1. EU AI Act 合規在閘道上涵蓋什麼
eu_ai_act 套件把歐盟人工智慧法(司法管轄區 EU、生效 2024-08-01)對應到三個內容平面控制項。每一個都是一個真實、可編輯的防護欄規則——而非勾選框——從你也能親手撰寫的同一個預設集程式庫建立。
禁止實務防護——Art. 5
禁止實務防護——Art. 5
封鎖驅動禁止行為的操弄與越獄嘗試。從 Prompt-Injection Basics 預設集外加一條越獄 regex-block 規則建立,因此注入與越獄意圖在模型看見之前就在請求上被攔截。
透明度——Art. 50
透明度——Art. 50
強制執行一項揭露,讓使用者知道他們正在與 AI 互動。從 Legal Disclaimer Enforce 預設集建立,它標記給出確定性法律/財務建議的輸出供團隊審查。
記錄保存——Art. 12
記錄保存——Art. 12
為技術記錄記錄防護欄決策。從 Compliance Logger (observe-only) 預設集建立——它記錄 PII 出現與政策決策,而不封鎖或修改流量。
這些是閘道能承擔的義務:對輸入與輸出的強制執行、一個揭露介面,以及一份決策記錄。法規也施加的組織性責任——你的 Art. 9 風險管理系統與 Art. 14 人工監督措施——存在於套件的控制矩陣中,作為
Organizational: true 項目供你在閘道之外提供證據。參見 共同責任。2. 一個具體例子:安裝、觀察、上線
套件工作使用你的主控台工作階段(UserAuth)——而非中繼sk-orca-… 金鑰。瀏覽目錄與檢查就緒度對任何工作區 Member 免費;安裝是付費方案上的工作區 Admin 動作,在伺服器端強制,因此直接 API 呼叫無法繞過門檻。
安裝套件(Admin,付費)
從主控台安裝會發出
POST /api/compliance/packs/eu_ai_act/install。一次呼叫把控制項具現化成一個真實、可編輯的防護欄(以套件的來源標記)——建立於觀察模式,因此它標記而非封鎖,而你在不影響即時流量的情況下收集「本來會封鎖」的證據。觀看匹配
在 Guardrails 匹配動態(
GET /api/guardrail/match,Member)中檢視禁止實務與透明度控制項本來會攔截什麼。在主控台調校任何規則——它是一個標準防護欄,因此每條編輯、版本與還原路徑都不變地運作。3. 交付一份簽署、可驗證的報告
當你在強制執行時,產生合規報告:一個 Ed25519 簽署、SHA-256 蓋印的產物,你可以匯出為 CSV、JSON 或 PDF 並交給稽核師。任何人都能在沒有帳號的情況下驗證它。簽署報告
報告包含什麼以及它如何被簽署。
驗證一份報告
公開的 verify 端點與 pubkey——稽核師獨立確認真實性。
us / eu / uk / ap / cn / global)。對一份 EU AI Act 申報,你通常會把駐留地設為 eu;一份報告只在相符的宣告地區下提供,而跨地區讀取會被扣留。
4. EU AI Act 與你方案的其餘部分並行
EU AI Act 很少單獨落地。同一個安裝流程涵蓋相鄰的 AI 治理與 EU 隱私框架,每一個具現化它自己的可編輯控制項(AI 治理套件是僅防護欄的;GDPR 套件還為它的跨境傳輸控制項加上一個防火牆政策):| 套件 | 框架 |
|---|---|
iso_42001 | ISO/IEC 42001 AI 管理系統 |
nist_ai_rmf | NIST AI 風險管理框架 |
gdpr | EU 一般資料保護規範 |
ISO 42001
AI 管理系統證據。
NIST AI RMF
Map / Measure / Manage 控制項。
GDPR
EU 個人資料義務。
5. 下一步去哪裡
安裝一個套件
完整的安裝機制,橫跨每個框架共享。
觀察 vs 強制執行
觀察模式如何刻意地轉成即時強制執行。
防護欄參考
EU AI Act 套件據以建立的內容平面控制項。
提示注入
Art. 5 禁止實務防護所防禦的威脅。