Skip to main content
누빈트
QUICK REVIEW

[논문 리뷰] Faramesh: A Protocol-Agnostic Execution Control Plane for Autonomous Agent Systems

Amjad Fatmi|arXiv (Cornell University)|2026. 01. 25.
Scientific Computing and Data Management인용 수 0
한 줄 요약

이 논문은 Action Authorization Boundary (AAB)를 도입하여 에이전트 추론과 실제 세계 실행 사이에 위치한 강제 실행 시점 처리 계층으로, 차단될 수 없고 결정적이며 재생 가능한 Action Authorization를 보장합니다. 또한 Canonical Action Representation (CAR) 및 관련 아키텍처를 정의하여 자율적 행동을 안전하게 관리합니다.

ABSTRACT

Autonomous agent systems increasingly trigger real-world side effects: deploying infrastructure, modifying databases, moving money, and executing workflows. Yet most agent stacks provide no mandatory execution checkpoint where organizations can deterministically permit, deny, or defer an action before it changes reality. This paper introduces Faramesh, a protocol-agnostic execution control plane that enforces execution-time authorization for agent-driven actions via a non-bypassable Action Authorization Boundary (AAB). Faramesh canonicalizes agent intent into a Canonical Action Representation (CAR), evaluates actions deterministically against policy and state, and issues a decision artifact (PERMIT/DEFER/DENY) that executors must validate prior to execution. The system is designed to be framework- and model-agnostic, supports multi-agent and multi-tenant deployments, and remains independent of transport protocols (e.g., MCP). Faramesh further provides decision-centric, append-only provenance logging keyed by canonical action hashes, enabling auditability, verification, and deterministic replay without re-running agent reasoning. We show how these primitives yield enforceable, predictable governance for autonomous execution while avoiding hidden coupling to orchestration layers or observability-only approaches.

연구 동기 및 목표

  • execution-time authorization이 기존 에이전트 스택에 누락된 아키텍처적 원시(primitives)라는 점을 주장한다.
  • AAB를 execution boundary에서의 차단할 수 없는 Enforcement Layer로 제안한다.
  • Canonical Action Representation (CAR)을 정의하여 결정적 인가를 위한 제안을 표준화한다.
  • 실패-닫힘 실패(fail-closed) 의미를 보장하고, 출처를 포함한 변경 불가능한 결정 기록을 제공한다.
  • 단일 에이전트, 다중 에이전트, 다임터넌트 배치에서 일관된 인가 의미를 갖는 architecture variant를 보인다

제안 방법

  • AAB를 reasoning과 execution 사이의 결정적 함수 B(A, P, S) -> {PERMIT, DEFER, DENY}로 도입한다.
  • Canonical Action Representation (CAR)을 정의하여 프레임워크 간 의미적으로 동등한 동작을 표준화한다.
  • 입력에 대해 동일한 결과를 낳는 결정적 인가 의미를 제정한다.
  • fail-closed 동작을 강제하여 실패가 DENY나 DEFER로 이어지도록 하며, 조용한 실행이 되지 않도록 한다.
  • 재생 및 감사 가능성을 위한 (A, P, S)에 바인딩된 provenance-complete 결정 기록을 제공한다.
  • 단일에이전트, 다중에이전트, 다임터넌트 배치를 위한 참조 아키텍처를 제시한다

실험 결과

연구 질문

  • RQ1execution-time authorization을 이기적 프레임워크 간에 차단 불가하고 결정적으로 만들 수 있는가?
  • RQ2Canonical Action Representation이 프로토콜과 표면 전반에 걸쳐 일관된 인가를 가능하게 하는가?
  • RQ3아키텍처적 경계가 자율적 행동에 대해 fail-closed 동작과 재생 가능한 결정 기록을 보장할 수 있는가?
  • RQ4다양한 배치 모델에서 AAB를 강제 적용할 때 검증 및 감사 가능성 보장은 무엇인가?

주요 결과

  • 엔드-투-엔드 결정 대기 시간은 baseline 마이크로벤치마크에서 단일 자릿수 밀리초(T_canon, T_eval, T_record가 합쳐져 약 2.24 ms p50 / 9.61 ms p95).
  • 단일 워커에서 지속 가능한 처리량은 분당 7,800건의 인가에 도달한다.
  • 차단 시도에 대한 Executor 커버리지(탈주 시도에 대한 방지)는 정상 작동에서 0.9993으로 거의 1.0에 가깝다.
  • 산출물 바인딩 강화에 의한 우회 시도는 여러 공격 벡터에서 실패한다(테스트된 모든 사례에서 증거 차단).
  • 정확 1회 실행 및 원자 원장 전이로 동시 동일 요청 간 일관성을 보장한다(1,000,000건의 시도 중 이중 실행 관찰되지 않음).
  • 연기된 승인 경로는 여러 대기자 간 일관된 최종 산출물을 보존한다(p50=2.1 ms, p95=8.4 ms).

더 나은 연구,지금 바로 시작하세요

연구 설계부터 논문 작성까지, 연구 시간을 획기적으로 줄여보세요.

카드 등록 없음 · 무료 플랜 제공

이 리뷰는 AI가 만들고, 인간 에디터가 검토했습니다.