authority Model: Runtime Execution Validity Under Partial Observability
Separa integridad de cobertura: la atestación criptográfica prueba confianza en la medición, no la completitud de la realidad relevante para la ejecución. El Modelo de Autoridad Reconstructiva (RAM) introduce una puerta de reconstrucción sobre un envelope de cobertura explícito y demuestra que la cobertura es condición necesaria para la validez de ejecución. Las tasas de ejecución inválida son proporcionales a la fracción de estado no observable (1 − |S_p|/|S_r|).
Operationalizing Reconstructive Authority: Runtime Construction, Dependency Resolution, and Execution Gating in Autonomous Agent Systems
Provee el cumplimiento en runtime de RAM. Introduce un protocolo de ejecución concreto con resolución dinámica de dependencias, reconstrucción de autoridad en tiempo de acción y un Recovery Loop que integra la detección de deriva de IML con la compuerta de ejecución de ACP. Demuestra el Teorema de Seguridad de Ejecución (ninguna acción ejecuta sin autoridad construible) y la Vivacidad Condicional (la ejecución se reanuda cuando las variables que definen la autoridad se vuelven observables).
Closing the Execution Gap in LLM Agent Systems: Empirical Evidence for Compliant Drift, Partial Observability, and Integrated Runtime Governance
Primera validación empírica del stack completo ACP+IML+RAM+RecoveryLoop en agentes LangGraph reales. Introduce la Deriva Compliant — el fenómeno en que g(τ)=0 en todo momento (todas las decisiones aprobadas) mientras D̂ crece monótonamente — y demuestra que es real, medible y cerrable. Cuatro experimentos: detección de deriva sobre 6 seeds y 2 familias de LLM (Mistral 15B, DeepSeek-R1 8B), 10k trials Monte Carlo bajo observabilidad parcial, coordinación multi-agente hasta N=16, e integración del stack completo sobre 2000 pasos. Introduce 3 refinamientos teóricos al framework formal.
Identity-Bound Governance Under Execution Uncertainty: An Accountability Proof Block for LLM Agent Persistent Halts, with Cryptographic Implementation and Cross-Model Calibration
Establece la gobernanza vinculada a identidad para agentes LLM bajo incertidumbre de ejecución. Introduce el Accountability Proof Block (APB) — un registro firmado criptográficamente (Es, Dh, σh) que vincula un evento HALT a un principal humano específico mediante firmas ed25519 y serialización canónica RFC 8785. Demuestra cuatro teoremas: Completitud de Gobernanza (todos los halts resueltos), No Repudiabilidad, Imposibilidad de Re-Autorización Anónima y Terminación Finita de Construcción APB. Incorpora gobernanza de umbral k-de-n multi-principal (Prop. 8.5). Validado empíricamente sobre 6 modelos LLM: 3.812 eventos halt (100% resueltos), 1.800 APBs adversariales (100% detectados), y un estudio de calibración T* que revela umbrales de deriva específicos por arquitectura y el efecto drift-floor.
MCP-Native Identity-Bound Governance: Zero-Modification Agent Oversight via Protocol-Layer Interception and Multi-Hop Authority Propagation
Responde la pregunta de despliegue que P8 dejó abierta: ¿cómo llega el stack de gobernanza APB a un agente sin modificar su código? La respuesta es el MCP Governance Proxy — un middleware con estado que intercepta tools/call entre cualquier cliente MCP y servidor MCP, aplicando el stack P7+P8 (IML + RAM + Recovery Loop + APB) de forma transparente. Demuestra tres teoremas: Invarianza de Transparencia (T9.1, camino no-halt observacionalmente equivalente a conexión directa; P95 = 51,8 µs), Cota de Latencia de Halt (T9.2, eventos de gobernanza se propagan dentro de Δnet + Δverify + Δpolicy; medido 57 µs), y Propagación de Autoridad Multi-Hop (T9.3, vinculación al agente originador en cadenas A2A de profundidad 1–5). Cinco experimentos: E1 latencia (10k llamadas), E2 APB agente real (310 HALTs, 100% validez APB), E3 delegación A2A (334 HALTs, 100% vinculación al originador), E4 stress concurrente (N=64 threads, 0 excepciones), E5 suite adversarial de seguridad (5 vectores de ataque, 0% éxito del atacante). 92 tests pasando.
Non-Blocking Governance: Escrow-Based Asynchronous Authorization for Human-Mediated Agent Oversight
Cierra la brecha de vivacidad que P9 dejó abierta: cuando una herramienta activa un HALT de gobernanza, el modelo P9 bloquea indefinidamente hasta que el humano firma el APB. P10 lo resuelve introduciendo la gobernanza no bloqueante basada en escrow — el estado de la llamada suspendida se serializa en una entrada de escrow persistente y se deposita en una cola con prioridad; la sesión del agente continúa inmediatamente. Introduce el predicado V6 (cumplimiento de timeout: τapb ≤ thalt + Ttimeout) apilado sobre la cadena V1–V5 de P8/P9. Demuestra tres teoremas: Solidez No Bloqueante (T10.1, ninguna herramienta riesgosa ejecuta sin APB válido o fallback de política explícito; semántica at-most-once), Consistencia de Timeout (T10.2, decisión de fallback localmente equivalente a decisión de gobernanza explícita), y Vivacidad de Escrow (T10.3, el primer teorema de vivacidad de la serie: la llamada suspendida reanuda dentro de Δresume acotado cuando el humano responde dentro de Ttimeout). Seis experimentos: E0 throughput (hasta 81× de speedup sobre P9 al 80% de halt rate; throughput de tareas seguras no afectado), E1 overhead (P95 = 6,4 µs, 156× por debajo del gate), E2 semántica de timeout (0 ejecuciones no autorizadas), E3 persistencia (100% reanudación correcta tras reinicio), E4 concurrencia (N=64, 0 excepciones), E5 adversarial (A1/A2/A3a bloqueados al 0%; A3b documenta la integridad del escrow store como Requisito R10.1). 156 tests pasando.
Las Cuatro Capas de Gobernanza
La serie establece cuatro dimensiones ortogonales de gobernanza de agentes. El teorema de irreducibilidad (P3/4) demuestra que ninguna puede eliminarse sin pérdida de corrección o estabilidad.
Temporal
Decisión y mutación de estado como un único paso indivisible. Elimina la brecha entre evaluación y ejecución. P0, P1
Estado
Cumplimiento de restricciones sobre el estado del sistema mediante evaluación de riesgo con estado y tokens de ejecución. P1
Comportamental
Detección y medición de deriva por encima de la frontera de cumplimiento. Las señales de cumplimiento son insuficientes — se necesita una capa de medición separada. P2
Población
Asignación del acceso a ejecución entre agentes competidores bajo restricciones de recursos compartidos. La asignación justa y la resistencia estratégica no pueden alcanzarse simultáneamente. P3/4
P5 y P6 abordan una quinta dimensión ortogonal a las cuatro anteriores: validez de autoridad en runtime bajo observabilidad parcial — la pregunta de si la ejecución es válida dado lo que el sistema puede observar realmente en el momento de la acción.
Todos los papers están disponibles en Zenodo con DOIs permanentes. Los preprints están en arXiv (donde disponibles).