Zum Hauptinhalt springen
Wenn Sie einen KI-Agenten an EU-Nutzer ausliefern, legt der AI Act dem System selbst drei Pflichten auf: keine verbotenen Praktiken antreiben, Menschen sagen, dass sie mit KI sprechen, und ein technisches Verzeichnis dessen führen, was das System getan hat. Das EU-AI-Act-Pack mappt diese Pflichten auf echte Gateway-Kontrollen und materialisiert sie in ein Guardrail, das Sie zuerst im Observe-Mode laufen lassen, dann live nehmen können — mit einem auditor-verifizierbaren Report am Ende. Diese Seite ist die EU-AI-Act-spezifische Landung oben auf dem allgemeinen Compliance-Flow. Für die Mechanik, die jedes Pack teilt — Observe-first, Plan-Gating, der signierte Report —, beginnen Sie beim Compliance-Überblick.

1. Was EU-AI-Act-Compliance am Gateway abdeckt

Das eu_ai_act-Pack mappt den EU Artificial Intelligence Act (Jurisdiktion EU, wirksam 2024-08-01) auf drei Content-Ebenen-Kontrollen. Jede ist eine echte, editierbare Guardrail-Regel — kein Häkchen —, gebaut aus derselben Preset-Bibliothek, gegen die Sie von Hand verfassen können.
Blockiert Manipulations- und Jailbreak-Versuche, die verbotenes Verhalten antreiben. Gebaut aus dem Prompt-Injection Basics-Preset plus einer Jailbreak-Regex-Block-Regel, sodass Injection- und Jailbreak-Absicht auf dem Request abgefangen werden, bevor das Modell sie sieht.
Setzt eine Disclosure durch, sodass Nutzer wissen, dass sie mit KI interagieren. Gebaut aus dem Legal Disclaimer Enforce-Preset, das Ausgaben flaggt, die definitive rechtliche/finanzielle Beratung geben, zur Team-Überprüfung.
Loggt Guardrail-Entscheidungen für das technische Verzeichnis. Gebaut aus dem Compliance Logger (observe-only)-Preset — es zeichnet PII-Vorkommen und Policy-Entscheidungen auf, ohne Traffic zu blockieren oder zu modifizieren.
Dies sind die Pflichten, die das Gateway tragen kann: Durchsetzung auf Inputs und Outputs, eine Disclosure-Surface und ein Entscheidungs-Verzeichnis. Organisatorische Pflichten, die die Regulierung ebenfalls auferlegt — Ihr Art.-9-Risikomanagementsystem und Ihre Art.-14-Maßnahmen zur menschlichen Aufsicht — leben in der Control-Matrix des Packs als Organizational: true-Punkte, die Sie außerhalb des Gateways belegen. Siehe Geteilte Verantwortung.

2. Ein konkretes Beispiel: installieren, beobachten, live gehen

Pack-Arbeit nutzt Ihre Konsolen-Session (UserAuth) — keinen Relay-sk-orca-…-Key. Das Durchsuchen des Katalogs und das Prüfen der Readiness sind für jedes Workspace-Mitglied kostenlos; das Installieren ist eine Workspace-Admin-Aktion auf einem kostenpflichtigen Plan, serverseitig durchgesetzt, sodass ein direkter API-Call das Gate nicht umgehen kann.
1

Durchsuchen und Readiness prüfen (Member, kostenlos)

Öffnen Sie Compliance → Frameworks und wählen Sie EU AI Act. Die Readiness zeigt, wie die drei Kontrollen auf Ihre aktuellen Policies abbilden, bevor Sie sich auf irgendetwas festlegen.
2

Das Pack installieren (Admin, kostenpflichtig)

Die Installation aus der Konsole gibt POST /api/compliance/packs/eu_ai_act/install aus. Ein Call materialisiert die Kontrollen in ein echtes, editierbares Guardrail, getaggt mit der Provenienz des Packs — erstellt im Observe-Mode, sodass es flaggt statt zu blockieren und Sie „would-have-blocked”-Nachweise auf Live-Traffic sammeln, ohne ihn zu beeinflussen.
POST /api/compliance/packs/eu_ai_act/install
3

Die Matches beobachten

Prüfen Sie, was die Verbotene-Praktiken- und Transparenz-Kontrollen im Guardrails-Match-Feed abfangen würden (GET /api/guardrail/match, Member). Tunen Sie jede Regel in der Konsole — es ist ein Standard-Guardrail, sodass jeder Bearbeitungs-, Versions- und Revert-Pfad unverändert funktioniert.
4

Live nehmen und anhängen

Legen Sie das Guardrail aus dem Observe-Mode um, wenn der Nachweis stimmt, und hängen Sie es dann an die Keys, die Ihre EU-gerichteten Agenten nutzen, indem Sie guardrail_id auf dem Key setzen (oder es zum Workspace-Default machen). Jetzt setzen Art.-5-Blocks auf dem Request vor dem Metering durch.
Ein guardrail_blocked-Ergebnis ist ein HTTP 400, das kein Kontingent kostet — ein Input-Stage-Block wird vor dem Metering abgefangen und ist als skip-retry markiert, sodass ein blockierter Verbotene-Praktik-Versuch niemals Ausgaben verbrennt oder schleift.

3. Einen signierten, verifizierbaren Report ausliefern

Wenn Sie durchsetzen, erzeugen Sie den Compliance-Report: ein Ed25519-signiertes, SHA-256-gestempeltes Artefakt, das Sie als CSV, JSON oder PDF exportieren und einem Auditor übergeben können. Jeder kann ihn ohne Konto verifizieren.

Signierter Report

Was der Report enthält und wie er signiert wird.

Einen Report verifizieren

Der öffentliche Verify-Endpunkt und Pubkey — Auditoren bestätigen die Authentizität unabhängig.
Reports werden unter Ihrer deklarierten Datenresidenz-Region gestempelt und gespeichert (us / eu / uk / ap / cn / global). Für eine EU-AI-Act-Einreichung setzen Sie die Residency üblicherweise auf eu; ein Report wird nur unter einer übereinstimmenden deklarierten Region ausgeliefert, und regionsübergreifende Lesezugriffe werden zurückgehalten.
Die Datenresidenz ist die Region des Compliance-Report-Artefakts, kein Geo-Pinning dessen, wo die Inferenz läuft. Sie steuert, wo Ihr signierter Nachweis lebt und wer ihn lesen kann, nicht, wohin Modell-Traffic geroutet wird. Siehe Datenresidenz.

4. EU AI Act neben dem Rest Ihres Programms

Der EU AI Act landet selten allein. Derselbe Install-Flow deckt die benachbarten KI-Governance- und EU-Datenschutz-Frameworks ab, jedes materialisiert seine eigenen editierbaren Kontrollen (die KI-Governance-Packs sind nur Guardrail; das GDPR-Pack fügt auch eine Firewall-Policy für seine Cross-Border-Transfer-Kontrolle hinzu):
PackFramework
iso_42001ISO/IEC 42001 KI-Managementsystem
nist_ai_rmfNIST AI Risk Management Framework
gdprEU-Datenschutz-Grundverordnung

ISO 42001

KI-Managementsystem-Nachweis.

NIST AI RMF

Map / Measure / Manage-Kontrollen.

GDPR

EU-Personendaten-Pflichten.
Die Art.-5-Verbotene-Praktiken-Kontrolle ist die Verteidigung des Gateways gegen dieselben Bedrohungen, die Ihre Sicherheits-Policies bereits verfolgen — Prompt-Injection und Jailbreaks. Wenn Sie diese unabhängig vom Compliance-Pack härten wollen, gehen die Firewall- und Guardrail-Referenzen tiefer.

5. Wohin als Nächstes

Ein Pack installieren

Die vollständige Install-Mechanik, über jedes Framework hinweg geteilt.

Observe vs. Enforce

Wie der Observe-Mode bewusst zur Live-Durchsetzung wird.

Guardrails-Referenz

Die Content-Ebenen-Kontrollen, aus denen das EU-AI-Act-Pack gebaut ist.

Prompt-Injection

Die Bedrohung, gegen die der Art.-5-Verbotene-Praktiken-Guard verteidigt.
Installieren Sie im Observe-Mode, beobachten Sie, was die Verbotene-Praktiken- und Transparenz-Kontrollen abfangen würden, nehmen Sie sie auf Ihren EU-gerichteten Keys live und liefern Sie dann einen signierten Report aus. Das ist EU-AI-Act-Compliance als Konfiguration, nicht als Projekt.