← ← Volver a Notas NOTA DE ARQUITECTURA Mayo 2026 · Nota de Arquitectura

Arquitectura de Confianza Multi-Agente

Confianza Implícita vs. Zero-Trust MAS · Análisis de Superficie de Ataque · Taxonomía AgentFence

Arquitectura A

Confianza Implícita (Producción Típica)

Estado global compartido · Sin sanitización · Autoridad ambiental · Sin identity binding

Input de Usuario ORQUESTADOR

Schema de Estado Global Compartido Cualquier agente lee · Cualquier agente escribe · Sin niveles de confianza

AGENTES Recuperador RAG · Web · MCP tools

AGENTES Ejecutor Acceso total · Siempre activo

AGENTES Auditor Post-hoc · Sin veto

MCP Externo / API Web · DB · 3rd party Output raw reenviado

INJECTION

EJECUCIÓN HIGH-SIDE · DB write · API call · File op Sin check de permisos por tarea

Arquitectura B

Zero-Trust MAS (ZTMAS)

Niveles explícitos · Comunicación schema-gated · Herramientas por tarea · Validación Guardian

Input de Usuario ORQUESTADOR

Plano de Control · Trust Registry Niveles explícitos · Acceso por tarea · Identity binding

AGENTES Recuperador Solo lectura · Sandbox

AGENTES Ejecutor Herramientas por tarea

Guardian · L0 Validador · Inspecciona A2A

Firewall Semántico Schema Pydantic · NonInstructionalData

MCP Externo / API Output → solo DATOS Schema-validado

EJECUCIÓN POR TAREA · Acceso mínimo necesario Pre-aprobación Guardian req.

Modos de Fallo · Arquitectura A

A14 · Authorization Confusion (MSBR 0.54)

El ejecutor retiene acceso total sin importar la tarea. Un peer comprometido dispara acciones high-side sin verificación de permisos.

A06 · Retrieval Poisoning (MSBR 0.47)

Outputs raw de MCP y RAG escritos directamente al estado compartido. Contenido adversarial redirige la planificación de agentes downstream.

Confused Deputy

El data plane cruza al control plane sin barrera arquitectónica. Contenido de baja confianza emitido como directiva de alta confianza.

MCP 403 → OAuth (Hackfluency, 2026)

VSCode Copilot inicia Dynamic Client Registration automáticamente en errores HTTP. Superficie de ingeniería social y captura de callback OAuth.

Controles Aplicados · Arquitectura B

Trust Registry

Niveles explícitos L0/L1/L2 por agente. Plano de control separado del data plane a nivel arquitectónico.

Firewall Semántico

Todos los outputs de herramientas validados por schema como NonInstructionalData antes de la inyección al contexto. Enforcement Pydantic en cada boundary externo.

Guardian Agent (L0)

Validador hardened inspecciona todos los payloads A2A en busca de Instructional Drift y Wrong-Principal Actions antes de ejecución.

Herramientas por tarea

Acceso mínimo necesario por tarea. Acceso revocado al completar. Blast radius aislado por nodo.

MSBR por Clase de Ataque · Arquitectura A · AgentFence 2026

Denial-of-Wallet A13 · Agotamiento Financiero

0.62

Authorization Confusion A14 · Permisos Incorrectos

0.54

Retrieval Poisoning A06 · Inyección en RAG

0.47

Planning Manipulation A05 · Subversión del Orquestador

0.44

Prompt Injection Foco de la Industria

<0.20

Métricas de Control ZTMAS · Arquitectura B

OER · Tasa de Sobre-Exposición Fuga de Datos entre Agentes

↓ low

Authorization Drift AD Desalineación en Cascada

↓ isolated

Blast Radius / nodo Daño Máximo por Compromiso

↓ scoped

Cobertura Guardian Inspección de Edges A2A

100%

Aislamiento de Tools Control de Acceso por Tarea

enforced