ほとんどのソフトウェア・プロジェクトは嘘をつく。悪意ではなく――構造的に。
auth.py というファイルが存在するので、認証は「完了」です。 画面にボタンが表示されるので、その機能は「出荷済み」です。 test_payments.py というテストファイルが存在するので、支払いは「テスト済み」です。 README が「Stripeと完全に統合済み」と述べているので、請求は「動作中」です。
それらは必ずしも真実ではない。ファイルの存在は機能の現実性を証明しない。UIの存在はバックエンドの実装を示さない。テスト名はカバレッジではない。ドキュメントは証拠ではない。
私は、AIアプリ、取引システム、自動化ツール、研究プラットフォームといった、私が関わったあらゆるプロジェクトでこれを繰り返し目にしてきた。楽観的な主張、配線が欠けている、セキュリティが後付け(あるいは全くない)で、AIエージェントが実際に何を許されているかを統治する仕組みがゼロ、という同じパターンがどこでも見られた。
だから、それを修正するものを作った。
問題は悪いドキュメンテーション以上に深い
本当の問題は、現代のソフトウェア・プロジェクト――特にAI搭載のもの――には運用モデルがないことです。コードがある。機能がある。README がある。しかし、以下を欠いています:
- 真実の追跡。実際に機能しているものと主張されているもの、部分的、スタブ、DEAD、MISLEADING、MISSING、NOT VERIFIED のいずれかとして追跡されます。どのプロジェクトも自分自身の状態言語を作り出すことはできません。
- 統制のガバナンス。AIエージェントは許可モデル、承認ゲート、監査証跡なしに行動します。『自律』は『統治されていない』の同義語になります。
- メモリ管理。すべてのセッションは最初からやり直します。試みられたこと、失敗、決定されたこと――すべて失われます。
- 評価の規律。構築したものが意図したものと一致するかを検証する体系的な方法はなく、主張は根拠なしに浮かんでいます。
- セキュリティ・アーキテクチャ。セキュリティは欠如しているか、文書的なおどけとして存在している――誰も読まないファイルで、何も強制されません。
これらの問題は連鎖します。自分自身について真実を語れないプロジェクトは安全にできません。安全でないプロジェクトは信頼されません。信頼されないプロジェクトは拡張できません。
私が作ったもの
Khaeldur ProjectOS は、真実、統制、記憶、評価、セキュリティ、そしてワークフロー・ガバナンスをソフトウェア・プロジェクトに追加する、単一のAIオペレーティングシステムです。
これはスキャフォールド生成器ではありません。フォルダ構造を作って離れるものではありません。プロジェクトの挙動を決定づける“生きた”運用モデルを定義します。
中核となるアイデアは、私が名付けた シンギュラリティの原理 です。すべてが1つの普遍的なモデルの下で動作します。
- 真実の語彙を統一。すべての機能は WORKING、PARTIAL、STUB、DEAD、MISLEADING、MISSING、NOT VERIFIED のいずれかとして追跡されます。どのプロジェクトも自分自身の状態言語を作り出すことはできません。
- 1つのレイヤーモデル。すべてのプロジェクトは、同じ8つのレイヤー(真実、アーキテクチャ、運用、知性、統制、ビジネス、ドキュメント、セキュリティ)を通じて検討されます。
- 1つのマニフェスト。すべてのプロジェクトは、アイデンティティ、レイヤー、ルール、統治姿勢を宣言する単一の
projectos.yaml契約に収束します。 - 1つの拡張ロジック。ドメインパックは、取引、OSINT、医療、AIアプリ、その他のドメインのためにコアを拡張できます――ただし、それをフォークすることは決してできません。
つまり、取引システムとAIチャットボット、研究プラットフォームのすべてが、同じ普遍的な運用モデルを通じて監査・比較・統治され得るのです。
現状
v0.1 公開基盤は、16,000 行超の実データを含む 89 ファイルです。プレースホルダではなく、野心的なスタブでもありません。現実的で、構造化され、実用的な資料:
47 件のガバナンス文書。アーキテクチャ、シンギュラリティの定義、機能真実マトリクス、普遍的ルール、セキュリティ・アーキテクチャ、脅威モデリング、悪用モデリング、アクセス制御、インシデント対応、ISO適合マトリクス、AIリスク登録、品質モデル、その他。
12 件の Python 監査ツール、依存関係ゼロでローカル実行――リポジトリ構造監査、スタブスキャナー、秘密情報スキャナー、シンギュラリティ整合性チェッカー、リリース準備検証、整合性チェッカー、配線監査、その他。
5 件の JSON スキーマ、マニフェスト、スキル、エージェント、ワークフロー、機能真実レコード用。
8 件のユニバーサル・プロンプトファイル、新規プロジェクトのブートストラップ、既存リポジトリの監査、シンギュラリティの強制、セキュリティ姿勢の確立。
9 件のドメインパック・スタブ、AIアプリ、取引システム、OSINT、医療/ビジョン、コンテンツ/マーケティング、自動化、ローカルアシスタント、研究、エージェント型SaaS用。
GitHub Actions CI パイプライン。各プッシュで構文チェック、リポジトリ監査、スタブスキャン、秘密情報スキャン、リリース準備を実行します。
全体のフレームワークは ISO/IEC 42001、23894、27001、25010 に対応するよう ISO 一致設計されていますが、認証を主張するものではありません。監査に適したもので、監査のためのショーではありません。
対象となる人
- 初日からガバナンスを必要とするAIアプリケーションを開発しているチーム
- エンタープライズのオーバーヘッドなしに構造化された統制を求める個人開発者
- 乱雑なリポジトリを普遍的な運用モデルへ移行させている組織
- 許可境界と安全対策を必要とする自律エージェントの構築者
- 真実・信頼・追跡性が重要なソフトウェアを出荷するすべての人
今後の展開
v0.1 の基盤は、ドキュメンテーション、ツール、スキーマです。ロードマップは具体的です:
近期 CLI ツールによるプロジェクトのブートストラップと監査。非破壊的に既存リポジトリを移行する Brownfield アダプター。拡張されたドメインパックの内容。
中期 許可の執行を備えたエージェント実行環境。承認ゲートを持つワークフローエンジン。メモリの永続化レイヤー。評価ハーネス。
長期 複数リポジトリのガバナンス。CI/CD における継続的な真実検証。ISO準拠の監査証拠生成。
リポジトリ
すべて MIT の下でオープンソースです:
https://github.com/Khaeldur/khaeldur-project-os
監査ツールを自分のプロジェクトに対して実行してください。シンギュラリティの定義を読んでください。真実マトリクスを見てください。あなたのプロジェクトが自分自身について真実を語ることができない場合、これは役に立つかもしれません。
貢献を歓迎します――特にドメインパック、ツールの改善、そしてこの痛みを経験したチームからの現実的なガバナンスのパターン。
Khaeldur ProjectOS — 一つのシステム、一つの真実、一つの方向。
