Modelo de Gobernanza del Protocolo

ACP es control de admisión para acciones de agentes. Su modelo de gobernanza define una condición matemáticamente precisa que debe cumplirse antes de que cualquier agente tenga permitido mutar el estado del sistema — independientemente de lo que el agente razone, planifique o sea instruido a hacer.

El Invariante Constitucional

Toda ejecución en el entorno ACP está gobernada por un invariante matemático. Si algún componente falla, no ocurre ninguna ejecución y no se permite ningún cambio de estado.

Execute(request) ⇒ ValidIdentity ∧ ValidCapability ∧ ValidDelegationChain ∧ AcceptableRisk

ValidIdentity → pkg/agent · pkg/hp

La firma de identidad Ed25519 del agente es actual, verificable y está criptográficamente vinculada a una raíz institucional. Implementado mediante ACP-AGENT-1.0 y el protocolo de handshake ACP-HP-1.0.

ValidCapability → pkg/ct

El agente posee un token de capacidad firmado que coincide exactamente con el alcance de la operación solicitada, nivel de autonomía y ventana de tiempo. Los tokens son acotados, con límite de tiempo y no transferibles. Implementado mediante ACP-CT-1.0.

ValidDelegationChain → pkg/dcma

La capacidad se rastrea hasta una raíz institucional reconocida: humano → agente → sub-agente → herramienta. Ningún agente puede re-delegar autoridad que él mismo no posee. Implementado mediante ACP-DCMA-1.1.

AcceptableRisk → pkg/risk · pkg/psn

La puntuación de riesgo evaluada de la acción está dentro de los umbrales definidos por el snapshot de política activo actual. Los snapshots de política transicionan atómicamente — cuando la política institucional cambia, todas las verificaciones de admisión posteriores usan los nuevos parámetros de inmediato. Implementado mediante ACP-RISK-1.0 y ACP-PSN-1.0.

Prueba de Ejecución

Cuando se satisfacen las cuatro condiciones, el control de admisión emite un token de ejecución firmado — la prueba criptográfica de que esta acción específica fue autorizada, por quién, bajo qué versión de política, en qué momento.

El token y la cadena completa de eventos se agregan al ledger inmutable de la institución (cadena de hash SHA-256, firmada con Ed25519). Cualquier tercero puede verificar independientemente cualquier evento en la cadena sin confiar en la institución — la matemática habla por sí sola.

Implementado mediante pkg/exec (ACP-EXEC-1.0) y pkg/ledger (ACP-LEDGER-1.3).

Responsabilidad Institucional

En sistemas de agentes distribuidos, debe ser inequívoco quién es responsable cuando algo sale mal. ACP resuelve esto mediante cadenas de delegación criptográficas.

Cuando se genera un agente, recibe una identidad restringida, acotada y con límite de tiempo firmada por su padre. Este patrón continúa hasta llegar a una clave raíz de un operador humano o KMS Empresarial. Por lo tanto, cualquier ejecución válida de ACP puede responder definitivamente: "¿Quién autorizó esta ejecución?"

La raíz institucional que firmó la delegación inicial es plenamente responsable de todos los resultados de la ejecución posterior. No hay ambigüedad — la cadena es públicamente verificable.

Confianza entre Organizaciones

ACP permite a las instituciones aceptar solicitudes de agentes a través de los límites organizacionales sin confiar en los sistemas internos de cada una. Si el Banco A recibe una solicitud de un agente generado por el Banco B, el Banco A no necesita entender la lógica de orquestación del Banco B — solo necesita verificar el invariante de admisión de ACP: que la identidad y capacidades del agente están criptográficamente vinculadas a la raíz institucional del Banco B.

La confianza proviene de la verificación, no de suposiciones conductuales ni acuerdos bilaterales sobre el diseño del agente.

Verificación Formal

El invariante de gobernanza de ACP no solo está especificado — está formalmente verificado con model checking TLC. El módulo tla/ACP_Extended.tla (v1.20) codifica el modelo de ejecución completo incluyendo estado temporal de cooldown por agente, acumulación de denegaciones e integridad de la cadena de delegación.

9
Invariantes de safety
verificados
4
Propiedades temporales
verificadas
5.7M
Estados explorados
0 violaciones

Invariantes clave: CooldownEnforced (cooldown activo fuerza DENIED sin importar el risk score), CooldownImpliesThreshold (el cooldown solo existe tras acumulación real de denegaciones), DelegationIntegrity (no hay auto-delegación consecutiva en la cadena), RiskDeterminism (la misma capability+resource siempre produce el mismo risk score). La propiedad de liveness CooldownExpires garantiza que el cooldown no es permanente — verificada con fairness débil sobre el avance del tiempo.

Fuente: tla/ACP_Extended.tla · tla/ACP_Extended.cfg · TLC v1.7.1

Robustez Adversarial

El invariante se valida bajo condiciones adversariales — no solo en el caso base. Nueve experimentos en compliance/adversarial/ demuestran que el control de admisión de ACP se sostiene bajo patrones de ataque reales.

Exp 1 — Evasión de Cooldown

500 solicitudes alternando riesgo alto/bajo. El cooldown se activa tras exactamente 3 decisiones DENIED reales. 495/500 solicitudes bloqueadas (99%). El patrón de evasión no elude la acumulación.

Exp 2 — Multi-Agente Distribuido

100 agentes coordinados con bajo volumen individual. Aislamiento por agente aplicado — sin interferencia entre agentes. Cada agente es bloqueado de forma independiente tras su propio umbral de denegación.

Exp 3 — Estrés de Backend de Estado

N=5 corridas. InMemory ~376k req/s (±45%), Redis ~2.300 req/s (±10%), pipelined ~4.200 req/s (±11%, 1,8× sin pipeline). ACP no elimina el costo del estado distribuido — lo hace explícito y medible.

Exp 4 — Inyección de Latencia Controlada

Latencia de backend inyectada (0–100 ms). El throughput degrada proporcionalmente; la función Evaluate() contribuye 767–921 ns independientemente de la latencia del backend. Abstracción LedgerQuerier confirmada como límite correcto de rendimiento.

Exp 5 — Replay de Tokens

Replays secuenciales y concurrentes se acumulan vía F_anom Regla 3, escalando RS de 55 (ESCALATED) a 70 (DENIED) tras 3 patrones idénticos. Resistencia al replay acotada — limitación documentada, no gap de diseño.

Exp 6 — Stateless vs. Stateful

500 solicitudes. Engine stateless: 500/500 admitidas (0% detección). ACP stateful: 2/500 admitidas (0,4%). Latencia de detección: 11 acciones. Las propiedades temporales son estructuralmente no verificables sin estado.

Exp 7 — Vulnerabilidad de Mezcla de Estado

ACP-RISK-2.0: contaminación cruzada de contexto en Regla 1 provoca RS +20 y ESCALATED→DENIED tras 11 solicitudes data.read en un contexto no relacionado. Vulnerabilidad formalmente caracterizada, corregida en v1.22.

Exp 8 — Fix Contextualizado (ACP-RISK-3.0)

PatternKey = SHA-256(agentID ‖ cap ‖ recurso). Contaminación cruzada eliminada. Detección de ráfaga mismo contexto preservada (RS=85 DENIED). Derivación de clave: 767 ns — envelope sub-microsegundo mantenido.

Exp 9 — Colapso de Desviación y Restauración

El sanitizado upstream elimina todas las señales de riesgo — ACP retorna APPROVED para cada solicitud (BAR=0.00) mientras el engine funciona correctamente. La inyección contrafactual (mutaciones estructurales, conductuales y temporales) restaura la interacción con el boundary a BAR=1.00. Demuestra que la gobernanza significativa requiere preservar las condiciones de fallo en el boundary de ejecución, no solo aplicarlas.

Serie de Investigación

ACP es la base publicada de una serie de seis papers sobre gobernanza formal de agentes. Cada paper aborda una capa distinta del stack de gobernanza, construyendo sobre el anterior.

Paper 0 — Fronteras de Decisión Atómica

Demuestra la condición estructural bajo la cual un sistema de control de admisión puede garantizar admisibilidad en tiempo de ejecución. Introduce la frontera de decisión atómica: decisión y transición de estado como un único paso indivisible.

→ arXiv:2604.17511  ·  Zenodo

Paper 1 — Agent Control Protocol (ACP) Publicado

Esta especificación. Control de admisión temporal que aplica propiedades conductuales sobre trazas de ejecución. Verificado con TLA+ sobre 4,29 × 10⁹ estados.

→ arXiv:2603.18829  ·  Zenodo

Paper 2 — De Admisión a Invariantes (IML)

Demuestra que ninguna señal de enforcement puede recuperar si el comportamiento de un agente permanece dentro de su espacio admisible en tiempo de admisión. Introduce la Capa de Medición de Invariantes (IML): un estimador consistente de desviación conductual D̂(τ, A₀) con retardo de detección finito.

→ arXiv:2604.17517  ·  Zenodo

Paper 3 — Gobernanza Atómica Justa

Demuestra que la corrección atómica no implica asignación justa. Caracteriza la capa de asignación sobre la frontera: tres modos de fallo (amplificación Sybil, dominación temporal, contención de recursos), una jerarquía de equidad y cuatro mecanismos de asignación (M1–M4).

→ fair-atomic-governance  ·  Zenodo

Paper 4 — Gobernanza Multi-Escala Irreducible

Compone las cuatro capas y demuestra irreducibilidad: ninguna composición de menos de cuatro capas satisface simultáneamente todas las garantías de gobernanza bajo observabilidad finita. Las cuatro capas corresponden a cuatro proyecciones ortogonales — temporal, estado, conductual y población.

→ compositional-governance  ·  Zenodo

Paper 5 — Modelo de Autoridad Reconstructiva (RAM)

Cierre operacional de la serie. Separa integridad de cobertura: la atestación prueba confianza en la medición, no completitud de la realidad relevante para la ejecución. RAM introduce una compuerta de reconstrucción sobre el envelope de cobertura y prueba que es condición necesaria para garantías de validez de ejecución bajo observabilidad parcial.

→ reconstructive-authority-model  ·  Zenodo