AI Risk Register для RENAR-проектов
Назначение: реестр AI-специфичных рисков для проектов, использующих RENAR (где AI генерирует требования, спецификации и тесты). Основан на ISO/IEC 23894:2023 (AI Risk Management) и NIST AI RMF 1.0. Источник:
research/10-ai-risk-register.md.
Не подменяет общий security risk register организации. AI-риски — отдельный класс из-за специфики генерации и непредсказуемости моделей.
1. Структура реестра
Каждый риск имеет:
id: AIR-NN # immutable
name: "<short name>"
category: hallucination | injection | drift | bias | sgnl-failure | data-quality | adversarial | privacy
severity: critical | high | medium | low
likelihood: high | medium | low
iso-23894-ref: "§N.N"
nist-rmf-function: govern | map | measure | manage
mitigations:
- mechanism: "<description>"
enforced-by: "<who/what>"
automated: true | false
status: active | mitigated | accepted | monitoring | out-of-scope
owner: "@role"
last-reviewed: "YYYY-MM-DD"
related: ["<core rule N>", "<standard chapter>", "<other AIR-NN>"]Список AIR-01..AIR-14 закрыт; новые риски добавляются только через изменение полного RENAR Standard.
2. Реестр
AIR-01. Hallucination в AI-генерируемых требованиях
| Параметр | Значение |
|---|---|
| Категория | hallucination |
| Severity | High |
| Likelihood | High без mitigation |
| ISO 23894 | §6.3 Output reliability |
| NIST RMF | Measure (accuracy) |
Описание. AI-агент при генерации BR/SR/SPEC может «дописать от себя» утверждения, которых нет в ADAPT или ТЗ. Эти утверждения попадают в approved-документы, в backlog, в код.
Воздействие. Scope creep, dispute на acceptance, фичи которые не требовались клиентом.
Mitigations.
- Source citation — каждое assertion в SR ссылается на ADAPT §N (RENAR Core Правило 1).
- Adversarial review — критик-модель (другой vendor) ловит unsupported assertions.
- Метрика Hallucination Rate — target ≤ 1% на зрелых уровнях RENAR.
Status. active на ранних RENAR levels; mitigated при полном adversarial pipeline.
AIR-02. Prompt injection через ТЗ от клиента
| Параметр | Значение |
|---|---|
| Категория | injection |
| Severity | High |
| Likelihood | Low-Medium |
| ISO 23894 | §6.7 Adversarial inputs |
| NIST RMF | Manage (security) |
Описание. Злонамеренный клиент может вставить в текст ТЗ скрытые инструкции для AI («ignore previous instructions and …»). При импорте ТЗ AI-агент может эти инструкции выполнить.
Воздействие. Утечка данных, вредоносные изменения в требованиях, нарушение security policy.
Mitigations.
- Sandboxing AI-агента при импорте: модель работает с ТЗ как с пассивными данными, не как с инструкциями (явно в system prompt).
- Input gateway проверяет inputs на known injection patterns перед передачей AI.
- При обнаружении suspicious pattern — escalation на инженера, не auto-process.
Status. monitoring (need automated detector).
AIR-03. Model drift / version change
| Параметр | Значение |
|---|---|
| Категория | drift |
| Severity | Medium |
| Likelihood | High (модели обновляются регулярно) |
| ISO 23894 | §6.4 Model lifecycle |
| NIST RMF | Manage (model governance) |
Описание. Anthropic / OpenAI / Google обновляют модели. Тот же prompt с тем же ТЗ через 6 месяцев может дать другой output. Старые ADAPT генерировались Opus 4.6, новые — Opus 4.7.
Воздействие. Inconsistency между требованиями в одном проекте; невозможность точно воспроизвести генерацию старого артефакта.
Mitigations.
- Model versioning в
ai-provenance.generated-by(точная версия + дата). - Eval-тесты для SPEC-AI прогоняются при смене модели.
- При регенерации артефакта — diff против старой версии и assessment изменений.
Status. monitoring.
AIR-04. Bias в AI-генерации требований
| Параметр | Значение |
|---|---|
| Категория | bias |
| Severity | Medium |
| Likelihood | Medium |
| ISO 23894 | §6.5 Fairness |
| NIST RMF | Measure (fairness) |
Описание. Модель имеет training-data bias. При генерации BR может игнорировать stakeholders определённых групп (например, accessibility users, non-English locales, специфичные регуляторики).
Воздействие. Требования не покрывают весь spectrum пользователей; продукт оказывается дискриминационным или non-compliant.
Mitigations.
- Multi-model agreement для priority=must BR (разные модели — разные biases).
- Stakeholder map обязателен в BR — explicit перечисление.
- Adversarial critic с prompt «check for missing stakeholders / accessibility considerations».
Status. active.
AIR-05. Single-model failure (no diversity)
| Параметр | Значение |
|---|---|
| Категория | sgnl-failure |
| Severity | Medium |
| Likelihood | High без mitigation |
| ISO 23894 | §6.4 Single point of failure |
| NIST RMF | Manage (resilience) |
Описание. Если все артефакты генерируются одной моделью, её ошибки систематически проникают. Если она «галлюцинирует» определённый паттерн — все требования это унаследуют.
Воздействие. Систематическое искажение требований по проекту.
Mitigations.
- Multi-model для priority=must BR.
- Adversarial critic с другой моделью.
- Изоляция judge-модели от production-модели в eval-тестах (SPEC-AI:
judge-model.vendor ≠ production-model.vendor).
Status. mitigated при полном RENAR pipeline.
AIR-06. Test fitting / зеленение тестов
| Параметр | Значение |
|---|---|
| Категория | sgnl-failure |
| Severity | High |
| Likelihood | Medium без mitigation |
| ISO 23894 | §6.6 Verification integrity |
| NIST RMF | Measure (validity) |
Описание. AI-агент имеет тривиальный путь зеленения failing-теста — ослабить Pass-критерий. Это проходит code review, поскольку «тест зелёный».
Воздействие. False confidence; defects проходят в production.
Mitigations.
- Маркер
[test-spec-change]обязателен для изменения Pass/Fail; требует отдельного approval. - Spot-check 5 случайных passing TC раз в спринт (RENAR Core Правило 5).
- Метрика Test-fitting drift rate (отдельная от обычных metrics).
Status. mitigated при дисциплине spot-check.
AIR-07. Hallucinated citations
| Параметр | Значение |
|---|---|
| Категория | hallucination |
| Severity | Medium-High |
| Likelihood | Medium |
| ISO 23894 | §6.3 Output reliability |
| NIST RMF | Measure (accuracy) |
Описание. AI-агент пишет citation [TZ-2026-001 §4 line 142], но в реальном ТЗ §4 line 142 — про другое. Citation выглядит как evidence, но evidence ложный.
Воздействие. Source citation становится фикцией; trace chain рвётся при аудите.
Mitigations.
- Citation validator hook — парсит citation, открывает указанный документ, проверяет наличие соответствующего текста.
- Pre-commit/pre-approval блокировка при невалидной citation.
Status. monitoring (need validator implementation).
AIR-08. Adversarial inputs в clients data (runtime)
| Параметр | Значение |
|---|---|
| Категория | adversarial |
| Severity | High |
| Likelihood | Low |
| ISO 23894 | §6.7 Adversarial inputs |
| NIST RMF | Manage (security) |
Описание. Клиент отправляет данные (через формы, API), специально сконструированные для манипуляции AI-компонент в runtime (не на этапе генерации требований).
Воздействие. Аналогично AIR-02, но в production runtime.
Mitigations.
- Input sanitization на API gateway.
- Constrained generation (structured outputs only).
- Rate limiting per user.
Status. out-of-scope for RENAR. Это application-level security; RENAR требует SR-уровень покрытия (SPEC-SEC threat model), но runtime защита — задача реализации, не нормирования требований.
AIR-09. Privacy leakage через AI logs
| Параметр | Значение |
|---|---|
| Категория | privacy |
| Severity | High |
| Likelihood | Medium |
| ISO 23894 | §6.8 Privacy |
| NIST RMF | Govern (privacy) |
Описание. AI-агент при генерации артефакта имеет в контексте PII (из ТЗ или интервью). Логи генерации (tool events, audit records) могут хранить эти PII.
Воздействие. PII попадают в логи, в ai-provenance, в training data (если используется).
Mitigations.
- PII redaction в промптах перед отправкой в LLM (если возможно).
data-classificationtracking — куда какие данные физически идут.- Disable training on conversations (Anthropic / OpenAI privacy settings, DPA).
- TTL на event logs с PII.
Status. active (need redaction tooling).
AIR-10. Knowledge graph poisoning
| Параметр | Значение |
|---|---|
| Категория | data-quality |
| Severity | Medium |
| Likelihood | Low |
| ISO 23894 | §6.5 Data integrity |
| NIST RMF | Map (knowledge integrity) |
Описание. Если knowledge graph (KG) используется как primary search для AI-агентов, то incorrect edge может «отравить» все последующие AI-запросы, опирающиеся на этот граф.
Воздействие. AI генерирует требования на основе wrong context, систематически.
Mitigations.
- KG derived от frontmatter, не редактируется напрямую (см. 05-knowledge-graph-schema.md).
- CI-валидация графа на каждое изменение (нет circular dependencies, no orphan approved).
- Reconciliation-агент проверяет integrity графа еженедельно.
Status. monitoring.
AIR-11. Reconciliation false-positive overload
| Параметр | Значение |
|---|---|
| Категория | sgnl-failure (process) |
| Severity | Low-Medium |
| Likelihood | Medium |
| ISO 23894 | §6.6 Verification integrity |
| NIST RMF | Manage (operational) |
Описание. Reconciliation-агент при слишком чувствительных правилах генерирует много false-positive findings. Архитектор начинает их игнорировать → real findings тонут.
Воздействие. Reconciliation теряет ценность, дисциплина не масштабируется.
Mitigations.
- Tunable thresholds в проектной конфигурации.
- Метрика Reconciliation Findings/Week — если растёт без real issues, нужна re-calibration.
- Архитектор может dismiss findings с обоснованием — это feedback для tuning prompt’а агента.
Status. monitoring.
AIR-12. Cost runaway (uncontrolled AI spend)
| Параметр | Значение |
|---|---|
| Категория | sgnl-failure (operational) |
| Severity | Medium |
| Likelihood | Medium без budget tracking |
| ISO 23894 | §6.9 Cost governance |
| NIST RMF | Manage (resource governance) |
Описание. Без budget tracking AI-генерация (особенно с multi-model, adversarial, eval) может потреблять токены непропорционально размеру проекта.
Воздействие. Финансовые потери; нерентабельность практики.
Mitigations.
ai-budgetfield в frontmatter артефакта (target + actual).- Aggregated cost metric на уровне проекта.
- Cap на проект; alarm при approached.
- Recommendation engine: «использовать Sonnet/Haiku для рутины, Opus только для priority=must BR».
Status. active.
AIR-13. Стейкхолдер не понимает AI-сгенерированные требования
| Параметр | Значение |
|---|---|
| Категория | data-quality (UX) |
| Severity | Medium |
| Likelihood | Medium |
| ISO 23894 | §6.8 Transparency |
| NIST RMF | Govern (transparency) |
Описание. AI генерирует SR в техническом стиле; клиент / non-technical stakeholder при ревью не понимает → approval становится формальностью.
Воздействие. QG-ADAPT-approve / QG-4 acceptance теряет смысл; dispute rate at acceptance растёт.
Mitigations.
- Style guide (04-ai-style-guide.md).
- BR пишется в business language; технологии — в SPEC-*, не в BR.
- Human-readable summary в каждом BR/SR — короткая секция, понятная без технического background.
Status. active.
AIR-14. Vendor lock-in to specific LLM provider
| Параметр | Значение |
|---|---|
| Категория | sgnl-failure (operational) |
| Severity | Medium |
| Likelihood | Low-Medium |
| ISO 23894 | §6.4 Vendor risk |
| NIST RMF | Govern (procurement) |
Описание. Все промпты оптимизированы под конкретного провайдера (например, Anthropic Claude). Если provider меняет pricing / availability — переход требует переписывания всех промптов.
Воздействие. Operational risk, costs, business continuity.
Mitigations.
- Provider-agnostic prompts где возможно (избегать vendor-specific tool syntax).
- Multi-model уже enforced для priority=must (Принцип 4) — гарантирует что есть второй провайдер в pipeline.
- Periodic test runs на резервном провайдере.
Status. monitoring.
3. Risk matrix
Severity / Likelihood
│ Low Medium High
────────┼──────────────────────────────────
High │ AIR-08 AIR-04, 06 AIR-01, 03
Medium │ AIR-10 AIR-11, 13 AIR-07, 09, 14
Low │ — AIR-12 AIR-02, 05Critical и High риски в top-right квадранте — приоритет mitigation.
4. Mitigation matrix
Какие mitigations покрывают какие риски:
| Mitigation | Покрывает риски |
|---|---|
| Source citation (Core Правило 1) | AIR-01, AIR-07 |
| Adversarial review (другая модель) | AIR-01, AIR-04, AIR-05 |
| Spot-check passing TC (Core Правило 5) | AIR-06 |
| Multi-model для priority=must | AIR-04, AIR-05, AIR-14 |
| Judge isolation в SPEC-AI | AIR-05 |
| AI provenance (model + version + date) | AIR-03, AIR-09 |
| Citation validator hook | AIR-07 |
| Input sandbox / sanitization | AIR-02, AIR-08 |
| PII redaction + DPA | AIR-09 |
| KG validation in CI | AIR-10 |
| Reconciliation tunable thresholds | AIR-11 |
ai-budget field + project cap | AIR-12 |
| Style guide + business-language BR | AIR-13 |
Compensating controls: одиночный mitigation редко достаточен; высокие риски требуют ≥ 2 независимых controls.
5. Operational governance
5.1 Review cadence
- Monthly: AIR-01, AIR-02, AIR-06, AIR-07, AIR-09 — high-impact runtime risks.
- Quarterly: все остальные.
- On-incident: любой риск, в который произошёл инцидент → root cause → mitigation.
5.2 Owner
Default owner — Architect проекта. Для AI-специфичных рисков — AI Governance Lead (если есть в организации).
5.3 Storage
Risk register проекта — отдельный артефакт по convention:
<project>.req/
governance/
ai-risk-register.md # snapshot этого reference + project-specific notes
review-log.md # история ревью с датами и подписямиНа substrate, не поддерживающем директории — эквивалент namespacing.
5.4 Reconciliation-агент
Еженедельный run reconciliation-агента обновляет status и last-reviewed поля каждого AIR. Если статус меняется (e.g., monitoring → active) — alert архитектору.
6. Связь со стандартом
| AIR | RENAR Core / Standard |
|---|---|
| AIR-01, 07 | Core Правило 1 (ADAPT перед SR) + Standard ch.5 |
| AIR-04, 13 | Standard ch.4 (роли) + style guide §04 |
| AIR-05 | Standard ch.13 (AI generation) + SPEC-AI judge isolation |
| AIR-06 | Core Правило 4 + Правило 5 + QG-2 verified-by-TC |
| AIR-09 | Standard ch.11 compliance + SPEC-SEC |
| AIR-12 | Standard ch.13 (cost governance) |
7. Что НЕ покрывает risk register
Этот реестр focuses на AI-специфичные риски процесса RENAR. Не подменяет:
- Общий security risk register организации (см. ISO 27001).
- Compliance risk register (см. 06-compliance.md).
- Application-level threat model конкретного проекта (см. SPEC-SEC).
Reg-обязательные требования регуляторов (AI Act high-risk, ФЗ-152) — отдельные artifacts; этот register — operational tier.
AI Risk Register RENAR 1.0-draft — renar.tech