Аннотация
В ответ на критику, полученную от практикующих архитекторов и разработчиков (в частности, Евгении Умен), автор представляет доработанную версию архитектуры кредитного конвейера 2.1.
В отличие от исходной концепции, новая версия включает: слой аттестации и безопасных анклавов для ИИ-агентов (контроль целостности кода, изолированные среды выполнения, соответствие требованиям ФСТЭК/ФСБ и Банка России), детализированную внутреннюю декомпозицию каждого ИИ-агента (классификаторы интентов, NLU, диалоговые движки, NER, OCR, MSP-серверы), а также горизонталь безопасности и комплаенса (PKI, mTLS, Vault, сетевые политики, SIEM, аудит).
Статья носит характер публичного ответа и предлагает промышленно пригодный архитектурный шаблон для банков, переходящих к ИИ-ориентированному кредитованию.
Ключевые слова: аттестация ИИ, безопасные анклавы, контроль целостности кода, декомпозиция ИИ-агента, классификаторы интентов, MSP, комплаенс, 152-ФЗ, ФСТЭК.
1. Вместо введения: благодарность за критику
После публикации статьи «Архитектура кредитного конвейера 2.0: ИИ-агенты, BPM и микросервисы» (7 апреля 2026) мы получили ряд экспертных замечаний. Наиболее системные и жёсткие поступили от Евгении Умен (архитектор, опыт промышленной эксплуатации ИИ в финтехе). Основные тезисы критики:
- Нет аттестации и безопасных анклавов. ИИ-агенты не могут работать «как есть» — требуется контроль целостности кода, изолированные анклавы, хэширование, подписи.
- ИИ-агент — абстракция. В статье он показан чёрным ящиком, тогда как реально это сложная инфраструктура: классификаторы интентов, NLU, диалоговые движки, NER, OCR, MSP-серверы.
- Полное отсутствие слоя безопасности и комплаенса. Нет PKI, mTLS, Vault, сетевых политик, SIEM, соответствия 152-ФЗ.
Автор приносит благодарность Евгении Умен и её коллеге за указанные пробелы. Данная статья — прямой ответ и доработка концепции до уровня, пригодного для промышленного внедрения в российских банках.
2. Архитектура 2.1: добавленные слои и компоненты
2.1. Слой безопасности и аттестации (горизонталь)
В шестислойную модель добавляется сквозная горизонталь безопасности и аттестации, которая пронизывает все слои (от каналов до интеграционной шины). Её элементы:
| Компонент | Назначение | Технологии / Стандарты |
|---|---|---|
| Аттестация сред | Серверы, контейнеры, СУБД, Kafka, Redis должны иметь аттестат ФСТЭК/ФСБ | Заключение аккредитованной лаборатории |
| Контроль целостности кода | Хэш-суммы образов контейнеров, подписанные артефакты, protected registry | Notary, TUF, Cosign, IMA (Linux) |
| Изолированные анклавы (TEE) | Исполнение ИИ-агентов в аппаратно защищённой области | Intel SGX, AMD SEV, отечественные аналоги |
| Безопасная ОС и политики | Ограничение прав, мандатный доступ | Astra Linux Special Edition, SELinux, AppArmor |
| PKI и mTLS | Аутентификация и шифрование между агентами, BPM, шиной | HashiCorp Vault, Istio, Linkerd |
| Сетевые политики | Микросементация, запрет прямого доступа агентов к БД | Cilium, Calico, Kubernetes Network Policies |
| SIEM и неизменяемый аудит | Логирование всех действий агентов и вызовов | MaxPatrol SIEM, ELK с WORM-хранилищем |
| Compliance-контроль | Проверка соответствия 152-ФЗ, ФЗ-115 | Встроенные валидаторы, отказ по несоответствию |
Важно: Любое изменение кода ИИ-агента (включая обновление библиотек) требует повторной аттестации. Процедура обновления должна быть формализована в CI/CD с подписанными артефактами и подтверждением целостности.
2.2. Декомпозиция ИИ-агентов: от «чёрного ящика» к инфраструктуре
Исходная статья оперировала шестью агрегированными агентами. Для промышленной реализации каждый из них раскрывается как подсистема взаимосвязанных сервисов. Ниже приведена декомпозиция Agent-Assistant (клиентский ассистент + сбор документов) — наиболее сложного агента.
Agent-Assistant: внутренняя архитектура
| Компонент | Задача | Технологии |
|---|---|---|
| Классификатор интентов | Определить намерение клиента | BERT/RuBERT, fine-tuned на диалогах |
| NLU-модуль | Извлечение сущностей из текста | spaCy, Natasha, DiDi |
| Диалоговый движок (DM) | Управление сценарием, состояние диалога | Rasa, DeepPavlov, или кастомный на основе BPMN |
| Генерация ответов (NLG) | Формирование сообщений клиенту | LLM (YandexGPT, GigaChat, локальная модель) |
| NER для документов | Извлечение полей из паспорта, СНИЛС, ИНН | Fine-tuned RuBERT + regex |
| OCR-сервис | Распознавание загруженных фото/скан-копий | Tesseract, EasyOCR, Smart IDReader |
| Интеграция с ФНС/ЕГРЮЛ | Верификация ИНН | API ФНС, шлюз з mTLS |
| Менеджер сессий (MSP) | Хранение контекста диалога, восстановление после сбоев | Redis Cluster + Qdrant |
| Контур безопасности | Шифрование ПДн, аудит | Vault, sidecar-прокси (Envoy) |
Аналогично раскрываются Agent-Underwriter и Agent-Explainer.
2.2.1. Agent‑Underwriter: внутренняя архитектура
Агент‑андеррайтер отвечает за расчёт кредитного риска, определение лимита, ставки и принятие предварительного решения. В промышленной реализации он представляет собой композицию следующих компонентов:
| Компонент | Задача | Технологии |
|---|---|---|
| Feature store | Хранение и версионирование рассчитанных признаков (скоринговые переменные, поведенческие метрики) | Feast, Tecton, или кастомный на базе PostgreSQL |
| Вызов БКИ | Запрос кредитной истории через защищённый канал (mTLS, шифрование) | API НБКИ, ОКБ, Эквифакс (через шлюз) |
| Антифрод‑сервис | Проверка на мошеннические схемы, чёрные списки, связность с уже известными инцидентами | Графовые базы (Nebula, Neo4j), правила + ML |
| Скоринговая модель | Расчёт PD (probability of default), лимита, ставки | Градиентный бустинг (CatBoost, XGBoost), калибровка |
| Валидация анкеты | Проверка полноты и непротиворечивости данных (например, возраст не более 100 лет) | JSON Schema, Drools |
| Вычисление макропруденциальных лимитов | Учёт нормативов Банка России (например, ПВ банка) | Интеграция с core‑банковской системой |
| Контур безопасности | Все вызовы через mTLS, шифрование ПДн, аудит решений | Vault, sidecar‑прокси (Envoy) |
Важно: Скоринговая модель должна быть аттестована как «компонент, влияющий на кредитное решение». Любое обновление весов модели требует повторной аттестации и фиксации в feature store версии признаков.
2.2.2. Agent‑Explainer: внутренняя архитектура
Агент‑эксплейнер обеспечивает объяснимость (XAI) принятого решения – как для клиента, так и для надзорных органов. Он работает постфактум или в режиме реального времени по запросу.
| Компонент | Задача | Технологии |
|---|---|---|
| SHAP/LIME‑вычислитель | Расчёт вклада каждого признака в итоговый скоринг | SHAP (Python), shap‑values с сохранением в feature store |
| Формирование человеко‑читаемого объяснения | Генерация текста на русском языке: «Ваш отказ связан с высокой долговой нагрузкой» | LLM (локальная или YandexGPT) + шаблоны |
| Аудиторский след | Фиксация объяснения в неизменяемом виде (хэш, подпись, время) | WORM‑хранилище, блокчейн или S3 с retention |
| Проверка соответствия регуляторным требованиям | Убедиться, что объяснение не противоречит 152‑ФЗ (не раскрывает чувствительные данные) | Классификатор PII, регекс‑фильтры |
| API для вызова | Предоставление объяснения по запросу BPM, клиентскому интерфейсу или сотруднику | REST + mTLS, Kafka (асинхронно) |
| Контур безопасности | Шифрование объяснений, логирование всех запросов к агенту | Vault, sidecar‑прокси |
Примечание: Для розничных продуктов объяснение должно быть кратким и понятным; для МСБ и юрлиц – более детальным, с возможностью ссылки на нормативные документы.
2.3. Требования к безопасным анклавам (TEE) для ИИ-агентов
В российском регулировании (приказ ФСТЭК № 21) критически важные компоненты, обрабатывающие персональные данные и влияющие на кредитные решения, должны выполняться в изолированной среде с контролем целостности. Рекомендуется:
- Для моделей машинного обучения – загрузка весов только из подписанного registry, запуск внутри Intel SGX-анклава.
- Для LLM – локальный запуск в изолированной ВМ с аппаратной защитой памяти.
- Для интеграций с БКИ и ФНС – отдельный микросервис в анклаве, с TLS-терминацией и аудитом.
При отсутствии аппаратных TEE допустима программная изоляция через контейнеры с обязательной проверкой хэшей и политиками SELinux (Astra Linux).
3. Обновлённая семислойная модель с горизонталью безопасности
| № | Слой | Технологии |
|---|---|---|
| 0 (горизонталь) | Безопасность и аттестация | ФСТЭК/ФСБ, TEE, PKI, Vault, SELinux, SIEM |
| 1 | Каналы взаимодействия | Веб-портал, моб. приложение, AI-диалог |
| 2 | Оркестрация процессов | Camunda / Renga (BPMN) |
| 3 | Сервисы принятия решений | Drools, скоринг, БКИ, ФНС |
| 4 | ИИ-агенты (декомпозированные) | Классификаторы интентов, NLU, DM, OCR, feature store |
| 5 | Платформа управления агентами | Agent-Bridge (Incus/LXD) с контролем целостности |
| 6 | Управление данными и состоянием | PostgreSQL, S3, Qdrant, Redis, Vault |
| 7 | Интеграционная шина | Kafka, API-маркетплейс |
4. Как это соотносится с комментарием Евгении Умен
5. Заключение
Архитектура кредитного конвейера 2.1 устраняет критические пробелы исходной версии. Она:
- Учитывает требования российского регулирования.
- Детализирует внутреннее устройство ИИ-агентов.
- Вводит обязательный слой безопасности и комплаенса.
Благодарности. Автор выражает глубокую признательность Евгении Умен и её коллеге за принципиальную и профессиональную критику, без которой данная доработка была бы невозможна. Отдельная благодарность эксперту, организовавшему диалог.
Данная версия архитектуры может служить основой для пилотных проектов в банках, готовых к внедрению ИИ-ориентированного кредитования с соблюдением всех регуляторных требований.
Статья подготовлена в рамках деятельности Digital Economy Lab. При перепечатке ссылка на первоисточник обязательна.
Приложение. Кредитный конвейер 2.1
(намерения клиента)
(извлечение сущностей)
(сценарий и стейт)
(NLG формирование текста)
(RuBERT + RegEx)
(обработка сканов)
(верификация данных)
(хранение контекста)
