K0NSULT // ai-truth/ipIII
k0nsult.cloud / ai-truth / ipIII / docs

Dokumentacja — hub 5 ścieżek odbiorcy

Jeden punkt wejścia do dokumentacji Evidence & Resilience Orchestratora. Wybierz ścieżkę według roli: senior/pentester, junior, CISO/zarząd, compliance, dev. Każda karta prowadzi do istniejących stron portalu. Reguła nadrzędna: status ≤ dowód (§16). Ta strona nie zastępuje kanonu — kieruje do niego.

Ta strona jest indeksem, nie deklaracją gotowości. Statusy elementów (LIVE / DEMO / SIMULATION / ROADMAP / GAP) trzyma status-matrix — to jedyny kanon statusu. Liczby testów trzyma roadmap-dev → Evidence Matrix — nie powtarzamy ich tutaj, żeby uniknąć rozjazdu. Ścieżki nauki, walkthroughy i laby oznaczone jako ROADMAP to materiał docelowy — częściowo jeszcze niezbudowany. Granica działania: narzędzie GRC/obrony, bez nieautoryzowanych testów, exploitacji i hack-back poza pisemnymi Rules of Engagement.
5 ról. Jeden indeks. Status ≤ dowód.

Dokumentacja nie jest jedną liniową instrukcją — różne role szukają różnych rzeczy. Senior chce spróbować obejść regułę claim ≤ proof. Junior chce zrozumieć, czym różni się dowód od sygnału i luki. Zarząd chce ryzyko rezydualne i ekspozycję regulacyjną. Compliance chce mapowanie na obowiązki i zegary terminów. Dev chce API, curl i znane ograniczenia. Poniżej — pięć wejść.

ŚCIEŻKI: senior/pentesterjuniorCISO/zarządcompliancedev

Wybierz ścieżkę

1 · SENIOR / pentester adversarial

Cel: przejść pełny cykl import → evidence-package → retest → close i świadomie spróbować obejść regułę claim ≤ proof (zamknięcie incydentu bez dowodu CONFIRMED, PATCH-bypass, podmiana pakietu bez zmiany hash).

Zawiera: real parsery importu, reverse (od twierdzenia do dowodu), playbook odwrotny (obalanie finding), demo bankowe end-to-end, samodzielna weryfikacja pakietu.

Postawa: nie wierz statusowi — żądaj artefaktu. Jeśli status nie ma linku/hash/testu, zgłoś jako GAP.

2 · JUNIOR częściowo ROADMAP

Cel: guided walkthrough w wariantach 5 / 15 / 30 min — od „co widzę na dashboardzie" po „jak zapisać finding, żeby nie było overclaimu".

Nauczysz się: czym różni się DOWÓD (weryfikowalny link/hash/test) od SYGNAŁU (import = MEDIA_SIGNAL, nie dowód naprawy) i od GAP (luka bez pokrycia). Jak pisać finding bez zakazanych fraz.

Uwaga: guided labs i interaktywne ćwiczenia są ROADMAP — dziś ścieżka to lektura kierowana po istniejących stronach + anonimizacja danych do ćwiczeń.

3 · CISO / zarząd board

Cel: obraz zarządczy w kilka minut — board pack, ryzyko rezydualne, ekspozycja regulacyjna, wynik pokrycia (coverage score).

Zawiera: pakiet dla zarządu/regulatora (ryzyko rezydualne, skuteczność kontroli, trend), zegar terminów regulacyjnych, demo w kontekście instytucji finansowej.

Czytaj świadomie: „pokrycie" oznacza pokrycie dowodowe, nie nieprzenikalność. Wysoki coverage score nie jest deklaracją bezpieczeństwa — jest miarą tego, ile twierdzeń ma dowód.

4 · COMPLIANCE regulatory

Cel: mapowanie incydentu na obowiązki DORA / NIS2 / RODO / AI Act z zegarami terminów i draftem powiadomienia.

Zawiera: legal triggers (zdarzenie → obowiązek: DORA art.19 / NIS2 24h-72h / RODO art.33-34 / AI Act art.73), zegar deadline liczony od created_at, gotowe pakiety regulacyjne do organu.

Doktryna: DECISION-SUPPORT — to nie porada prawna, terminy są orientacyjne i wymagają potwierdzenia przez dział prawny.

5 · DEV API

Cel: integracja techniczna — API /api/ip3/*, przykłady curl, kontrakt endpointów, matryca statusu, znane ograniczenia.

Zawiera: dokumentacja endpointów (read demo + v1 zapis z auth/RBAC), eksplorator API do odpytania read-path, kanon statusu i jawny rejestr ograniczeń (co jeszcze nie działa).

Zacznij od: known-limitations — zanim zbudujesz integrację, przeczytaj czego dziś nie ma.

Trzy pojęcia, które musisz rozróżniać

Cała dokumentacja stoi na jednym rozróżnieniu. Zanim zaczniesz w dowolnej roli — przeczytaj tę tabelę.

PojęcieZnaczeniePrzykład w orchestratorze
DOWÓD Weryfikowalny artefakt: link, hash, test, endpoint. Uprawnia do statusu LIVE. Evidence-package z package_sha256; retest → CONFIRMED → close z inną sumą kontrolną pakietu.
SYGNAŁ Przesłanka, nie dowód. Wskazuje, ale nie potwierdza naprawy. Import findings z Burp/ZAP/Nessus = MEDIA_SIGNAL — mówi „coś znaleziono", nie „naprawiono".
GAP Luka/hipoteza bez pokrycia dowodowego. Nie wolno przedstawiać jako fakt. Twierdzenie o działaniu bez linku/testu → oznaczane GAP, nie LIVE. Zgłaszalne jako incydent.

Pełna reguła 5 statusów (LIVE / DEMO / SIMULATION / ROADMAP / GAP) i warunki nadania: status-matrix (kanon statusu) oraz roadmap-dev §16.

Jak napisać finding bez overclaimu

1 · Jeden claim = jeden dowód. Nie pisz twierdzenia, do którego nie masz linku, hasha albo testu. Jeśli nie masz — status to GAP lub ROADMAP, nie LIVE.
2 · Zakazane frazy. Nie używaj „certyfikacja", „100% bezpieczny", „nieprzenikalny", „pełna zgodność", „produkcyjny bankowy" — bez jawnego zaprzeczenia/kontekstu. To narzędzie obrony i zgodności, nie gwarancja szczelności.
3 · Rozdziel sygnał od dowodu. Import to sygnał. Dowód naprawy to retest zakończony CONFIRMED. Nie zamykaj incydentu bez dowodu — reguła close-with-evidence jest egzekwowana.
4 · Terminy = DECISION-SUPPORT. Zegary DORA/NIS2/RODO/AI Act są orientacyjne. Nie przedstawiaj ich jako porady prawnej — kieruj do działu prawnego.
5 · Weryfikuj sam. Zanim zaufasz statusowi — otwórz /verify i sprawdź artefakt. Senior: spróbuj go obalić (/playbook-reverse).
Zasada nadrzędna. Ta strona jest mapą, nie terytorium. Nie deklaruje gotowości ani liczb — kieruje do stron, które trzymają dowód: status-matrix (statusy) i roadmap-dev → Evidence Matrix (testy). Elementy nauki oznaczone ROADMAP są materiałem docelowym. Bez kodu + testu + endpointu = nie LIVE (§16).
Granica etyczna i prawna. Orchestrator jest narzędziem obrony i zgodności (GRC/blue). Nie wykonuje nieautoryzowanych skanów, exploitacji ani hack-back. Ścieżka „senior/pentester" opisuje adversarialny test własnej reguły dowodowej portalu, nie ofensywę wobec cudzej infrastruktury. Wszelkie działania o charakterze testu bezpieczeństwa wyłącznie w granicach pisemnych Rules of Engagement. Ta strona nie zawiera payloadów ani instrukcji ofensywnych.