Большинство разговоров о защите данных в контексте управления ИИ начинаются не с того места. В них спрашивают, какими сертификатами обладает поставщик, какие субобработчики он указывает, в каком регионе находится его облако. Это реальные вопросы. Но для конкретной категории инструментов, которые наблюдают за вашими ИИ-агентами — обнаруживают каждого агента, каждую сессию, каждую модель и каждый MCP-сервер в вашей инфраструктуре и составляют карту того, к чему может обращаться каждый из них, — под ними скрывается более фундаментальный вопрос: получает ли сам инструмент управления ваши данные вообще когда-либо?
Если ответ «да», вы только что создали нового обработчика, новую копию чувствительных материалов, новое место, которое можно взломать, истребовать по повестке или заставить «звонить домой». Если ответ «нет» — структурно, по самой архитектуре, — то большинство производных вопросов по GDPR становятся гораздо меньше. Именно в этом состоит аргумент в пользу локального развёртывания ИИ-платформы, и его стоит сформулировать точно, без преувеличений.
Гарантия конфиденциальности, которая имеет значение, — структурная, а не сертификат
Отчёт SOC 2 или сертификат ISO 27001 говорит вам о том, что у поставщика есть процессы вокруг данных, которые он хранит. Это полезно, но это утверждение об управлении доступом к вашим данным. Гораздо более сильная гарантия — вообще не хранить эти данные. Нельзя допустить утечку, неправильно обработать или быть принуждённым раскрыть то, что вы никогда не получали.
Локальное развёртывание обеспечивает именно это. Когда control plane работает внутри ваших собственных хостов, кластеров или облаков — в том числе полностью air-gapped, без исходящего трафика, — чувствительные материалы, которые он наблюдает, никогда не пересекают ваш периметр. Поставщик не является субобработчиком ваших операционных данных, потому что поставщик их никогда не видит. Это архитектурный факт, а не обещание в политике, которое нужно аудировать.
Чтобы быть честными о текущем состоянии продукта: Olivares AI находится на стадии pre-release. Он не сертифицирован по SOC 2, ISO/IEC 27001, EU AI Act или любому другому стандарту, и аудит не ведётся. Продукт спроектирован в направлении контрольных целей, которые проверяют эти стандарты, — журналирование аудита, контроль доступа, целостность, шифрование, управление изменениями, — так что он готов к аудиту, когда придёт время. Аргумент о резидентности, изложенный ниже, не зависит ни от какой сертификации, и в этом-то всё и дело.
Связи, а не полезная нагрузка
Ключевое архитектурное решение — что именно сохраняется. Инструмент управления ИИ должен понимать, кто к чему может обращаться. Ему не нужно содержимое запросов, тела промптов, секреты или персональные данные, проходящие через эти обращения.
Поэтому граф хранит связи, а не полезную нагрузку: отношение доступа между агентом и ресурсом и то, является ли этот доступ чтением (R) или чтением/записью (RW). data-export-job → prod-postgres (RW) — это связь. Строки, которые прочитала эта задача, не сохраняются. Карта фиксирует, что агент обратился к объекту в s3://billing-exports; она не копирует сам экспорт.
| Сохраняется (карта доступа) | Не сохраняется |
|---|---|
| Идентификатор агента (роль / имя приложения) | Значения учётных данных, токены, ключи |
Ресурс, к которому был доступ (prod-postgres) | Тела запросов, строки результатов |
| Тип доступа — R или RW | Полезная нагрузка промптов и ответов |
| Метка времени, исход, уровень уверенности | Секреты, персональные данные при передаче |
Входные данные, которые могут содержать секреты или персональные данные, редактируются и сканируются на наличие секретов до того, как что-либо будет записано, так что редактирование происходит на границе сбора, а не как последующая зачистка. То, что вы не храните, не может утечь, — а то, что не может утечь, не расширяет ваш периметр обработки данных по GDPR.
Как данные остаются внутри периметра
Три свойства обеспечивают честность этого подхода на практике:
Наблюдение по принципу read-first. Коллектор наблюдает через сигналы, которые вы уже генерируете, — журналы приложений и аудита, OpenTelemetry и eBPF как инструмент верификации на уровне ядра. Он не является прокси в пути передачи данных агента, поэтому видит форму доступа, а не его содержимое, и если он откажет, то никогда не нарушит работу production. Нет обязательного посредника («man-in-the-middle»), который копирует ваш трафик.
Никакой телеметрии «домой». Secure-by-default означает отсутствие связи с поставщиком («phone-home»). Телеметрия поставщика выключена, пока вы явно её не включите. Ничего о вашей среде — ни имена агентов, ни карта доступа, ни счётчики использования — не отправляется обратно поставщику по умолчанию.
Air-gapped с нулевым исходящим трафиком. В изолированных, регулируемых или закрытых сетях control plane работает полностью локально, с офлайн-валидацией лицензирования. Нет пути наружу, точка. Для требования по резидентности данных, которое гласит, что данные ЕС должны оставаться на инфраструктуре ЕС под вашим контролем, air-gapped self-hosted развёртывание — это самый буквальный из возможных ответов: данные не перемещаются, потому что им некуда перемещаться.
Хранение и очистка настраиваются, так что вы контролируете, как долго сохраняется даже сама карта доступа.
Соответствие статье 28 GDPR — честно
Статья 28 GDPR регулирует отношения «контролёр — обработчик» и то, что должно охватывать Соглашение об обработке данных. Существенное наблюдение состоит в том, что при self-hosted развёртывании обычное отношение «поставщик как обработчик» для ваших операционных данных в значительной степени растворяется: поскольку инструмент работает в вашей инфраструктуре и никогда не получает эти данные, в большинстве развёртываний вы остаётесь контролёром и обработчиком собственных данных в рамках собственной среды.
Это не делает Соглашение об обработке данных бессмысленным. Коммерческие отношения всё равно выигрывают от формализации ответственности — за цепочку поставок ПО, за доступ службы поддержки, за любой будущий управляемый компонент. Соглашение об обработке данных в соответствии со статьёй 28 предоставляется по запросу для корпоративных закупок. Что меняется, так это охват: нет списка мест, куда были отправлены ваши персональные данные, потому что они никогда не отправлялись. Это гораздо более короткий и гораздо более защитимый разговор с DPO или отделом закупок, чем «доверьтесь нашему списку субобработчиков».
Это структурный аргумент, поэтому относитесь к его границам с той же честностью. Локальное развёртывание переносит ответственность за резидентность и обработку на вас; оно её не устраняет. Вы по-прежнему защищаете хост, контролируете хранение и управляете тем, кто может читать карту доступа, — а сама эта карта чувствительна, поэтому каждый привилегированный просмотр её аудируется, а компоненты аутентифицируют друг друга по mTLS. Продукт сокращает поверхность поставщика почти до нуля; он не освобождает оператора.
Главный вывод
Если регулятор, DPO или ваша собственная команда безопасности спросят: «Куда уходят наши данные, когда мы внедряем этот инструмент управления ИИ?», самый сильный из возможных ответов — «никуда: они никогда не покидают периметр, и инструмент их никогда не видит». Этот ответ вытекает из архитектуры: self-hosted исполнение, хранение по принципу «связи, а не полезная нагрузка», редактирование до записи, отсутствие телеметрии «домой» и air-gapped работа с нулевым исходящим трафиком. Сертификат может подтвердить хорошие процессы; он не может сравниться с гарантией данных, которые никогда не были получены.
Если вам нужна полная и честная версия этой позиции — включая ещё не сертифицированный статус соответствия и то, как в неё вписывается DPA по статье 28 GDPR, — см. /security. Если вы предпочитаете прочитать код, который подкрепляет это заявление, полный продукт доступен для self-hosting под AGPL-3.0 на странице /open-source.