AgenticRei propone gobernar agentes IA con políticas deónticas en tiempo real

El problema de controlar lo que un agente de IA puede o no puede hacer en tiempo real lleva meses acumulando atención en los círculos de seguridad corporativa. Y con razón: a medida que los sistemas basados en LLMs ganan capacidad para invocar herramientas, instalar software, manipular datos y coordinarse con otros agentes a través de fronteras organizativas, el modelo clásico de «permitir o denegar» empieza a mostrar grietas evidentes. Un paper publicado el 19 de junio en arXiv, Deontic Policies for Runtime Governance of Agentic AI Systems, lo articula con precisión: los motores de políticas existentes resuelven solo una fracción del problema.

La investigación identifica cuatro capacidades que los frameworks actuales —XACML, Rego y Cedar— no cubren de forma nativa: gestión del ciclo de vida de obligaciones, resolución de conflictos entre meta-políticas, dispensaciones que anulan obligaciones en circunstancias específicas, y razonamiento ontológico sobre jerarquías de clases de dominio (piénsese en las taxonomías de datos sanitarios o en los grafos de activos de ciberseguridad). El paper propone AgenticRei como respuesta a ese hueco.

Qué hace AgenticRei que los policy engines actuales no hacen

Los sistemas de control de acceso tradicionales trabajan sobre una lógica binaria: ¿está permitida esta acción para este principal sobre este recurso? Sí o no. Eso es suficiente para gestionar un endpoint de API o un bucket de almacenamiento. No lo es para un agente que, tras ejecutar una acción de alto impacto, debe obligatoriamente notificar al CISO, a menos que se den condiciones específicas que anulen esa obligación, y donde además esa regla puede entrar en conflicto con otra política de privacidad que prohíbe compartir ciertos metadatos con el equipo de seguridad.

Eso es lógica deóntica aplicada: el estudio formal de lo que los agentes están obligados a hacer, lo que les está prohibido y lo que les está permitido, incluyendo las excepciones y la precedencia de normas en conflicto. AgenticRei traslada esa formalización al tiempo de ejecución de sistemas agentivos reales.

El framework distingue explícitamente entre:

• Obligaciones activas: acciones que el agente debe ejecutar después de un evento determinado.
• Dispensaciones: condiciones bajo las cuales una obligación queda temporalmente suspendida.
• Meta-políticas: reglas que determinan qué política prevalece cuando dos normas colisionan.
• Razonamiento ontológico: capacidad de inferir que una acción sobre una subclase de dato hereda las restricciones aplicadas a la clase padre.

Por qué importa en el contexto del ecosistema Claude

Este trabajo es especialmente pertinente para quienes construyen sobre Claude Code y MCP. Cuando un subagente especializado tiene acceso a un MCP server de base de datos, otro a un MCP server de infraestructura cloud y un tercero coordina a ambos, la superficie de riesgo de gobernanza no es la suma de los tres: es el producto de sus interacciones posibles. Un hook de tipo `PreToolUse` puede interceptar una llamada, pero no tiene mecanismo nativo para razonar sobre si esa llamada activa una obligación pendiente en otra parte del flujo.

Los autores son conscientes de que el problema no es académico. Las organizaciones que despliegan agentes en entornos regulados —sanidad, finanzas, ciberseguridad— necesitan poder auditar no solo qué hicieron los agentes, sino si cumplieron con las obligaciones derivadas de sus acciones anteriores. Un registro de herramientas invocadas no basta: hace falta un motor que evalúe el estado de las obligaciones a lo largo del tiempo.

Para quién es útil este paper ahora mismo

En su estado actual, AgenticRei es un marco de investigación, no un producto listo para integrar. Sin embargo, el paper es lectura obligada para tres perfiles concretos:

1. Equipos de seguridad que estén definiendo políticas de despliegue para agentes internos basados en LLMs.
2. Desarrolladores de plugins y MCP servers que necesiten entender qué controles de gobernanza existen —y cuáles faltan— antes de asumir que la autenticación es suficiente.
3. Responsables de compliance en sectores regulados que estén evaluando si los agentes autónomos pueden operar dentro de su marco normativo actual.

El campo de la gobernanza agentiva está pasando de ser una preocupación teórica a convertirse en un requisito operativo. Que la comunidad investigadora empiece a formalizar la lógica deóntica como capa de runtime es una señal de madurez, no de alarma. La pregunta práctica que queda pendiente —y que el paper no responde del todo— es cómo integrar este tipo de motor de políticas en pipelines agentivos existentes sin penalizar la latencia de forma inaceptable. Eso, por ahora, sigue siendo trabajo por hacer.