Введение: распространение OSINT в кибербезопасности выявило разрыв между практическими инструментами и отсутствием их теоретического осмысления. Существующие подходы не предлагают целостной модели процесса OSINT-анализа, что препятствует его формальной автоматизации, верификации и анализу угроз. Цель: разработать формальную модель OSINT-нарушителя в виде абстрактной машины, описывающей процесс разведки через графовое представление знаний, логику вывода и ресурсные ограничения. Результаты: предложена модель OSINT-нарушителя как абстрактной машины, оперирующей на итеративно расширяемом графе знаний. Задача OSINT формализована как поиск пути от публичных свойств к конфиденциальным. Сформулировано необходимое и достаточное условие раскрытия конфиденциального свойства, а понятие триангуляции определено через поиск независимых (непересекающихся) путей в графе. Анализ показал, что OSINT-атаки эксплуатируют «скрытый канал вывода», нарушая принципы классических моделей безопасности, например мандатной модели Белла — Лападулы. Введена формальная функция останова, объединяющая практические критерии завершения анализа: достижение цели, исчерпание ресурсов, убывающую отдачу и риск обнаружения. Формализовано понятие «независимые источники». Практическая значимость: теоретическая модель была транслирована в два прикладных фреймворка: в OSINT Kill Chain — пошаговую методологию для атакующих (Red Team) и в Blue Team Playbook — зеркальный фреймворк для защитников, описывающий аудит цифрового следа и минимизацию рисков. Обсуждение: в качестве направления для дальнейших исследований предложено использовать аппарат формальных грамматик для моделирования не только статических связей, но и динамических тактик, техник и процедур злоумышленника.