[論文レビュー] Faramesh: A Protocol-Agnostic Execution Control Plane for Autonomous Agent Systems
この論文は、エージェントの推論と現実世界の実行の間に位置する必須の実行時執行レイヤーである Action Authorization Boundary (AAB) を導入し、回避不能で決定論的・再実行可能なアクション認可を保証します。また、Canonial Action Representation (CAR) および自律的なアクションを安全に統治する関連アーキテクチャを定義します。
Autonomous agent systems increasingly trigger real-world side effects: deploying infrastructure, modifying databases, moving money, and executing workflows. Yet most agent stacks provide no mandatory execution checkpoint where organizations can deterministically permit, deny, or defer an action before it changes reality. This paper introduces Faramesh, a protocol-agnostic execution control plane that enforces execution-time authorization for agent-driven actions via a non-bypassable Action Authorization Boundary (AAB). Faramesh canonicalizes agent intent into a Canonical Action Representation (CAR), evaluates actions deterministically against policy and state, and issues a decision artifact (PERMIT/DEFER/DENY) that executors must validate prior to execution. The system is designed to be framework- and model-agnostic, supports multi-agent and multi-tenant deployments, and remains independent of transport protocols (e.g., MCP). Faramesh further provides decision-centric, append-only provenance logging keyed by canonical action hashes, enabling auditability, verification, and deterministic replay without re-running agent reasoning. We show how these primitives yield enforceable, predictable governance for autonomous execution while avoiding hidden coupling to orchestration layers or observability-only approaches.
研究の動機と目的
- 既存のエージェントスタックには実行時認可が構造的な primitive として欠けていると主張する。
- 実行境界での回避不能な執行レイヤーとして AAB を提案する。
- 決定論的な認可を実現するために提案の CAR(Canonical Action Representation)を定義する。
- フェイルクローズの意味論を保証し、出典情報を完全で変更不能な意思決定記録として提供する。
- 単一エージェント、マルチエージェント、マルチテナント展開における一貫した認可意味論のアーキテクチャ変種を示す。
提案手法
- 推論と実行の間に B(A, P, S) -> {PERMIT, DEFER, DENY} という決定論的関数として AAB を導入する。
- CAR(Canonical Action Representation)を定義して、フレームワーク間で意味的に同等なアクションを正規化する。
- 同一の入力に対して同一の結果を生む決定論的な認可意味論を確立する。
- 失敗を黙って実行せず、失敗時には DENY あるいは DEFER に導くフェイルクローズ動作を強制する。
- 再現と監査可能性のために (A, P, S) に結びついた出典情報まで含む意思決定記録を提供する。
- 単一エージェント、マルチエージェント、マルチテナント展開の参照アーキテクチャを提示する。
実験結果
リサーチクエスチョン
- RQ1実行時認可を異種のエージェントフレームワーク間で回避不能かつ決定論的にすることは可能か。
- RQ2カノニカルなアクション表現はプロトコルや表面間で一貫した認可を可能にするか。
- RQ3アーキテクチャ的境界はフェイルクローズ動作と再現可能な意思決定記録を自律アクションに対して保証できるか。
- RQ4異なる展開モデルで AAB を強制適用する場合の検証と監査可能性の保証は何か。
主な発見
- エンドツーエンドの意思決定遅延は基準マイクロベンチマークで単一桁ミリ秒である(T_canon, T_eval, T_record は ~2.24 ms p50 / 9.61 ms p95 に結合)。
- Sustained throughput は単一ワーカーで 7,800 件/分に達する。
- 回避試行に対する Executor カバレッジはほぼ 1.0 を維持している(通常運用で 0.9993 を観測)。
- artifacts-bound enforcement による回避試行は複数の攻撃ベクトルで失敗する(すべてのテストケースで証拠がブロック)。
- 正確な一度実行と原子性台帳遷移により同時に送られる同一リクエスト間で一貫性が保たれる(100万回の試行で二重実行は観測されず)。
- 延期承認パスは複数の待機者間で一貫した最終アーティファクトを保持する(p50=2.1 ms, p95=8.4 ms)。
より良い研究を、今すぐ始めましょう
論文設計から論文執筆まで、研究時間を劇的に削減しましょう。
クレジットカード登録不要
このレビューはAIが作成し、人間の編集者が確認しました。