Jeden rejestr do zgłaszania i domykania incydentów związanych z systemami AI/agentami: prompt injection, przejęcie agenta, zatruwanie danych, incydent outputu modelu, halucynacja, nadużycie narzędzi, nadmierna agencyjność i nieautoryzowane wywołania. Podejście wyłącznie defensywne — bez payloadów i instrukcji ataku. Doktryna claim ≤ proof: to co poniżej to szkielet MVP i ROADMAP, nie działający system produkcyjny.
Rejestr porządkuje zgłoszenia dotyczące systemów AI w spójną taksonomię i prowadzi je przez ten sam przepływ evidence-first co reszta ipIII: od zgłoszenia, przez dowody i właściciela, po sprawdzenie ewentualnego legal trigger, zatwierdzenie przez człowieka i raport. Human-in-the-loop jest wymagany — żadne domknięcie ani powiadomienie organu nie następuje automatycznie.
Kolumna Severity = orientacyjna waga wpływu (nie ocena ryzyka regulacyjnego). Kolumna Legal trigger = wsparcie decyzji (decision-support): wskazówka, czy zgłoszenie może uruchomić obowiązek raportowy — nie porada prawna i nie automatyczne powiadomienie. Opisy są defensywne, bez payloadów.
| Typ | Opis (defensywnie) | Severity | Legal trigger (decision-support) |
|---|---|---|---|
| Prompt injection | Treść z niezaufanego źródła (dokument, strona, wiadomość) próbuje nadpisać instrukcje modelu. Opis dotyczy skutku i detekcji, nie sposobu wykonania. Reakcja: playbook prompt injection. | wysoka | Możliwy trigger RODO (art. 33/34) przy wycieku danych osobowych; DORA/NIS2 przy usłudze krytycznej. Do weryfikacji prawnika. |
| Agent hijack | Przejęcie kontroli nad przepływem agenta — agent wykonuje cele inne niż zamierzone przez operatora. Rejestrujemy objawy i ślad decyzyjny. Reakcja: playbook agent hijack. | krytyczna | Prawdopodobny incydent bezpieczeństwa; możliwy obowiązek zgłoszenia DORA/NIS2 przy usłudze krytycznej. Do weryfikacji prawnika. |
| Data poisoning | Zatrucie danych treningowych/kontekstowych/RAG wpływające na zachowanie modelu. Rejestrujemy źródło i zakres, bez odtwarzania wektora. | wysoka | Możliwy wpływ na integralność systemu wysokiego ryzyka wg AI Act (weryfikacja klasyfikacji). Do potwierdzenia prawnika. |
| Model output incident | Szkodliwy, niezgodny lub ujawniający dane wynik modelu (np. wyciek danych z kontekstu w odpowiedzi). Rejestrujemy artefakt wyjściowy jako evidence. | wysoka | Możliwy trigger RODO przy ujawnieniu danych osobowych; art. 50 AI Act przy braku oznaczenia treści AI. Do weryfikacji prawnika. |
| Halucynacja | Model podaje nieprawdziwe treści jako fakt (fałszywe cytaty, wymyślone dane, nieistniejące źródła) z wpływem na decyzję. | średnia | Zależny od zastosowania; możliwy wpływ na obowiązki informacyjne/jakość usługi. Do oceny kontekstowej. |
| Tool misuse | Nadużycie udostępnionego narzędzia — użycie zgodnego technicznie wywołania w niezamierzonym, szkodliwym celu. Rejestrujemy log wywołań. | wysoka | Możliwy incydent bezpieczeństwa; DORA/NIS2 przy usłudze krytycznej. Do weryfikacji prawnika. |
| Excessive agency | Nadmierna agencyjność — agent ma szersze uprawnienia/zakres działania niż potrzeba, co zwiększa powierzchnię skutków błędu. Rejestrujemy zakres uprawnień. | wysoka | Wskazuje na brak kontroli zakresu (governance AI Act / model risk). Do przeglądu prawno-organizacyjnego. |
| Unauthorized tool call | Nieautoryzowane wywołanie narzędzia — agent uruchamia akcję poza przyznanym zakresem RBAC/ACL. Rejestrujemy odrzucone/nieuprawnione wywołanie z audit-logu. | krytyczna | Prawdopodobny incydent bezpieczeństwa; możliwy obowiązek zgłoszenia DORA/NIS2/RODO. Do weryfikacji prawnika. |
Ten sam szkielet evidence-first co reszta ipIII. Każdy krok wymaga śladu; domknięcie i powiadomienie organu wymagają jawnego zatwierdzenia przez człowieka (human-in-the-loop). Status całości: MVP.
Powiązane: reakcja na prompt injection → /playbook-prompt-injection · reakcja na przejęcie agenta → /playbook-agent-hijack · zabezpieczenia agentów → /agent-security · ryzyko modelu → /model-risk.