1. EU AI Act 合规在网关上覆盖什么
eu_ai_act 包把欧盟人工智能法案(司法辖区 EU,生效
2024-08-01)映射到三个内容平面控制。每一个都是一条真实、可
编辑的防护栏规则——不是一个勾选框——从你可以手动编写所针对的
同一个预设库构建。
禁止性做法守卫——第 5 条
禁止性做法守卫——第 5 条
拦截驱动禁止性行为的操纵和越狱尝试。从 Prompt-Injection
Basics 预设外加一条越狱 regex-block 规则构建,于是注入和越狱
意图在模型看到它们之前就在请求上被捕获。
透明度——第 50 条
透明度——第 50 条
执行一个披露,让用户知道他们在与 AI 交互。从 Legal Disclaimer
Enforce 预设构建,它标记给出确定性法律/财务建议的输出供
团队审查。
记录保存——第 12 条
记录保存——第 12 条
为技术记录而记录防护栏决策。从 Compliance Logger
(observe-only) 预设构建——它记录 PII 出现和策略决策,而不
拦截或修改流量。
这些是网关能够承担的义务:对输入和输出的执行、一个披露
执行面,以及一条决策记录。该法规还施加的组织性职责——你的第 9
条风险管理系统和第 14 条人工监督措施——作为
Organizational: true
项目存在于包的控制矩阵中,由你在网关之外提供证据。参见
责任共担。2. 一个具体例子:安装、观察、上线
包工作使用你的控制台会话(UserAuth)——而非中继sk-orca-…
密钥。浏览目录和检查就绪度对任何工作区 Member 免费;
安装是付费套餐上一个工作区 Admin 动作,在服务端执行,
所以直接的 API 调用无法绕过该门。
安装包(Admin,付费)
从控制台安装会发出
POST /api/compliance/packs/eu_ai_act/install。一次调用就把
控制实体化为一个带包溯源标签的真实、可编辑防护栏——以观察
模式创建,于是它标记而非拦截,且你在实时流量上收集”本会
拦截”的证据而不影响它。观察匹配
在 Guardrails 匹配信息流(
GET /api/guardrail/match,
Member)中审视禁止性做法和透明度控制会捕获什么。在控制台中
调优任何规则——它是一个标准防护栏,所以每一条编辑、版本和
回退路径都保持原样工作。3. 交付一份签名、可验证的报告
当你在执行时,生成合规报告:一个 Ed25519 签名、SHA-256 戳记的 制品,你可以导出为 CSV、JSON 或 PDF 并交给审计员。任何人都能 在无账户的情况下验证它。签名报告
报告包含什么以及它如何被签名。
验证一份报告
公共验证端点和公钥——审计员独立确认真实性。
us / eu / uk / ap / cn /
global)下被戳记和存储。对于一次 EU AI Act 申报,你通常会把
驻留地设为 eu;报告只在匹配的声明区域下提供服务,且跨区域
读取被扣留。
4. EU AI Act 与你项目的其余部分并行
EU AI Act 很少单独出现。同样的安装流程涵盖相邻的 AI 治理和 欧盟隐私框架,每一个都实体化它自己的可编辑控制(AI 治理包是 仅防护栏的;GDPR 包还为其跨境传输控制添加一条防火墙策略):| 包 | 框架 |
|---|---|
iso_42001 | ISO/IEC 42001 AI 管理系统 |
nist_ai_rmf | NIST AI 风险管理框架 |
gdpr | 欧盟通用数据保护条例 |
ISO 42001
AI 管理系统证据。
NIST AI RMF
Map / Measure / Manage 控制。
GDPR
欧盟个人数据义务。
5. 接下来去哪里
安装一个包
完整的安装机制,跨每个框架共享。
观察 vs 执行
观察模式如何有意地变成实时执行。
防护栏参考
EU AI Act 包所构建自的内容平面控制。
提示注入
第 5 条禁止性做法守卫所防御的威胁。