SIDJUA V1.0: governance для AI-агентов — как закрыть дыру между свободой агента и безопасностью

Промпт — это не governance

Каждый фреймворк для AI-агентов построен на одном допущении: модель будет следовать своим инструкциям. Вы пишете в системном промпте «никогда не обращайся к PII клиентов». Агент читает это. Агент также читает запрос пользователя «достань платёжную историю Иванова». И агент сам решает, подчиняться или нет.

Это не governance. Это вежливая просьба.

Проблема не теоретическая. Три сценария, которые уже случались:

• Счёт-сюрприз. Агент сжёг $800 на API-вызовах за один день. Узнали по инвойсу в конце месяца.
• Рогатый email. Агент ответил клиенту полностью галлюцинированной информацией. Клиент увидел раньше любого человека.
• Вопрос комплаенса. Аудитор спрашивает: «Кто авторизовал этого AI обращаться к данным клиентов?» Открываете пустую таблицу.

Это не edge cases. Это вторник.

Что такое SIDJUA

SIDJUA — open source платформа governance для AI-агентов, выпущенная 25 марта 2026 года под лицензией AGPL-3.0. Ключевой принцип: governance по архитектуре, а не по промптам.

Платформа разработана за 22 дня, прошла 3 внешних аудита безопасности, имеет 2 патентные заявки в USPTO. Это не прототип из хакатона — это продуманный продукт.

Архитектура: 5-ступенчатый enforcement pipeline

Главная идея SIDJUA: governance-слой находится снаружи агента. Каждое действие проходит через 5-ступенчатый конвейер до выполнения:

Stage 1 — Forbidden (Запрет)

Заблокированные действия отклоняются мгновенно. Никакого LLM-вызова, никакого «разрешено с пометкой». Если действие в списке запрещённых — оно останавливается здесь.

Stage 2 — Approval (Одобрение)

Действия, требующие human-in-the-loop, ставятся на паузу. Агент ждёт. Человек решает.

Stage 3 — Budget (Бюджет)

Каждая задача работает в рамках real-time лимитов. Per-task и per-agent бюджеты. Когда лимит достигнут — задача отменяется. Не помечается, не логируется для ревью — отменяется.

Stage 4 — Classification (Классификация)

Данные, пересекающие границы дивизионов, проверяются по правилам классификации. Агент Tier-2 не может обратиться к SECRET-данным. Агент из Division A не читает секреты Division B.

Stage 5 — Policy (Политики)

Кастомные организационные правила: лимиты частоты API-вызовов, ограничения токенов, временные окна.

Весь пайплайн отрабатывает до выполнения действия. Режима «залогировать и разобраться потом» для критичных операций нет.

Организация агентов: дивизионы и тиры

Вся инфраструктура агентов описывается в одном divisions.yaml — имена агентов, провайдер, модель, тир, бюджеты (per_task_usd, per_month_usd), governance-правила (no_external_api_calls, max_tokens_per_response, require_human_approval для delete и send_email).

Команда sidjua apply читает этот файл и разворачивает полную инфраструктуру: агенты, дивизионы, RBAC, маршрутизация, таблицы аудита, пути секретов, governance-правила — за 10 воспроизводимых шагов.

Система тиров: Tier 1 — полная автономия в рамках governance-envelope. Tier 2 — требуется одобрение для чувствительных операций. Tier 3 — полный supervision. Агент не может повысить свой тир — это архитектурное ограничение.

Технические характеристики

Лицензия: AGPL-3.0. Минимум RAM: 4 ГБ. База данных: SQLite встроенная. Платформы: Linux amd64/arm64, macOS, Windows WSL2. LLM: любая (встроенный Cloudflare Workers AI бесплатно). Деплой: docker compose up -d. UI: Web Management Console. Sandboxing: bubblewrap (Linux).

Работает на Raspberry Pi. Никакой внешней базы данных. Qdrant опционален — только для семантического поиска.

Почему это важно именно сейчас

NVIDIA GTC: Jensen Huang заявил — «Каждому CEO нужна стратегия агентов». NVIDIA построила NemoClaw для runtime-безопасности, но NemoClaw не покрывает governance, бюджеты, комплаенс, аудит.

Экосистема OpenClaw: 800+ вредоносных скиллов, 30 000+ открытых инстансов. CVE, supply-chain атаки, advisory от Microsoft, Cisco, Sophos. Governance — не опция.

Paperclip: 16 000 звёзд на GitHub за неделю, оборачивает агентов в оргструктуры с approval gates. Но это wrapper без pre-action enforcement и без встроенного runtime.

SIDJUA закрывает конкретный зазор: между свободой агента действовать автономно и необходимостью контролировать каждое действие до его выполнения.

Сравнение подходов

System prompt — контроль как рекомендация модели: модель решает сама, следовать или нет. Fine-tuning — обучение на отказах: дорого, хрупко, не покрывает новые кейсы. Output filtering — пост-фактум: действие уже выполнено. SIDJUA (pre-action) — архитектурный контроль: действие блокируется до выполнения.

Ограничения и честные оговорки

SIDJUA — не серебряная пуля:

• Аудиты AI-системами. Три «внешних аудитора» — это Gemini, GPT-5.4 и Grok. Для enterprise хотелось бы видеть аудит от людей с OSCP/OSCE.
• 22 дня разработки. Впечатляет по скорости, но вызывает вопросы о глубине тестирования edge cases.
• AGPL. Для SaaS-компаний, встраивающих SIDJUA в свой продукт, AGPL означает обязательное раскрытие кода. Есть Enterprise-версия, но условия не опубликованы.
• SQLite. Для одного инстанса хватает. Для кластера с миллионами событий аудита — вопрос масштабирования открыт.

Деплой за 2 минуты

Через Docker: docker run -d --name sidjua -p 4200:4200 ghcr.io/goetzkohlberg/sidjua:1.0.0. Открываете localhost:4200. Готово.

Через npm: npm install -g sidjua → sidjua init (интерактивная настройка) → sidjua chat guide (AI-гид без API-ключа).

Выводы

SIDJUA решает правильную проблему правильным способом. Governance по архитектуре — это единственный надёжный подход, когда агенты действуют автономно. Промпты — это рекомендации. Код — это закон.

Для solo-разработчика с пятью агентами SIDJUA Free закрывает вопрос бюджета и аудита бесплатно. Для стартапа — автоматизирует policy enforcement. Для enterprise — даёт compliance-ready audit trail.

Вопрос не в том, нужен ли governance для AI-агентов. Вопрос — как скоро вы столкнётесь со счётом-сюрпризом или рогатым email, которые заставят его внедрить.