Перейти к основному содержанию
Если вы поставляете ИИ-агента пользователям ЕС, AI Act накладывает три обязательства на саму систему: не двигать запрещённые практики, говорить людям, что они общаются с ИИ, и вести технические записи того, что система сделала. Пакет EU AI Act сопоставляет эти обязательства реальным контролям шлюза и материализует их в guardrail, который вы можете запустить сначала в режиме наблюдения, затем вывести в live — с проверяемым аудитором отчётом в конце. Эта страница — специфичная для EU AI Act посадка поверх общего процесса комплаенса. По поводу механики, которую разделяет каждый пакет — сначала-наблюдение, шлюзование по плану, подписанный отчёт — начните с обзора комплаенса.

1. Что покрывает комплаенс eu ai act на шлюзе

Пакет eu_ai_act сопоставляет Закон ЕС об искусственном интеллекте (юрисдикция EU, действует с 2024-08-01) трём контролям content-плоскости. Каждый — реальное, редактируемое правило guardrail, а не галочка — построенное из той же библиотеки пресетов, против которой вы можете авторствовать вручную.
Блокирует попытки манипуляции и jailbreak, которые двигают запрещённое поведение. Построена из пресета Prompt-Injection Basics плюс правила regex-блокировки jailbreak, так что намерение инъекции и jailbreak ловится на запросе до того, как модель его увидит.
Применяет раскрытие, чтобы пользователи знали, что взаимодействуют с ИИ. Построена из пресета Legal Disclaimer Enforce, который флагирует вывод, дающий определённый юридический/финансовый совет, для разбора командой.
Логирует решения guardrail для технической записи. Построена из пресета Compliance Logger (observe-only) — он записывает вхождения PII и решения политики, не блокируя и не изменяя трафик.
Это обязательства, которые может нести шлюз: применение на входах и выходах, поверхность раскрытия и запись решений. Организационные обязанности, которые регламент тоже накладывает — ваша система управления рисками по Ст. 9 и меры человеческого надзора по Ст. 14 — живут в матрице контролей пакета как пункты Organizational: true, чтобы вы доказали их вне шлюза. См. разделённую ответственность.

2. Один конкретный пример: установка, наблюдение, выход в live

Работа с пакетами использует вашу консольную сессию (UserAuth) — не релейный ключ sk-orca-…. Просмотр каталога и проверка готовности бесплатны для любого Member рабочего пространства; установка — действие Admin рабочего пространства на платном плане, применяемое на стороне сервера, так что прямой API-вызов не может обойти шлюз.
1

Просмотрите и проверьте готовность (Member, бесплатно)

Откройте Compliance → Frameworks и выберите EU AI Act. Готовность показывает, как три контроля сопоставляются с вашими текущими политиками, прежде чем вы зафиксируетесь на чём-либо.
2

Установите пакет (Admin, платно)

Установка из консоли вызывает POST /api/compliance/packs/eu_ai_act/install. Один вызов материализует контроли в реальный, редактируемый guardrail, помеченный происхождением пакета — созданный в режиме наблюдения, так что он флагирует вместо блокировки, и вы собираете доказательства «would-have-blocked» на живом трафике, не влияя на него.
POST /api/compliance/packs/eu_ai_act/install
3

Наблюдайте за совпадениями

Просмотрите, что поймали бы контроли запрещённых практик и прозрачности в ленте совпадений Guardrails (GET /api/guardrail/match, Member). Настройте любое правило в консоли — это стандартный guardrail, так что каждый путь правки, версии и отката работает без изменений.
4

Выведите в live и привяжите

Переключите guardrail из режима наблюдения, когда доказательства выглядят правильно, затем привяжите его к ключам, которые используют ваши обращённые к ЕС агенты, установив guardrail_id на ключе (или сделайте его default рабочего пространства). Теперь блоки по Ст. 5 применяются на запросе до метеринга.
Результат guardrail_blocked — это HTTP 400, который не стоит квоты — блок на стадии входа ловится до метеринга, и он помечен skip-retry, так что заблокированная попытка запрещённой практики никогда не сжигает траты и не зацикливается.

3. Отправьте подписанный, проверяемый отчёт

Когда вы применяете, сгенерируйте отчёт комплаенса: подписанный Ed25519, проштампованный SHA-256 артефакт, который вы можете экспортировать как CSV, JSON или PDF и передать аудитору. Любой может проверить его без аккаунта.

Подписанный отчёт

Что содержит отчёт и как он подписан.

Проверка отчёта

Публичный verify-эндпоинт и pubkey — аудиторы подтверждают подлинность независимо.
Отчёты проштампованы и хранятся под вашим заявленным регионом резидентности данных (us / eu / uk / ap / cn / global). Для подачи по EU AI Act вы обычно установите резидентность eu; отчёт отдаётся только под совпадающим заявленным регионом, а межрегиональные чтения удерживаются.
Резидентность данных — это регион артефакта отчёта комплаенса, а не гео-привязка того, где запускается инференс. Она управляет тем, где живут ваши подписанные доказательства и кто может их прочитать, а не тем, куда маршрутизируется модельный трафик. См. резидентность данных.

4. EU AI Act рядом с остальной частью вашей программы

EU AI Act редко приходит один. Тот же процесс установки покрывает смежные фреймворки AI-управления и приватности ЕС, каждый материализует свои собственные редактируемые контроли (пакеты AI-управления только-guardrail; пакет GDPR также добавляет политику firewall для контроля трансграничной передачи):
ПакетФреймворк
iso_42001Система управления ИИ ISO/IEC 42001
nist_ai_rmfФреймворк управления рисками ИИ NIST
gdprОбщий регламент ЕС о защите данных

ISO 42001

Доказательства системы управления ИИ.

NIST AI RMF

Контроли Map / Measure / Manage.

GDPR

Обязательства ЕС по персональным данным.
Контроль запрещённых практик по Ст. 5 — это защита шлюза от тех же угроз, которые ваши политики безопасности уже отслеживают — prompt injection и jailbreaks. Если вы хотите укрепить их независимо от пакета комплаенса, справочники firewall и guardrail идут глубже.

5. Куда дальше

Установка пакета

Полная механика установки, разделяемая всеми фреймворками.

Наблюдение vs применение

Как режим наблюдения превращается в живое применение, осознанно.

Справочник Guardrails

Контроли content-плоскости, из которых построен пакет EU AI Act.

Prompt injection

Угроза, от которой защищает контроль запрещённых практик по Ст. 5.
Установите в режиме наблюдения, понаблюдайте, что поймали бы контроли запрещённых практик и прозрачности, выведите их в live на ваших обращённых к ЕС ключах, затем отправьте подписанный отчёт. Это комплаенс eu ai act как конфигурация, а не проект.