Локальная LLM под NDA: чек-лист изоляции, audit-лог и согласование с заказчиком

15 мая 2026 · infolimp.ru

Автор: 1С Инсайдер · роль: практик 1С · проверка: типовые конфигурации и рабочие сценарии · 0 комментариев

В команду пришёл новый заказчик и его NDA. В договоре прописано: исходный код конфигурации не покидает периметр исполнителя ни в каком виде — ни на серверы третьих лиц, ни в облачные сервисы, ни в виде «временной обработки сторонней API». Подходы вроде «отправлю кусочек в LLM, ничего же страшного» становятся прямым нарушением договора. При этом запросы по той же конфигурации разработчик пишет каждый день, и совсем без AI-помощника жить уже непривычно. Разбираем юридическую и инфраструктурную канву: что именно требует NDA, как обеспечить «код не выходит», и где границы между удобством разработчика и риском санкций заказчика.

Что в типичном NDA приходит про AI

В договорах 2025–2026 годов условия с AI-сервисами всплывают всё чаще. Типовая формулировка примерно такая:

Запрет передачи исходного кода, метаданных и фрагментов конфигурации заказчика третьим лицам, включая «провайдеров автоматизированных сервисов обработки текста и кода».
Требование письменного согласования любых сервисов, обрабатывающих код, до начала работ.
Финансовые санкции за каждый факт утечки — от штрафа в фиксированной сумме до расторжения с возвратом гонорара.

Это не «забота о приватности вообще», а конкретное юридическое обязательство. Облачная LLM с публичным API под него не подходит почти никогда — отдавая код, исполнитель формально передаёт его провайдеру сервиса.

Локальная LLM как способ выполнить NDA

Локальная LLM — модель, развёрнутая на железе внутри периметра исполнителя. Запрос вместе с кодом проходит по локальной сети к серверу, отвечает та же машина, наружу не уходит ни байт. Это юридически приемлемая конструкция для большинства NDA, при условии что инфраструктура действительно изолирована — не только архитектурно, но и на уровне сетевых правил.

Требование NDA	Что должно быть обеспечено технически
«Код не передаётся третьим лицам»	Сервер с моделью не имеет исходящих соединений в интернет; все обновления модели выполняются через отдельный изолированный канал по регламенту
«Запрет передачи в облачные сервисы»	На рабочих местах разработчиков заблокированы маршруты к публичным LLM-API на уровне корпоративного файервола
«Согласование сторонних сервисов»	В дополнении к договору заказчиком письменно подтверждено, что использование локальной модели и её точной версии — приемлемо
«Расследование инцидента в случае утечки»	Включён audit-лог запросов к локальной модели; журнал хранится не менее срока, оговорённого в NDA

Что показать заказчику до старта

Документ архитектуры

Заказчик практически всегда соглашается на локальную модель, если ему показать понятную схему: где стоит сервер, какие маршруты у него открыты наружу, какие пользователи имеют доступ, какие данные логируются. Без схемы — звучит как «мы тут поставили AI, поверьте на слово», и юристы заказчика разумно блокируют.

Журнал доступа

Audit-лог — это не паранойя, это страховка от обвинения в утечке. Если через год заказчик заявит, что фрагмент его кода всплыл где-то ещё, у вас должно быть доказательство, какие именно куски кода обрабатывались моделью и кем именно. Простейший формат — JSON-журнал с хешами запросов и идентификатором пользователя.

// Полезный приём: логировать выгрузку метаданных, передаваемых модели
ЖурналВыгрузки = Новый Массив;
Запись = Новый Структура("Дата, Пользователь, ТипВыгрузки, КоличествоОбъектов");
Запись.Дата = ТекущаяДатаСеанса();
Запись.Пользователь = ИмяПользователя();
Запись.ТипВыгрузки = "MetadataIndex";
Запись.КоличествоОбъектов = МетаданныеИндекс.Количество();
ЖурналВыгрузки.Добавить(Запись);
Сообщить("Зафиксирована выгрузка для журнала NDA");

Журнал хранится на стороне исполнителя, в форме, доступной для аудиторской проверки. Что и кем выгружалось — фиксируется на этапе выгрузки, а не «запомним потом».

Регламент обновлений

Локальная модель и индекс метаданных периодически обновляются. Это окно, через которое потенциально могут «утечь» данные — например, если обновление модели делается с лэптопа разработчика, который параллельно подключён к публичному Wi-Fi. Регламент должен явно прописывать: обновления только с выделенной машины, по утверждённому расписанию, с фиксацией версии и контрольных сумм.

Самая частая ошибка при сдаче этой конструкции заказчику — попытка убедить его словами вместо архитектурной схемы. Юрист заказчика не разбирается в LLM, но прекрасно разбирается в формулировках типа «изолированная сеть», «исходящий трафик заблокирован», «версия модели зафиксирована». Дайте ему документ, который он сможет приложить к делу — и согласование пройдёт за день вместо месяца.

Чек-лист NDA-совместимого пилота

Прочитать текст NDA глазами юриста — выделить пункты про передачу кода и AI-сервисы. Если формулировок про AI нет — добавить дополнение, в котором локальная модель явно разрешена.
Согласовать с заказчиком архитектуру: где стоит сервер, какая модель, какой индекс метаданных, какие логи.
Развернуть сервер в изолированном сегменте сети. Закрыть исходящие соединения на уровне корпоративного файервола.
Включить audit-лог запросов с хешами и идентификаторами пользователей.
На рабочих местах разработчиков — корпоративные политики, запрещающие маршрут к публичным LLM-API. Это техническая страховка от случайной утечки через привычку.
Регламент обновлений модели и индекса с фиксацией версий и контрольных сумм.
Полугодовая ревизия логов и регламента — для подтверждения исполнения NDA в случае запроса заказчика.

Типичные ошибки

«У нас локальный сервер — значит, мы соответствуем». Сервер локальный, но имеет открытый канал в интернет «на всякий случай». Этого достаточно, чтобы юрист заказчика заявил несоответствие NDA. Изоляция должна быть зафиксирована на уровне сетевых правил, не «по идее».
Разработчики продолжают пользоваться публичными сервисами «по привычке». Локальную LLM поставили, но привычка отправить запрос в облако осталась. Без блокировки на уровне корпоративной сети инфраструктурная защита бесполезна.
Логи есть, но никто их не смотрит. Audit-лог собирается, занимает место на диске, к нему никто не возвращается. При запросе заказчика «покажите, что в моделях не было нашего кода Х» — выясняется, что логи переполнились и автоматически удалились месяц назад.
Не согласовали с заказчиком до старта. Развернули модель, начали пользоваться, через полгода рассказали заказчику. Юристы заказчика расценивают это как нарушение NDA с момента развёртывания. Согласование должно быть до запуска, в письменной форме.
Не зафиксировали версию модели. Через год модель обновили, поведение изменилось, какие-то ответы стали проходить через нюансы старого поведения. Без фиксации версии расследование инцидента бесполезно — никто не помнит, какая именно модель и с каким индексом работала в момент гипотетической утечки.

Профессиональные решения для 1С и marketplace-интеграций — каталог отчётов и инструментов на витрине НОПи.

Перейти в каталог решений →