Runtime Governance
Reglas que corren con el agente y pueden frenarlo a las 2am.
La Runtime Governance es la gobernanza que ocurre durante la ejecución del agente —no en el diseño, no en la auditoría posterior, sino mientras actúa, paso a paso. No es una política escrita en un documento: es una política que corre en paralelo al agente y puede detenerlo, redirigirlo o escalarlo en tiempo real si una acción se sale del perímetro autorizado. Cuestiona la intención de cada acción antes de su ejecución material, no solo el acceso.
La seguridad clásica era un portero que revisa el carnet en la entrada (acceso). La gobernanza en runtime es un copiloto que va sentado al lado y puede tomar el volante si el conductor enfila hacia el precipicio — a las 2am, cuando ningún humano está mirando y el agente está a punto de ejecutar algo irreversible.
Tener reglas no es lo mismo que aplicarlas cuando importa. Un agente con acceso legítimo, bajo una instrucción envenenada, puede abusar de ese acceso sin violar ningún permiso. Sin intercepción en runtime, la empresa solo se entera del daño cuando ya ocurrió: se queda en la observabilidad pasiva ("¿qué hizo la IA?") sin llegar nunca a la intervención preventiva.
VDA construye la gobernanza como capa que corre junto al agente, no como PDF de cumplimiento: cada invocación a herramienta se evalúa contra el propósito de la tarea antes de ejecutarse. Es lo que vuelve la autonomía gobernable de verdad — frenar el costo antes de que se materialice, no documentarlo después.