Abstract
The security discussion around agentic AI focuses heavily on prompt injection. This paper argues that multi-agent systems also create a distinct authorization problem: maintaining authorization invariants as non-human principals retrieve data, delegate tasks, and synthesize results across changing boundaries. We call this problem authorization propagation. It is not reducible to prompt injection and is not fully addressed by classical access-control models such as RBAC, ABAC, or ReBAC. The paper formalizes authorization propagation as a workflow-level property, identifies three sub-problems (transitive delegation, aggregation inference, and temporal validity), and derives seven structural requirements for authorization architectures in multi-agent AI systems. Recent work on invocation-bound capability tokens, task-scoped authorization envelopes, dependency-graph policy enforcement, and execution-count revocation demonstrates that the field is converging on the problem, but not yet on a complete architecture. The central claim is that identity governance must be treated as infrastructure: evaluated continuously, enforced at every interaction boundary, and designed into the system before orchestration logic is allowed to scale. Preliminary implementation evidence from a production enterprise AI platform shows that ordinary system behavior, not only adversarial action, already produces the failures this model predicts.
한국어 요약
📋 한 줄 요약
**[AI 보안/거버넌스]** 멀티에이전트 AI 시스템에서 prompt injection과는 구분되는 "권한 전파(authorization propagation)" 문제를 정의하고, 이를 워크플로우 수준 속성으로 형식화한 뒤 7가지 구조적 요건을 제안한다.
🎯 핵심 기여도
- 멀티에이전트 환경에서 prompt injection으로 환원되지 않는 별도의 권한 전파 문제를 정의
- 권한 전파를 워크플로우 수준 속성으로 형식화하고 (i) 전이적 위임, (ii) 집계 추론, (iii) 시간적 유효성의 3가지 하위 문제로 분해
- RBAC/ABAC/ReBAC 등 기존 접근 제어 모델로는 충분하지 않음을 논증
- 권한 아키텍처가 만족해야 할 7가지 구조적 요건 도출, 운영 환경의 사례로 실증
💡 핵심 아이디어
비인간 주체(에이전트)가 데이터 검색·작업 위임·결과 합성 단계마다 경계가 변하므로, 권한은 정적 정책이 아니라 워크플로우 전체에서 지속적으로 재평가·강제되는 인프라가 되어야 한다. 적대적 행동뿐 아니라 일상적 시스템 동작 자체도 같은 종류의 실패를 야기한다.
🔬 기술적 접근법
- **모델/방법론**: 권한 전파의 형식적 정의와 3개 하위 문제(전이적 위임, 집계 추론, 시간 유효성) 분해
- **핵심 기법**: 호출 단위 capability token, task-scoped authorization envelope, 의존성 그래프 기반 정책 강제, 실행 횟수 기반 해지(execution-count revocation) 등 최신 기법을 7가지 요건과 매핑
📊 주요 결과
- 7가지 구조적 요건이 기존 단편적 솔루션의 갭을 식별
- 운영 엔터프라이즈 AI 플랫폼에서 일상적 동작도 모델이 예측한 권한 실패를 재현함을 보고
- 분야가 문제 인식에는 수렴하나 완전한 아키텍처에는 아직 도달하지 못했음을 진단
💭 의의 및 한계
**의의**: 보안 논의를 prompt injection 위주에서 벗어나 멀티에이전트 시대의 핵심 인프라 문제로 재정의. **한계**: 포지션·요건 도출 중심으로 구체 구현 청사진이나 정량 평가 벤치마크는 향후 과제로 남는다.
🚀 실용적 활용
- 엔터프라이즈 멀티에이전트 플랫폼의 IAM·자격 토큰 설계
- 에이전트 간 위임·결과 합성 흐름의 감사 로그·정책 평가
- 규제 산업의 AI 거버넌스 프레임워크에 권한 전파 요건 통합