Современный мир переходит в состояние, которое прежние институциональные формы не способны принять без перестройки. Автономные исчислимые системы начинают выполнять функции, исторически принадлежавшие управленческим, надзорным и интеллектуальным институтам. Скорость этого процесса опережает скорость, с которой институциональная среда способна выработать к нему правовую и архитектурную рамку.
Из этого следует, что переход не является ни добровольным выбором, ни предметом дискуссии. Он происходит независимо от готовности институциональной среды его принять. Вопрос, на который институт даёт ответ, формулируется иначе: каким образом перевести этот переход в управляемую форму.
Диагноз — две несовместимые скорости
Старый мир работает в масштабе времени, заданном процедурой коллективного решения. Совет директоров, учёный совет, комитет по рискам, межведомственное согласование — это инструменты, выработанные для удержания качества решения за счёт замедления его принятия. Эта медленность не является дефектом. Она — конструктивный признак институциональной формы.
Новый мир работает в масштабе времени, заданном автономной вычислительной системой. Решение принимается за интервал, в котором коллегиальный орган не успевает даже собраться. Эта быстрота тоже не является дефектом. Она — конструктивный признак архитектуры автономии.
Прямая встреча двух скоростей разрушает обе. Институт, попытавшийся работать в темпе автономной системы, утрачивает институциональную форму. Автономная система, заведённая в институциональный темп, утрачивает свою функциональную ценность. Между ними должен стоять переходник.
Метод — системный синтез
Институт не предлагает выбора между старым и новым миром. Этот выбор уже сделан временем. Институт предлагает архитектуру, в которой обе скорости сохраняют свою функциональную природу, не разрушая друг друга.
Это и есть системный синтез — не гибрид, не компромисс, не «золотая середина». Синтез означает, что два несовместимых элемента соединяются в третью форму, в которой оба сохраняются полностью, но действуют через посредника, согласующего их режимы.
Институт является этим посредником. Со стороны старого мира он принимает институциональные требования: правовую рамку, режим конфиденциальности, процедуру согласования, регуляторное соответствие. Со стороны нового мира он принимает автономные исчислимые системы и переводит их в форму, совместимую с этими требованиями. На выходе — конструкция, в которой институциональный капитал получает доступ к новой мощности, не утрачивая собственной формы.
Старый мир получает новую мощность. Новый мир получает легитимную форму. Институт получает свою историческую функцию.
Принцип — Compliance by Design
Распространённый подход к интеграции автономных систем в институциональную среду предполагает достройку соответствия постфактум. Сначала разворачивается технология, затем к ней пристраиваются регуляторные обвязки, политики безопасности, аудиторские контуры. Институт исходит из того, что этот порядок принципиально неверен.
Compliance by Design означает, что соответствие институциональным требованиям закладывается в архитектуру системы на уровне её аксиоматики — до того, как написана первая строка кода. Регуляторные нормы, корпоративные политики и риск-ограничения формализуются как набор аксиом, которым автономный исполнитель не может противоречить технически. Не «не должен» — а технически не может, потому что любое отклонение блокируется до попытки исполнения.
Эта невозможность отклонения относится к соответствию формализованной аксиоматике: контур гарантирует, что разрешённое действие не нарушает переведённую в аксиомы политику. Корректность самого перевода нормы в аксиоматику остаётся зоной ответственности уполномоченного специалиста — контур не заменяет человека, а делает его решение проверяемым.
Это переводит вопрос соответствия из плоскости поведенческой надёжности (которой у вероятностных систем нет и быть не может) в плоскость архитектурной невозможности отклонения. Соответствие перестаёт зависеть от того, насколько хорошо обучена модель, и начинает зависеть от корректности доказательства.
Compliance by Design · Axiomatic Policy Modeling · 187-ФЗ · 117-ФСТЭК · ГОСТ Р 56939-2024 · ГОСТ Р 57580
Метод — формальная верификация решений
В ядро архитектурного стека Института интегрированы решатели задач выполнимости в теориях (SMT) — инструменты, исторически применявшиеся для формальной верификации критических вычислительных систем, в том числе для аудита прав доступа в глобальной облачной инфраструктуре (Amazon Zelkova) на уровне миллиардов проверок в сутки. Каждое необратимое действие автономного исполнителя транслируется в строго типизированный предикат и проходит математическую проверку на соответствие заданной аксиоматике до исполнения.
Это означает, что каждое такое решение имеет не вероятностную, а исчислимую природу: оно либо выводимо из аксиом, либо нет. Если нет — оно не доходит до точки исполнения. В отличие от поведенческих ограничений, которые вероятностная модель в принципе способна обойти, аксиоматическое ограничение работает на уровне, на котором обход невозможен.
Граница гарантии указывается честно. Контур обеспечивает свойство Soundness: разрешённое действие гарантированно не нарушает формализованную политику. Полнота и корректность самого перевода нормы или намерения в аксиоматику — свойство, относящееся к семантике, — остаётся зоной ответственности уполномоченного специалиста. Контур не претендует на «серебряную пулю»: он переносит точку контроля с непредсказуемого исполнения на проверяемый этап трансляции и вооружает человека-в-контуре, а не заменяет его. Ограниченная грамматикой генерация (constrained decoding) обеспечивает лишь синтаксическую корректность спецификации; защита от семантического сдвига достигается обратной трансляцией формальной структуры в естественный язык для аудита специалистом перед проверкой.
Принципиальная новизна — не в самом инструменте формальной верификации, а в его применении к управляющему контуру автономных систем как к нормативной среде: до исполнения действия, в асинхронном режиме.
Технологический суверенитет ядра. На исследовательском стенде проверка ведётся промышленным решателем Z3 (Microsoft Research) как референсом метода. Целевой результат программы — собственный доверенный микро-прувер: компактная реализация процедуры разрешения под разрешимой теорией QF_UFLIA, разрабатываемая в доверенной среде. Теория QF_UFLIA разрешима — проверка всегда завершается — и при этом NP-полна: гарантии полиномиального времени нет, в худшем случае рост экспоненциальный, но на изолированных строго типизированных предикатах, которые и возникают на практике, он гасится эвристиками решателя, а проверка занимает миллисекунды. Компактность собственного прувера делает возможной его дедуктивную верификацию инструментами ИСП РАН (AstraVer, платформа Frama-C / Why3, спецификации ACSL) — путь к оценке соответствия по уровням доверия ФСТЭК (ОУД, Приказ ФСТЭК России № 76; разработка безопасного ПО по ГОСТ Р 56939-2024).
Архитектурное развёртывание метода реализовано в форме нескольких независимых слоёв проверки действий: градиент необратимости R0–R5 как классификация действий по степени ущерба от ошибки; независимая проверка решения вторым языковым модулем (эвристический слой, дополняющий формальный, но не заменяющий его); формальная верификация политики критических действий через SMT (на прототипе — Z3, в разработке — суверенный микро-прувер); эпистемический контур с провенансом каждой единицы знания. Протоколы перехода между слоями и состояния безопасного отказа специфицируются и проверяются модельно (TLA+); глубокая корректность процедуры разрешения и кодогенерации — интерактивным доказательством (Rocq, бывш. Coq). Конструкция предъявлена в работающем виде в производственной системе Института; развёртка слоёв и текущее покрытие — на странице V.
SMT · QF_UFLIA · Суверенный микро-прувер · AstraVer (ОУД) · TLA+ · Soundness
Операционная форма — AI-led Organization
Институт устроен так, чтобы его собственная архитектура совпадала с предметом исследования. Смысловой контур — постановка задач, архитектурные решения, валидация результата — удерживается в единой точке ответственности. Автономный корпус ведёт разработку, документирование, мониторинг и сопровождение. Весь рабочий обмен замкнут внутри собственного защищённого контура института.
Эта операционная модель — не следствие ограниченных ресурсов. Она является осознанной демонстрацией того, что предлагается заказчику. Институт не описывает архитектуру AI-led Organization извне. Он работает внутри неё с первого дня учреждения и предъявляет рабочий стенд как прямое доказательство применимости метода.
В практической плоскости это означает следующее. Производственная мощность, исторически достижимая силами небольшой исследовательской группы, удерживается архитектурой, в которой человеческая ответственность сохраняется в одном узле, а исполнительские функции распределены между детерминированными исполнителями под институциональной политикой. Эта пропорция не является конечной — она является текущей точкой исследовательской программы.
Производственная демонстрация метода
Архитектурные принципы доктрины не остаются декларацией. Институт удерживает их предъявленными в производственной мультиагентной системе V — референсной реализации, функционирующей в режиме непрерывной эксплуатации с 24 апреля 2026 года.
V обслуживает фидуциарные задачи оператора в закрытом периметре. Каждое критическое действие проходит через многоуровневую защиту, описанную выше: классификацию по степени необратимости, независимую верификацию вторым языковым модулем, формальную проверку через SMT-решатель для деструктивного класса, эпистемический контур с провенансом каждой единицы знания. Журнал событий ведётся в формате, совместимом с требованиями 17-го приказа ФСТЭК.
V не является продуктом. Это исследовательский стенд — операционная среда, в которой институт проверяет инварианты, формализует политику и измеряет поведение в условиях продолжительной эксплуатации. Производственный режим обеспечивает не маркетинговую демонстрацию, а методологическую достоверность: архитектурные утверждения программы подтверждаются проверяемыми метриками работающей системы.
Развёртка архитектуры, дорожная карта расширения, формат audit trail и модель открытости — на странице V.
Линия преемственности
Институт продолжает традицию школы, исторически работавшей на пересечении строгого формализма и государственного масштаба. Эта школа отвечала на вопросы, которые стоят перед институтом сейчас: как построить детерминированную систему в недетерминированном мире, как удержать управляемость на масштабе, как перевести мышление в форму, пригодную для вычисления.
А. Н. Колмогоров — основания теории вероятностей и алгоритмической сложности. В. М. Глушков — теория автоматов; проект ОГАС, первая в мире попытка общегосударственной кибернетической системы управления. Л. В. Канторович — линейное программирование и математическая экономика; Нобелевская премия 1975 года. А. А. Ляпунов — основоположник советской кибернетики. Н. Винер — кибернетика как наука о связи, управлении и обратной связи.
Институт наследует не темы этой школы, а её метод: построение исчислимой формы управления в условиях, когда среда управления исчислимой ещё не является.
Адресная сторона
Институт работает с тремя категориями институциональных контрагентов.
Первая — владельцы критической инфраструктуры и держатели регулируемых процессов: банковский и финансовый сектор, объекты, подпадающие под действие 187-ФЗ, государственные информационные системы. Здесь институт выступает как разработчик и интегратор формально верифицированных автономных контуров, способных пройти регуляторную экспертизу до развёртывания.
Вторая — институциональный капитал, рассматривающий автономные исчислимые системы как класс нематериальных активов, требующий собственной архитектурной и правовой формы. Здесь институт выступает как методологический партнёр и со-архитектор.
Третья — академические и отраслевые научные структуры. Институт открыт для совместных исследовательских программ, экспертных советов и участия в диссертационных работах по профильным направлениям. Обращения через раздел «Контакты» с пометкой «научное сотрудничество».
ДИСЦИПЛИНА АРХИТЕКТУРНЫХ РЕШЕНИЙ
Доктринальные принципы Института не остаются декларациями. Их реализация в производственной работе требует операционной дисциплины, удерживающей соответствие между заявленным методом и фактической практикой. Эта дисциплина зафиксирована в форме методологии принятия и фиксации архитектурных решений — Architecture Decision Records, ADR, признанного инженерного стандарта, применяемого Институтом рекурсивно: как в разработке программы V, так и в управлении собственной операционной работой.
Назначение дисциплины
В работе с автономными исчислимыми системами архитектурная дисциплина не может быть факультативной. Каждое решение, принятое без записи и обоснования в среде, где исполнение делегировано автономному корпусу, создаёт область невидимой ответственности — состояние, в котором система действует по причинам, которые человеческий узел контура уже не может восстановить.
В традиционной программной разработке эта проблема смягчается тем, что код пишут люди, чья память удерживает контекст решения. В работе с автономными исполнителями этого контекста нет. Решение, не зафиксированное в момент принятия, исчезает; через шесть месяцев восстановить его не сможет ни один из участников.
Из этого следует требование: каждое архитектурно значимое решение фиксируется в формате Architecture Decision Record до того, как становится частью производственной системы. Это не бюрократическая мера и не инженерный стиль. Это конструктивный элемент работы с системой, в которой память распределена между человеком и автономным корпусом, а ответственность сохраняется только в человеческом узле.
Append-only обязательство
ADR Института ведутся в режиме append-only. Решение, принятое в момент A с обоснованием B, не редактируется в момент C. Если в момент C решение признано ошибочным, оно отменяется новым ADR, ссылающимся на предыдущий с указанием статуса «Superseded by ADR-XXXX». Оба ADR остаются в реестре; восстановление цепочки решений всегда возможно.
Это требование не из академической чистоты. Оно из практики: автономный корпус работает с архитектурными решениями как с входными данными. Изменение задним числом ADR, на основе которого автономный модуль принял дальнейшие решения, создаёт каскадную неопределённость — состояние, в котором ни один компонент системы не может опираться на стабильное основание.
Append-only превращает реестр ADR в нередактируемый журнал, аналогичный audit trail, требуемому Приказом ФСТЭК № 17. Любой проверяющий — внутренний, внешний, академический, регуляторный — может пройти историю решений в хронологическом порядке и восстановить, почему система устроена именно так.
Защищённый контур
Среди компонентов архитектуры Института выделяется защищённый контур — набор файлов и модулей, модификация которых не допускается автономным корпусом ни при каких условиях. К этому контуру относятся: код измерения метрик качества, бинарные ассерции компонента качественного контроля, движок исследовательских циклов, реестр активных гипотез, файлы первого контракта мультиагентной экосистемы.
Попытка автономного модуля модифицировать защищённый контур блокируется до выполнения и записывается в журнал нарушений. Это не поведенческое ограничение, которое модуль может обойти при достаточном уровне инструкций. Это архитектурное запрещение, реализованное на уровне доступа к файловой системе и контроля версий.
Назначение защищённого контура — обеспечить, что измерительный аппарат, на основе которого Институт оценивает собственную работу, не может быть изменён исполнителями этой работы. Это та же дисциплина, которая в финансовой отчётности обеспечивается независимостью аудитора от объекта аудита. В мультиагентной среде эта независимость должна быть архитектурной.
Без защищённого контура любой автономный модуль теоретически способен подкрутить метрику собственной успешности. С защищённым контуром эта возможность отсутствует — не из-за обещания не делать этого, а из-за невозможности технически.
Принцип одного активного эксперимента
Институт работает с гипотезами как со структурированными исследовательскими единицами. Каждая гипотеза имеет статус — поставлена в очередь, активна, завершена с принятием, завершена с отклонением — и привязана к одному изменяемому активу.
Принцип одного активного эксперимента означает, что в любой момент времени может изменяться только один компонент архитектуры, привязанный к одной активной гипотезе. Параллельные изменения архитектуры запрещены — не из соображений простоты, а из научного метода: при двух одновременных изменениях невозможно установить, какое из них вызвало наблюдаемое изменение метрики.
Это требование переводит инженерную работу Института в режим, аналогичный экспериментальной науке. Каждое архитектурное изменение сопровождается базовой линией показателей, наблюдением в течение фиксированного периода, и оценкой дельты по объективной метрике. Только после прохождения этого цикла изменение либо принимается, либо отменяется.
В сочетании с append-only режимом ADR это даёт прослеживаемую историю экспериментальной программы Института: какие гипотезы проверялись, в каком порядке, с какими результатами, какие архитектурные решения были приняты на их основе.
Бюджетная дисциплина
Каждый автономный модуль Института работает в рамках формализованного бюджета — лимита токенов на итерацию, количества итераций в неделю, верхней границы стоимости. Эти лимиты не являются рекомендациями; они проверяются маршрутизатором запросов через трекер стоимости до начала исполнения.
Бюджетная дисциплина выполняет три функции. Первая — финансовая прозрачность: в любой момент времени можно установить, сколько вычислительных ресурсов было израсходовано каждым модулем, на какую задачу, с каким результатом. Вторая — операционная дисциплина: модуль, исчерпавший бюджет на текущий период, останавливает деятельность до начала следующего цикла. Третья — архитектурная: бюджет является способом приоритизации задач без необходимости их ранжирования в человеческом узле контура.
Бюджет каждого модуля зафиксирован в реестре. Изменение бюджета производится через ADR с обоснованием. Произвольное расширение лимита запрещено даже самому модулю с правами администратора — это требование защищённого контура.
Handoff-протокол
Передача задач между функциональными узлами Института формализована. Любая передача сопровождается документом установленного формата с метаданными: дата, источник, получатель, тип задачи, приоритет, тематика, текущий статус. Документ помещается в общую папку передач с именем, следующим единой схеме.
Это требование выполняет ту же функцию, что аудит-журнал в банковской системе: каждое перемещение задачи от одного исполнителя к другому фиксировано с возможностью восстановления полной цепочки. В случае ошибки, спорной ситуации, регуляторного запроса можно проследить, кто и когда какую задачу принял, обработал, передал дальше.
В мультиагентной среде, где функциональные узлы могут быть автономными, формализованный handoff-протокол является единственным способом сохранить контролируемость общего процесса. Без него работа агентов вырождается в коллективный шум, в котором результат не атрибутируется источнику.
Источник правды по метрикам
Каждая метрика, на основании которой Институт оценивает собственную работу, имеет одну авторитетную точку вычисления. Эта точка зафиксирована в реестре источников правды. Никакой автономный модуль не имеет права вычислять метрику самостоятельно или подменять результаты её вычисления.
Это требование возникает из природы автономных систем: модуль, оптимизирующий собственное поведение по метрике, имеет встроенный стимул интерпретировать метрику благоприятным для себя образом. Если разрешить ему вычислять метрику самостоятельно, в долгой перспективе результаты вычисления систематически отклонятся в благоприятную для модуля сторону — не обязательно злонамеренно, а просто как следствие структуры стимулов.
Единый источник правды по каждой метрике, защищённый от модификации автономным корпусом, снимает эту проблему архитектурно. Модули могут читать метрики, но не могут их вычислять или изменять. Это техническое разделение функций соответствует тому же принципу, который в науке отделяет экспериментатора от наблюдателя.
Архитектурная изоляция доменных контуров
Институт удерживает несколько контуров деятельности с принципиально различными аудиториями, регуляторными режимами и языковыми регистрами. Архитектурная дисциплина требует, чтобы эти контуры были изолированы — не только организационно, но и технически.
Принцип архитектурной изоляции реализуется через автоматическую проверку всего публикуемого контента на присутствие маркеров другого контура до момента публикации. Контент, не прошедший проверку, не публикуется автоматически и эскалируется в человеческий узел для ручной квалификации.
Это требование возникает из практики работы с автономным контент-исполнителем: без архитектурной изоляции автономный модуль, обученный на смешанном корпусе материалов разных контуров, способен непреднамеренно перенести лексику или ссылочные структуры одного контура в публикации другого. Последствия такого переноса в коммуникации с регуляторами, корпоративными клиентами и академической средой — критичны.
Архитектурная изоляция превращает работу в каждом контуре в самостоятельную дисциплину с собственной лексикой, собственными источниками, собственной системой проверки. Это не следствие маркетинговой сегментации, а структурное требование AI-led Organization, работающей с несколькими аудиториями одновременно.
Двойная scalar metric
Каждый контур деятельности Института имеет собственную систему измерения качества — первичную метрику и вспомогательные показатели. Метрики разных контуров не складываются и не сравниваются между собой: они оценивают разные виды деятельности с разными критериями.
Принцип двойной scalar metric означает, что в каждом контуре определена одна главная численная оценка, по которой принимаются решения о принятии или отклонении изменений архитектуры. Вспомогательные показатели используются для интерпретации, не для решения.
Это требование является следствием невозможности оптимизации по нескольким метрикам одновременно — фундаментального результата теории многокритериальной оптимизации. Попытка оптимизировать по всем показателям сразу ведёт к компромиссу, который не максимизирует ни один из них. Единая главная метрика на контур делает работу осмысленной и проверяемой.
Формулы и веса вспомогательных метрик зафиксированы и защищены от модификации. Любое изменение требует ADR с обоснованием — это сильное процедурное требование, удерживающее систему от дрейфа метрик в благоприятную для исполнителей сторону.
Recursive application
Перечисленные принципы применяются Институтом не только к разрабатываемым продуктам, но и к собственной операционной работе. Это требование рекурсивной самоприменимости архитектурной дисциплины.
Институт, заявляющий принцип защищённого контура для разрабатываемых систем, обязан иметь защищённый контур в собственной работе. Институт, требующий от автономных модулей единого источника правды по метрикам, обязан соблюдать это требование для собственных KPI. Институт, реализующий архитектурную изоляцию доменных контуров в архитектуре продуктов, обязан соблюдать её в собственной коммуникации.
Это требование является сильным. Большинство организаций декларируют архитектурные принципы для разрабатываемых продуктов, но не соблюдают их в собственной операционной работе. В случае Института такое расхождение разрушает доктринальную позицию: невозможно убедительно продавать корпоративному клиенту архитектуру AI-led Organization, если собственная работа организована без её принципов.
Институт сознательно избирает обратный путь — рекурсивное применение принципов к собственной работе с целью получить максимальное соответствие между декларацией и практикой. Это требует операционной дисциплины, не свойственной большинству исследовательских и коммерческих организаций. И это же является долгосрочным конкурентным преимуществом Института.
Что НЕ публикуется
Институт публикует архитектурные принципы своей работы — методологию, дисциплину, обоснование решений. Институт не публикует конкретные ADR по соображениям, имеющим разную природу.
Часть ADR содержит коммерческую тайну — детали реализации, дающие конкурентное преимущество. Их публикация снимает преимущество без компенсирующей пользы.
Часть ADR содержит операционные детали инфраструктуры — конфигурации, имена компонентов, расписания работы. Их публикация создаёт карту инфраструктуры для возможных вредоносных воздействий — это часть Compliance by Design в области информационной безопасности.
Часть ADR относится к контурам деятельности, защищённым требованиями конфиденциальности перед клиентами и партнёрами. Их публикация нарушает обязательства Института перед контрагентами.
Часть ADR относится к деятельности, регулируемой профессиональными тайнами — адвокатской, аудиторской, врачебной — в случаях, когда Институт работает с такими данными.
Эти ограничения не противоречат принципу прозрачности Института. Принцип прозрачности относится к методологии, обоснованию решений, проверяемости результатов. Принцип не означает раскрытия операционных деталей, конкурентно значимой информации и защищённых данных третьих сторон. Граница между публичным и закрытым проходит чётко: методология открыта, реализация защищена.
Доступ к закрытым материалам
Институциональные партнёры, заключающие соглашение о сотрудничестве с Институтом, получают доступ к деталям конкретных ADR в объёме, необходимом для сотрудничества. Доступ оформляется через соглашение о неразглашении и фиксированный объём передаваемой информации.
Академические партнёры, работающие над совместными исследованиями, получают доступ к ADR, имеющим научную ценность, на условиях научной публикации с указанием авторства Института.
Регуляторные органы, действующие в рамках своих полномочий, получают доступ к ADR в порядке, установленном законом, при наличии правовых оснований.
Обращения по вопросам доступа к закрытым материалам — info@isslab.ru с указанием темы и характера запроса.
Заключительное положение
Институт не ставит своей задачей убеждать институциональную среду в неизбежности перехода. Эта неизбежность от убеждения не зависит. Институт ставит своей задачей предоставить институциональной среде архитектуру, в которой переход становится управляемым событием, а не разрушающим.
Архитектурная дисциплина Института не является следствием технологической моды или маркетингового позиционирования. Она следует из природы работы с автономными исчислимыми системами — средой, в которой память распределена, ответственность централизована, а ошибки воспроизводимы и каскадны. В этой среде ADR-практика и связанные с ней принципы являются не методологической рекомендацией, а условием возможности работы.
Без них Институт не смог бы удержать соответствие между заявленной доктриной AI-led Organization и собственной операционной практикой. Удержание этого соответствия — главное долгосрочное обязательство Института.
Институциональный капитал, принявший эту архитектуру вовремя, входит в новую конфигурацию, сохранив свою историческую форму. Институциональный капитал, отложивший этот вход, входит в неё на условиях среды, которая к этому моменту уже сформирована без его участия.
Институт существует для первого варианта.
Локально. Верифицируемо. Аудируемо.
«Мы существуем в необратимом времени, где система накапливает хаос. Информация и жёсткие контуры обратной связи — единственное средство противодействия нарастающей энтропии».
— Норберт Винер
Telegram-канал
Системный синтез
Искусственный интеллект на уровне технической и юридической реальности.