Как Quint страхует код от ошибок ИИ: опыт с Fast Tendermint за одну неделю

Что появилось / что изменилось

Informal Systems показала, как использовать язык спецификаций Quint как «страховку» для работы с LLM при изменении сложных систем. Кейc — реальный: они доработали ядро консенсус-движка Malachite, который реализует протокол Tendermint и используется Circle для блокчейна Arc.

Ключевые изменения:

• Переход с классического Tendermint на Fast Tendermint — вариант протокола, который:
  • требует 5F + 1 узлов для терпимости к F византийским узлам (вместо 3F + 1);
  • убирает один шаг коммуникации и потенциально ускоряет консенсус.
• Вместо привычной оценки «пара месяцев разработки» команда сделала изменение за неделю, опираясь на связку Quint + LLM.
• Quint использовали как промежуточный уровень между английским описанием протокола и кодом Malachite:
  • существующая спецификация Tendermint в Quint;
  • английское описание Fast Tendermint;
  • LLM, которая по описанию меняет спецификацию Quint;
  • инструменты Quint (парсер, типизатор, симулятор, модель‑чекер) для проверки корректности.
• Подход рассчитан не на игрушечные примеры: Malachite — промышленный BFT‑движок с четырьмя компонентами только в консенсусном ядре и дополнительными оптимизациями поверх Tendermint.

Как это работает

Базовая проблема LLM в разработке — валидация. Модели уверенно генерируют код и патчи, но человеку сложно понять, действительно ли всё работает правильно. Текст «выглядит правдоподобно», а баги остаются.

Quint вставляет ещё один слой между английским описанием и реализацией:

• Абстрактнее кода. Спецификация описывает состояние системы и переходы, а не детали реализации. В таком виде проще рассуждать о корректности.
• Исполняемость. В отличие от документации на английском, спецификацию можно запускать:
  • симулятор Quint прогоняет сценарии и позволяет «поиграть» с протоколом;
  • модель‑чекер проверяет свойства: инварианты, безопасность, живучесть;
  • REPL даёт быстрый интерактивный эксперимент.

Дальше включается модель‑ориентированное тестирование:

1. Вы описываете протокол в Quint.
2. Генерируете или руками задаёте сценарии работы.
3. Прогоняете эти же сценарии и на спецификации, и на реальном коде Malachite.
4. Сравниваете поведение: если совпадает — доверие к протоколу переносится на код.

Роль LLM в этой схеме — переводчик, а не дизайнер протокола:

• протокол Fast Tendermint спроектировал человек (исследование, английское описание, наброски доказательств);
• LLM по этому тексту правит существующую спецификацию Tendermint в Quint;
• после каждого изменения запускаются quint parse и quint typecheck, чтобы сразу ловить синтаксические и типовые ошибки;
• поведение и свойства спецификации проверяют уже люди и инструменты Quint.

Что это значит для вас

Если вы пишете сложные распределённые системы, криптопротоколы или критичный бэкенд, Quint можно рассматривать как «слой доверия» поверх кода, который генерирует LLM.

Где это особенно полезно:

• Изменения в протоколах и ядре систем. Новый алгоритм консенсуса, переразметка ролей узлов, нетривиальные оптимизации.
• Долгоживущие проекты. Один раз описали протокол в Quint — дальше каждая доработка (как с Fast Tendermint) опирается на существующую спецификацию.
• Команды, которые уже активно пользуются LLM. Модель пишет код и правит спецификацию, а Quint и тесты по модели не дают этим правкам незаметно поломать протокол.

Где подход вряд ли окупится:

• маленькие сервисы без сложной логики;
• короткоживущие MVP, где дешевле переписать, чем формализовать поведение;
• команды, которые не готовы инвестировать несколько дней в первоначальную спецификацию даже для сложного протокола.

Важно понимать: Quint не «починит» плохой дизайн. Протокол всё равно придумывает человек. LLM не стоит доверять архитектуру, только трансформацию уже продуманной логики. Реалистичный сценарий: архитектор пишет английское описание, инженер описывает протокол в Quint, а LLM помогает в рутинных правках и синхронизации спецификации с кодом.

Место на рынке

Quint занимает нишу между естественным языком и реализацией, рядом с формальными методами вроде TLA+ или PlusCal, но с акцентом на связку с LLM и модель‑ориентированное тестирование.

Ключевые отличия подхода Quint:

• упор на исполняемость спецификации и прямое сравнение поведения спецификации и кода на одних и тех же сценариях;
• уже проверенный кейс с промышленным BFT‑движком Malachite и переходом на Fast Tendermint за неделю вместо привычной оценки «пара месяцев»;
• чёткое разграничение ролей: люди проектируют протокол, LLM помогает переписать и поддерживать спецификацию, Quint проверяет свойства и согласованность с кодом.

Прямых численных сравнений с другими языками спецификаций или инструментами формальной верификации авторы не приводят. Но сам факт успешного изменения сложного консенсусного ядра с помощью Quint и LLM показывает: для тяжёлых систем, где ошибка дорого стоит, такой слой поверх LLM уже работает как практический инструмент, а не академический эксперимент.

---

Читайте также

• «Алиса» на «Станциях» получила ту же продвинутую ИИ-версию, что раньше была только по подписке
• Skillware: «apt-get» для ИИ‑агентов с готовыми навыками на Python
• Профессиональный видеомонтаж прямо в браузере: WebGPU‑редактор Tooscut без установки