В марте Минцифры опубликовало проект закона «Об основах государственного регулирования сфер применения технологий искусственного интеллекта». В апреле документ смягчили под давлением бизнеса (на портале regulation.gov.ru поступило 428 предложений от более чем 150 экспертов. Из них учтено полностью — 30, частично — 128), а 23 апреля Совет по кодификации при президенте под руководством Павла Крашенинникова отклонил его с формулировкой «юридически пустая, хоть и модно звучащая инициатива». Тем не менее Мишустин поручил Минцифре внести законопроект в Госдуму до конца весенней сессии (продлена 14 апреля до 26 июля).

Что в нём по существу: три категории моделей (суверенные, национальные, доверенные), сертификация ФСТЭК и ФСБ для последних, обязательная маркировка ИИ‑контента, требование «учёта традиционных духовно‑нравственных ценностей» и ответственность разработчика за результат, если тот «знал заранее о возможности». Юристы, бизнес‑ассоциации и президентский совет свои претензии уже выписали — там много про предмет регулирования и противоречия с Гражданским кодексом.

Я хочу разобрать другую сторону: техническую. Документ местами читается так, как будто его писали люди, которые видели LLM только в новостях РБК. Пройдёмся по слоям стека.

1. Что вообще такое ИИ по этому закону 

Законопроект описывает «искусственный интеллект» настолько широко, что под определение попадает практически любой софт со статистикой и условной логикой. Ассоциация юристов России уже это зафиксировала: фактически охватывается всё с автоматизацией или машинным обучением.

С технической стороны это означает, что в одну категорию закон сваливает:

• классические модели машинного обучения вроде логистической регрессии и градиентного бустинга (XGBoost и CatBoost технически относятся к ML, но никто в здравом уме не назовёт катбуст «искусственным интеллектом»); 

• глубокие сети старого поколения: ResNet для зрения, BERT‑подобные модели для обработки естественного языка; 

• передовые большие языковые модели: GPT-5, Claude Opus 4.7, GigaChat 3 Ultra, Alice AI; 

• агентные системы с вызовом инструментов, памятью и планированием. 

У этих штук принципиально разные модели угроз, поверхности атак, режимы отказа и методики оценки. Регулировать линейный классификатор скоринга и автономного агента с доступом к API одной статьёй — это как регулировать перочинный ножик и дрон‑камикадзе одной нормой «об острых предметах».

Для сравнения. Европейский регламент об ИИ делит системы на четыре уровня риска — от минимального до неприемлемого. Американский фреймворк NIST AI RMF использует отдельные профили для разных классов систем, плюс отдельный профиль для генеративных моделей (NIST AI 600–1). Законопроект Минцифры оперирует понятиями «сервис ИИ», «модель ИИ» и «система ИИ» как почти взаимозаменяемыми. 

2. Чинчилла не голосует в Думе 

Изначально закон требовал обучать «суверенные» модели только на данных российского происхождения. Под давлением бизнеса требование убрали, но идея осталась как декларация. Полезно посчитать в цифрах, почему она нереализуема.

Передовые модели обучаются минимум на 10–20 трлн токенов. Llama 3 — около 15T (как уточняет Meta, это уже на два порядка больше Chinchilla‑оптимума для 8B, и качество всё ещё росло), оценки для GPT-5 и Claude Opus сопоставимы, DeepSeek‑V3 — 14.8T. Закон масштабирования говорит, что оптимальное с точки зрения вычислений обучение требует примерно 20 токенов на параметр, а модели сегодня тренируются сильно сверх этого.

Что есть на русском. Русскоязычная доля Common Crawl колеблется в пределах 4–6% от общего объёма, и после дедупликации, фильтрации мусора и качества остаётся порядка 1–2 трлн токенов чистого текста — в лучшем случае. Корпуса, созданные сообществом вроде Taiga, OpenCorpora, ruWiki и ruWikinews меньше на один‑два порядка.

Между объёмом доступных русскоязычных данных и объёмом, нужным для обучения передовой модели, разрыв примерно в порядок. Для обучения с нуля этого недостаточно, и это видно из публичных законов масштабирования данных.

Что на практике делают все, кто обучает русскоязычные большие языковые модели? Берут многоязычные корпуса с русскоязычной добавкой — обычно от 10 до 30 процентов русского в предобучении. Чудес не бывает. И никакая «суверенность» этого не отменит: закон Чинчиллы в Госдуме не зарегистрирован.

3. Open‑source как несущая конструкция 

Бизнес в отзывах прямо признал: в России сейчас нет ИИ‑моделей, полностью созданных внутри страны. Это не оценка, а констатация факта. Что именно «не российское» в любой современной LLM:

Нет, конечно не значит что своего вовсе нет. Множество примеров того что сделано с нуля в России. Статья не стремится как‑то это обесценить — просто если брать как факт что большинство составляющих современной модели не являются произведёнными в РФ, то это немного вводит в дисонанс.

Любопытно, что после апрельской редакции «суверенность» стала бухгалтерской категорией: достаточно, чтобы разработчик был российским юрлицом и самостоятельно определял существенные характеристики модели. То есть российское ООО, которое арендует H100 у казахстанского провайдера, скачивает PyTorch с pypi.org, берёт веса Qwen и дообучает их — формально «суверенно». Вся техническая суверенность сводится к ИНН. 

Из честно обученных с нуля базовых моделей в России (может быть, GigaChat и Alice AI). Всё остальное на рынке — это дообученные Llama, Qwen и DeepSeek. Закон, требующий полной отечественности, одним росчерком вычёркивает 90% участников рынка. 

4. Угрозы у LLM есть, методики оценки нет 

Самое больное. Закон говорит: «доверенные модели» проходят сертификацию ФСТЭК и ФСБ. Прекрасно. По какой методике?

Существующая нормативная база ФСТЭК хорошо описывает классические угрозы ИБ (НДВ, периметр, СКЗИ, ПДн). Есть Приказ № 117, регулирующий применение ИИ в защищаемых системах. Но это про применение — не про сертификацию самих LLM по их специфическим угрозам.

А специфические угрозы у LLM такие:

• Прямая и косвенная промпт‑атака.

• Обход защитных механизмов модели.

• Отравление обучающих данных на стадиях предобучения и файнтюна.

• Закладки в весах модели.

• Извлечение обучающих данных.

• Атаки на принадлежность данных к обучающей выборке.

• Кража модели через API. 

• Утечка системного промпта.

• Галлюцинации и конфабуляции в чувствительных контекстах.

• Злоупотребление инструментами в агентных системах.

• Отравление памяти агента.

• Каскадные сбои в мультиагентных сценариях.

В российской регуляторной базе системного аналога нет. Есть отдельные методические наработки — рекомендации Центробанка по применению ИИ в финансовых организациях, рамочный ГОСТ Р 59276–2020 о доверии к системам ИИ, методические документы ФСТЭК по защите информации в системах с компонентами ИИ или модель угроз кибербезопасности ИИ от Сбера. Но единой методики оценки безопасности именно больших языковых моделей, которую можно положить в основу сертификации, не существует. 

Получается, закон требует сертификацию по методике, которую ещё предстоит разработать. И разрабатывать её будут параллельно с применением закона, как с СОРМ-3: сначала обяжем, потом разберёмся. 

Отдельно стоит вопрос про «уважение традиционных духовно‑нравственных ценностей». Как именно сертифицировать языковую модель на соответствие? Бенчмарка нет. Метрики нет. Корпуса размеченных данных, на котором можно было бы обучить классификатор «соответствует / не соответствует», тоже нет. Это не правовая категория и не техническая — это эстетическое суждение, которое в законе вписано как требование к допуску модели на рынок. На практике критерии будут устанавливаться в режиме «понимающего взгляда» сертифицирующего органа, а это уже не сертификация, а лицензирование по усмотрению. 

5. Маркировка контента 

Обязательная маркировка фото‑, видео‑, аудио‑ и текстового ИИ‑контента. Идея гуманная, реализация невозможна. Конкретно:

Водяные знаки в тексте сегодня работают так себе. Самая зрелая технология на рынке — SynthID‑Text от Google DeepMind, и даже она ломается на простых вещах: перефразирование сбивает сигнал, а прогон через цепочку переводов (русский → английский → русский) добивает то, что осталось. 

Более ранние схемы с разделением словаря на «разрешённые» и «запрещённые» токены валятся даже от умеренного редактирования. Есть и формальное доказательство, что универсально надёжный водяной знак на текст невозможен в принципе, при условии, что у атакующего есть достаточно мощный перефразировщик. Контрпримеры существуют, но строятся они через поиск по эталонному корпусу, а не через сам водяной знак, и в промышленных условиях не масштабируются. 

Водяные знаки на изображениях ломаются ещё проще. Современные методы вроде тех, что разрабатывают в Meta и в университетах, в лабораторных условиях работают неплохо, но в реальном мире не выдерживают элементарной обработки: простейшее редактирование, JPEG‑сжатие, обрезка изображения, или его скриншот — каждое из этих действий убивает сигнал поодиночке, а в комбинации не оставляет от метки и следа. 

Обнаружение без водяных знаков работает ещё хуже. Классификаторы вроде DetectGPT, GPTZero и Binoculars на современных моделях дают много ложных срабатываний — особенно на текстах не‑носителей языка и людей с шаблонным стилем письма (студенты, чиновники, юристы попадают под удар систематически). C2PA и Content Credentials — это добровольный стандарт происхождения контента, который снимается тривиально: достаточно сделать скриншот, и метаданные исчезают.

Технически нет способа достоверно пометить контент так, чтобы метку нельзя было снять, чтобы она переживала редактирование, сжатие и перекодирование, и при этом не давала ложных срабатываний на контент, который написан человеком а не машиной. Эти три требования одновременно невыполнимы.

Закон требует того, чего пока не существует и в обозримом будущем в промышленно применимом виде не появится. Это не значит, что маркировка не нужна — это значит, что нельзя строить обязательную норму поверх технологии, устойчивость которой к атакам близка к нулю.

6. Ответственность за то, что вероятностно 

Законопроект говорит: разработчики, операторы и владельцы нейросетей несут ответственность за результат, если «знали заранее о возможности такого результата».

Языковая модель работает с огромным пространством возможных ответов: сотни тысяч слов в словаре, десятки тысяч позиций в контекстном окне. Любой ответ из этого пространства теоретически возможен. 

Допустим, разработчик с повышенной социальной ответственностью публикует карточку модели, в которой честно указаны частота галлюцинаций (не равна нулю ни у одной современной модели), доля успешных обходов защиты против известных техник, оценки предвзятости на стандартных бенчмарках и режимы отказа в нестандартных ситуациях. Иначе говоря, разработчик автоматически попадает в категорию «знал заранее». Любой, кто публикует результаты оценки безопасности своей модели, по букве нормы становится виноватым.

Получается обратный стимул: чем честнее ты в оценке собственной модели, тем выше юридический риск. Норма работает против безопасности, а не в её пользу. Anthropic, OpenAI и DeepMind публикуют детальные отчёты и результаты тестирования своих моделей именно потому, что прозрачность повышает безопасность всей экосистемы. Российский разработчик в такой логике должен молчать — иначе его собственный отчёт потом подошьют к делу.

Корректный подход — ответственность, привязанная к мере предосторожности: применил ли разработчик современные средства защиты, ведёт ли мониторинг после развёртывания, реагирует ли на инциденты. Европейский регламент об ИИ так и устроен. Но регламент, предлагаемый Минцифрой к сожалению устроен не так.

7. Веса, RAG, агентная обвязка и прочие движущиеся части 

«Доверенная модель» подразумевает сертификацию. Но современная большая языковая модель — не статический бинарник, а многослойная конструкция. Внизу лежит базовая модель — результат полученный при предобучении. Поверх неё — версия, дообученная на инструкциях. Дальше — слой выравнивания через обратную связь от людей или прямую оптимизацию предпочтений. Затем деплой через API, где может идти непрерывное дообучение. Поверх лежит обвязка для поиска по внешним документам с ранжированием и сборкой контекстного окна. Проще говоря, RAG. Над ней — агентная обвязка с вызовом инструментов, памятью, планированием и многошаговыми рассуждениями. Параллельно могут работать защитные фильтры на входе и выходе. И самый верхний слой — системные промпты.

Каждый слой меняется независимо. Модель фактически находится в состоянии непрерывного деплоя: дообучение на инструкциях прилетает раз в неделю, индекс для поиска обновляется в реальном времени, системный промпт правится по ситуации.

Какой именно артефакт фиксирует сертификация? Веса? А если завтра выкатили новый зафайнтюненный вариант — нужна ли повторная сертификация? RAG — это часть модели или нет? Если поменяли модель эмбеддингов для поиска, то что происходит с сертификатом? А набор инструментов, к которым агент имеет доступ?

Закон ответов не даёт. Подзаконные акты, скорее всего, тоже не дадут — их будут писать юристы, а не инженеры машинного обучения. Получим документ, в котором сертификат привязан либо к хешу весов (бессмысленно для системы, которая постоянно меняется), либо к юрлицу (бессмысленно как техническая мера контроля).

8. Суверенитет без GPU 

Финальный гвоздь. Обучение передовых моделей требует кластеров на топовых ускорителях NVIDIA — H100, H200, B200. Официально в Россию они не поставляются с 2022 года. Предыдущее поколение, A100, идёт по серым каналам. Из отечественных альтернатив есть «Эльбрус» и «Байкал», но это центральные процессоры и системы на кристалле, а не ускорители для обучения нейросетей. На подходе ещё китайские кристаллы, но пока это ставится под большой вопрос. У МЦСТ пока нет ничего сравнимого по производительности с тензорными ядрами. Российские проекты по нейропроцессорам существуют, но дотягивают только до запуска компактных моделей на устройствах, а не до обучения базовых.

Получается, что «суверенный ИИ» обучается на NVIDIA, купленной обходными путями. PyTorch скачивается с американского pypi.org. Базовые веса — с huggingface, к которому коммерческий доступ из России ограничен. Такова реальность, в которой пишется закон о суверенитете.

И здесь интересная развилка. Либо закон останется декорацией поверх де‑факто иностранного стека, либо его попытаются применить буквально — и тогда обучение базовых моделей в России просто остановится. Третьего варианта — полностью импортозамещённого стека вместе с ускорителями — в обозримом горизонте технически не существует.

Итого

Перед нами не закон об ИИ, а технически безграмотная декларация, обёрнутая в риторику суверенитета и духовно‑нравственных ценностей. Чинчиллу не отменишь голосованием, PyTorch не скачаешь с российского зеркала, водяной знак не переживёт скриншота, а вероятностную модель не привяжешь к хешу весов. Любая попытка применить такой закон буквально остановит обучение базовых моделей в стране. Любая попытка применить его частично превратит сертификацию в лицензирование по усмотрению. Третьего варианта нет.