Saltar para o conteúdo principal
Se você entrega um agente de IA a usuários da UE, o AI Act impõe três obrigações ao próprio sistema: não conduzir práticas proibidas, avisar às pessoas que elas estão falando com IA, e manter um registro técnico do que o sistema fez. O pack do EU AI Act mapeia essas obrigações para controles reais do gateway e as materializa em um guardrail que você pode rodar em observe mode primeiro, depois levar ao ar — com um relatório verificável por auditor no final. Esta página é o ponto de partida específico do EU AI Act sobre o fluxo geral de compliance. Para a mecânica que todo pack compartilha — observe-first, plan gating, o relatório assinado — comece pela visão geral de compliance.

1. O que o compliance com o eu ai act cobre no gateway

O pack eu_ai_act mapeia o EU Artificial Intelligence Act (jurisdição EU, vigência 2024-08-01) para três controles do plano de conteúdo. Cada um é uma regra de guardrail real e editável — não um checkbox — construída a partir da mesma biblioteca de presets contra a qual você pode autorar à mão.
Bloqueia tentativas de manipulação e jailbreak que conduzem comportamento proibido. Construída a partir do preset Prompt-Injection Basics mais uma regra de regex-block de jailbreak, de modo que a intenção de injeção e jailbreak é capturada na requisição antes que o modelo as veja.
Aplica uma divulgação para que os usuários saibam que estão interagindo com IA. Construída a partir do preset Legal Disclaimer Enforce, que sinaliza saída que dá aconselhamento jurídico/financeiro definitivo para revisão da equipe.
Registra decisões de guardrail para o registro técnico. Construído a partir do preset Compliance Logger (observe-only) — ele registra ocorrências de PII e decisões de política sem bloquear ou modificar o tráfego.
Estas são as obrigações que o gateway pode carregar: enforcement em inputs e outputs, uma superfície de divulgação e um registro de decisões. Os deveres organizacionais que a regulação também impõe — seu sistema de gestão de risco do Art. 9 e suas medidas de supervisão humana do Art. 14 — vivem na matriz de controles do pack como itens Organizational: true para você evidenciar fora do gateway. Veja responsabilidade compartilhada.

2. Um exemplo concreto: instalar, observar, ir ao ar

O trabalho com packs usa a sua sessão de console (UserAuth) — não uma chave de relay sk-orca-…. Navegar pelo catálogo e verificar a prontidão são gratuitos para qualquer Member do workspace; instalar é uma ação de Admin do workspace em um plano pago, aplicada no servidor para que uma chamada direta de API não possa contornar o gate.
1

Navegue e verifique a prontidão (Member, gratuito)

Abra Compliance → Frameworks e selecione EU AI Act. A prontidão mostra como os três controles mapeiam para suas políticas atuais antes de você se comprometer com qualquer coisa.
2

Instale o pack (Admin, pago)

Instalar a partir do console emite POST /api/compliance/packs/eu_ai_act/install. Uma chamada materializa os controles em um guardrail real e editável marcado com a proveniência do pack — criado em observe mode, de modo que ele sinaliza em vez de bloquear e você coleta evidência de “would-have-blocked” no tráfego ao vivo sem afetá-lo.
POST /api/compliance/packs/eu_ai_act/install
3

Observe as correspondências

Revise o que os controles de prática proibida e de transparência capturariam no feed de correspondências de Guardrails (GET /api/guardrail/match, Member). Ajuste qualquer regra no console — é um guardrail padrão, então cada caminho de edição, versão e reversão funciona sem alteração.
4

Leve ao ar e vincule

Vire o guardrail para fora do observe mode quando a evidência parecer certa, depois vincule-o às chaves que seus agentes voltados à UE usam definindo guardrail_id na chave (ou faça dele o padrão do workspace). Agora os blocks do Art. 5 aplicam na requisição antes da medição.
Um resultado guardrail_blocked é um HTTP 400 que não custa cota — um block de stage de input é capturado pré-medição, e é marcado skip-retry, de modo que uma tentativa de prática proibida bloqueada nunca queima gasto nem entra em loop.

3. Entregue um relatório assinado e verificável

Quando você está aplicando, gere o relatório de compliance: um artefato assinado com Ed25519 e carimbado com SHA-256 que você pode exportar como CSV, JSON ou PDF e entregar a um auditor. Qualquer pessoa pode verificá-lo sem uma conta.

Relatório assinado

O que o relatório contém e como ele é assinado.

Verifique um relatório

O endpoint público de verify e a pubkey — os auditores confirmam a autenticidade independentemente.
Os relatórios são carimbados e armazenados sob a sua região de residência de dados declarada (us / eu / uk / ap / cn / global). Para um arquivamento do EU AI Act você normalmente definirá a residência como eu; um relatório só é servido sob uma região declarada correspondente, e as leituras cross-region são retidas.
A residência de dados é a região do artefato de relatório de compliance, não a geo-fixação de onde a inferência roda. Ela controla onde sua evidência assinada reside e quem pode lê-la, não para onde o tráfego de modelo é roteado. Veja residência de dados.

4. O EU AI Act ao lado do resto do seu programa

O EU AI Act raramente vem sozinho. O mesmo fluxo de instalação cobre os frameworks adjacentes de governança de IA e de privacidade da UE, cada um materializando seus próprios controles editáveis (os packs de governança de IA são apenas guardrail; o pack GDPR também adiciona uma política de firewall para seu controle de transferência transfronteiriça):
PackFramework
iso_42001ISO/IEC 42001 sistema de gestão de IA
nist_ai_rmfNIST AI Risk Management Framework
gdprEU General Data Protection Regulation

ISO 42001

Evidência de sistema de gestão de IA.

NIST AI RMF

Controles Map / Measure / Manage.

GDPR

Obrigações de dados pessoais da UE.
O controle de prática proibida do Art. 5 é a defesa do gateway contra as mesmas ameaças que suas políticas de segurança já rastreiam — injeção de prompt e jailbreaks. Se você quer endurecer essas independentemente do compliance pack, as referências de firewall e guardrail vão mais fundo.

5. Para onde ir a seguir

Instale um pack

A mecânica completa de instalação, compartilhada entre todos os frameworks.

Observe vs enforce

Como o observe mode se transforma em enforcement ao vivo, deliberadamente.

Referência de Guardrails

Os controles do plano de conteúdo a partir dos quais o pack do EU AI Act é construído.

Injeção de prompt

A ameaça contra a qual a guarda de prática proibida do Art. 5 defende.
Instale em observe mode, observe o que os controles de prática proibida e de transparência capturariam, leve-os ao ar nas suas chaves voltadas à UE, depois entregue um relatório assinado. Isso é compliance com o eu ai act como uma configuração, não um projeto.