OmegaOS™ Kernel
Deterministyczny, audytowalny kernel decyzyjny.
Generuje True / False / Indeterminate — gdzie Indeterminate (I) pozostaje statusem natywnym do momentu spełnienia progów dowodowych i governance.
Nowa kategoria
Nie dostarczamy zwykłego narzędzia. Definiujemy kategorię: zarządzalna infrastruktura decyzyjna, w której niepewność jest poprawnym wynikiem, nie defektem.
Problem
W systemach krytycznych wymuszone decyzje binarne (tak/nie) prowadzą do błędów, ryzyka prawnego i kruchych audytów. Nieprzejrzyste wyniki AI i modele black-box pogłębiają ten problem — decyzje stają się trudne do uzasadnienia, odtworzenia i zakwestionowania.
Zmiana paradygmatu
Indeterminate (I) jest punktem wyjścia. True i False nie mogą być generowane dowolnie — są wyodrębniane dopiero po spełnieniu progów dowodowych i reguł governance.
Rezultat
Każda decyzja jest zarządzalna: kto zdecydował, kiedy i na podstawie jakiego dowodu. Każde rozumowanie jest reprodukowalne. Niepewność pojawia się jako stabilny, audytowalny status — nie jako ciche niepowodzenie.
Trzy statusy
Systemy binarne wymuszają na każdej decyzji „zezwól” lub „odmów”. Gdy dowody są sprzeczne lub brakujące, zgadują. OmegaOS™ Kernel nie zgaduje.
Zezwolenie
Dowód wspierający zewaluowany. Warunki polityki spełnione. Decyzja, łańcuch dowodów i wersja polityki rejestrowane w dzienniku append-only.
Nieokreślone
Dowód jest sprzeczny lub niewystarczający. Silnik wstrzymuje werdykt. Brak pośpiesznego rozstrzygnięcia. Konflikt jest ujawniany do ludzkiego przeglądu, z obydwoma łańcuchami dowodów w załączniku.
Odmowa
Dowód odrzucający zewaluowany. Warunki polityki nie spełnione. Odmowa ma taką samą głębię dowodową jak zezwolenie — każde odrzucenie jest równie identyfikowalne.
| Aktywny dowód | Rozstrzygnięcie | Konflikt | HTTP |
|---|---|---|---|
| Tylko wspierający (V) | Zezwolenie | Nie | 200 |
| Tylko odrzucający (F) | Odmowa | Nie | 200 |
| Oba V + F | Nieokreślone | Tak | 409 |
| Brak | Nieokreślone | Nie | 200 |
409 Conflict. Gdy silnik antyfraudowy zaleca blokadę, a kontrola KYC zatwierdza, systemy binarne cicho wybierają zwycięzcę. OmegaOS™ Kernel zwraca 409 z obydwoma łańcuchami dowodów — sprzeczność jest widoczna, identyfikowalna i audytowalna.
Architektura dowodów
- Niezmienne scenariusze rozstrzygania z kryptograficznym dowodem.
- Deterministyczne wyniki T/F/I powiązane ze specyficznymi wersjami polityk.
- Weryfikacja offline za pomocą weryfikowalnych snippetów JSONL.
Deterministyczny w skali
W czasie jednego mrugnięcia OmegaOS rozwiązuje 882 000 decyzji z pełnymi łańcuchami dowodów.
Architektura
Dwie usługi Rust. Jeden dziennik Postgres. Opcjonalny upstream PDP.
Przepływ dowodów
Żądanie trafia do bramki. Bramka zbiera dowody z Państwa PDP, ewaluuje je w rozstrzyganiu trójstanowym i zapisuje decyzję z pełnym łańcuchem dowodów do dziennika. Odpowiedź zawiera decyzję, referencje dowodów i ID wpisu w dzienniku.
Usługi runtime działają wyłącznie z uprawnieniami INSERT. Brak UPDATE. Brak DELETE. Ślad audytu jest strukturalnie niezmienny na poziomie aplikacji.
Evidence Pack
Artefakt zgodności. Eksportuj, weryfikuj offline, przedstaw dowolnemu audytorowi.
Manifest SHA-256
Eksporter oblicza SHA-256 w czasie rzeczywistym dla każdego pliku JSONL. Manifest rejestruje hashe per plik, liczbę wierszy, ID tenanta, okres i odcisk builda. Każda zmiana invaliduje hash.
Atestacja Ed25519
Gdy dostarczone są klucze podpisywania, licencje i atestacje builda są podpisywane Ed25519. Klucz publiczny jest osadzany w czasie kompilacji. Weryfikacja nie wymaga sieci, serwera licencyjnego ani usługi zewnętrznej.
Weryfikacja offline
Audytor może zweryfikować integralność pakietu dowodów bez dostępu do systemu produkcyjnego. Pakiet jest samowystarczalny: pliki danych, hashe integralności i podpisy atestacyjne.
Niezmienny dziennik
Każda decyzja, każdy dowód i każda intrekkowanie jest rejestrowane. Dziennik wyłącznie rośnie.
Append-only
Role bazy danych w runtime mają wyłącznie uprawnienia INSERT. Brak UPDATE, brak DELETE. Ślad audytu nie może być manipulowany z poziomu aplikacji.
Row-Level Security
Każdy tenant działa w ramach granicy Postgres RLS. Tenant A nie może czytać, referencjonować ani odpytywać danych tenanta B. Izolacja jest gwarantowana na poziomie bazy danych.
Łańcuch dowodów
Każda decyzja wskazuje dokładnie na dowód, który ją wygenerował. Dowód wskazuje na swoje źródła. Łańcuch jest rekonstruowalny wstecz z dowolnego punktu do oryginalnego dowodu.
Suwerenność techniczna
Kod Rust bezpieczny pamięciowo. Reprodukowalne buildy. Audytowalny kod open-core.
Wdrożenie wyłącznie on-premise. Brak SaaS. Brak telemetrii. Brak połączeń wychodzących. Licencja Ed25519 weryfikowana offline — brak serwera licencyjnego.
Dla banków prywatnych i family offices suwerenność prawna nie jest argumentem sprzedażowym. Jest wymogiem regulacyjnym.
Zastosowania
Sektory, w których decyzje autoryzacyjne wymagają dowodów, nie zaufania.
Usługi finansowe
Zatwierdzanie transakcji z pełnym śladem audytu. Sprzeczne sygnały między wykrywaniem oszustw a zgodnością są ujawniane, nie tłumione.
- Evidence packs wspierające procesy audytu SOC 2 / ISO 27001
- Łańcuch dowodów transakcji
- Wykrywanie konfliktów w sygnałach AML/KYC
Administracja i obronność
Kontrola dopuszczenia, gdzie każda decyzja dostępowa musi być rekonstruowalna. Pełna ścieżka dowodowa od żądania do wyniku jest zachowana.
- Kontrola dostępu oparta na poświadczeniach bezpieczeństwa
- Protokoły decyzyjne gotowe do audytu
- Ewaluacja dowodów z wielu źródeł
Infrastruktura krytyczna
Dostęp do technologii operacyjnej, gdzie błędna autoryzacja ma fizyczne konsekwencje. Status nieokreślony zapobiega pochopnym działaniom.
- SCADA / OT access governance
- Łańcuchy dowodów wspierające wymogi DORA / NIS2
- Weryfikacja działań operatorów
Powierzchnia API
RESTful. JSON. Specyfikacja OpenAPI 3.1.
Core API :3100
| POST | /decisions/resolve | Utwórz decyzję |
| POST | /decisions/re-resolve | Dodaj dowód, rozstrzygnij ponownie |
| GET | /decisions/{id}/why | Pełny audit-trail |
| GET | /decisions | Lista (paginowana) |
| POST | /proofs/revoke | Intrekkuj dowód |
| GET | /health | Status usługi |
Gateway :3200
| POST | /gateway/decision | Subject/akcja/zasób |
| POST | /gateway/http-check | Metoda HTTP/ścieżka |
| GET | /gateway/health | Tryb + licencja |
| GET | /gateway/metrics | Prometheus |
Zestaw narzędzi operatorskich
Sześć narzędzi CLI do operacji day-two. Zarządzanie tenantami, rotacja kluczy, eksport audytu, migracje schematu, zarządzanie partycjami, kontrole integralności po przywróceniu.
Wszystkie działają jako hovo_admin. Żadne z nich nie jest dołączone do obrazów produkcyjnych.
| Narzędzie | Cel |
|---|---|
| hovo-admin | Tenant CRUD + rotacja kluczy |
| hovo-license | Keygen, podpisywanie, weryfikacja (offline) |
| hovo-export | Eksport audytu JSONL + SHA-256 |
| hovo-migrate | Migracje schematu (idempotentne) |
| hovo-maint | Zarządzanie partycjami + retencją |
| hovo-verify | Kontrola integralności (po przywróceniu) |
Często zadawane pytania
Dlaczego trzy wartości zamiast dwóch?
Systemy binarne muszą rozstrzygać każdą niejednoznaczność jako zezwolenie lub odmowę. Gdy dowody brakują lub są sprzeczne, cicho zgadują. Logika trójwartościowa czyni tę niejednoznaczność jawną i kontrolowalną — wynik nieokreślony jest poprawnym, identyfikowalnym wynikiem.
Dlaczego Indeterminate jest statusem natywnym?
Ponieważ brak dowodów nie jest dowodem na zatwierdzenie. (I) jest normą do momentu, gdy dowód wspierający lub odrzucający osiągnie ustalony próg governance. To zapobiega pochopnym ocenom w środowiskach wysokiego ryzyka.
Czy wynik binarny może być wymuszony?
Tak. Progi governance mogą być skonfigurowane tak, aby wyniki nieokreślone były mapowane na domyślną politykę (odmowa, eskalacja lub zezwolenie z rejestracją). Ten wybór jest jawny i audytowalny — nie jest cichym domyślnym ustawieniem systemowym.
Czy to zastępuje nasz istniejący PDP?
Nie. OmegaOS™ działa jako overlay. Państwa istniejący PDP pozostaje jako źródło sygnałów lub fallback. Można stopniowo obserwować, porównywać i egzekwować — z pełnym rollbackiem na każdym etapie.
Wdróż z wspartym pilotażem
Obserwuj, porównuj, egzekwuj. Zaprojektowane dla bezprzerwowego przejścia. Pełny rollback na każdym etapie.