K0NSULT // ai-truth/ipIII
k0nsult.cloud / ai-truth / ipIII / evidence-academy

Evidence-first Academy & Community

Jedna strona-pillar, która spina wszystkie ścieżki nauki i społeczności wokół warstwy evidence ipIII: od pierwszego zgłoszenia (Junior Academy) przez recenzję cudzych deklaracji (Senior Arena, program reviewerów) po wspólne ćwiczenia (hackaton, comiesięczny benchmark) i porządkujące odznaki K0NSULT. Wszystko na danych syntetycznych, po Rules of Engagement, w doktrynie claim ≤ proof: nie uczymy technik ataku, nie sprzedajemy certyfikatów branżowych — uczymy, jak zbudować i zweryfikować dowód.

Po co ta strona. Ośrodek szkoleń i społeczności ipIII rozrósł się do ośmiu podstron — ta strona jest mapą całości, żeby nikt nie musiał zgadywać, gdzie zacząć ani co jest już gotowe. Zgodnie z doktryną claim ≤ proof: to, co działa, oznaczamy LIVE; to, co dopiero projektujemy, oznaczamy ROADMAP. Osoby uczestniczące w programach (reviewerzy, mentorzy, uczestnicy hackatonu) działają prywatnie, a każda współpraca jest jawnie ujawniona (disclosure) — to nie jest ukryte zatrudnienie ani rekrutacja pod przykrywką szkolenia.
Osiem ścieżek. Jedna doktryna: dowód, nie deklaracja.

Evidence-first Academy & Community to nie kurs certyfikacyjny i nie poligon ofensywny. To zestaw ćwiczeń i ról, które uczą tego samego co cały ipIII: jak z surowej obserwacji (finding, log, zrzut) zrobić weryfikowalny, znormalizowany, obronny dowód — oraz jak sprawdzić, czy cudza deklaracja ma pokrycie w kodzie, teście i endpoincie. Poniżej mapa wszystkich ośmiu elementów wraz ze statusem LIVE/ROADMAP.

ŚCIEŻKA UCZESTNIKA: Szkolenia (wprowadzenie)Junior AcademyHackaton (praktyka)Senior ArenaReviewer ProgramCommunity / odznaki

Dlaczego evidence-first, a nie „szkolenie z hackingu"

Rynek szkoleń bezpieczeństwa jest zdominowany przez dwa bieguny: certyfikaty egzaminacyjne (OSCP, CISSP, CEH i podobne — cenne, ale zewnętrzne wobec ipIII i przez nas niewydawane) oraz poligony ofensywne, gdzie uczestnik ćwiczy techniki ataku na symulowanym celu. Evidence-first Academy & Community zajmuje trzecią pozycję: uczy warstwy dowodowej — tego, co dzieje się po znalezieniu podatności, zanim trafi ona do raportu, evidence-package'u czy zgłoszenia do organu. To praca z normalizacją, metadanymi, hashami integralności, chain-of-custody i językiem decision-support, nie z payloadami ataku.

Dlatego żadna z ośmiu podstron pillar nie publikuje instrukcji ataku ani gotowych exploitów. Ćwiczenia (hackaton, monthly benchmark, Senior Arena) korzystają wyłącznie z danych syntetycznych i działają w granicach pisemnych Rules of Engagement (RoE). Dowodem sukcesu ćwiczenia nie jest „zdobyty dostęp", tylko poprawnie znormalizowany, zweryfikowalny artefakt evidence — finding z metadanymi CVSS/EPSS, evidence-package z sumą kontrolną, albo trafna recenzja cudzej deklaracji.

Mapa ośmiu ścieżek

Szkolenia ROADMAP/częściowo LIVE

Punkt wejścia: przegląd programu, materiały wprowadzające do warstwy evidence ipIII (import → incydent → evidence-package → retest → close), zanim uczestnik przejdzie do ścieżki junior lub senior.

→ /szkolenia

Junior Academy ROADMAP

Ścieżka dla osób zaczynających: jak zrobić dobre zgłoszenie evidence-first zamiast efektownego. Trzy filary: jakość dowodu, normalizacja findingów, świadomość prawna — wyłącznie na danych syntetycznych.

→ /junior-academy

Senior Arena ROADMAP

Poziom zaawansowany: recenzja cudzych deklaracji (LIVE vs ROADMAP), analiza pokrycia dowodowego, case studies z realnych (zanonimizowanych) i syntetycznych sytuacji z warstwy evidence.

→ /senior-arena

Hackaton ROADMAP

Wspólne ćwiczenie defensywne na danych syntetycznych, po RoE: zespoły budują evidence-package z importu findingów do zamknięcia z dowodem. Kryterium wygranej: kompletność łańcucha dowodowego, nie liczba „zdobytych" elementów.

→ /hackaton

Reviewer Program ROADMAP

Program dla osób, które chcą recenzować deklaracje ipIII z zewnątrz — sprawdzać, czy „LIVE" ma pokrycie kodem/testem/endpointem. Udział prywatny, jawnie ujawniony (disclosure); credits jako uznanie, nie instrument finansowy ani token inwestycyjny.

→ /reviewer-program

Community ROADMAP

Founding Reviewer Circle i Evidence Challenge: miejsce, gdzie każdy może zakwestionować deklarację ipIII i zgłosić lukę między claim a proof. Zasady naboru i mechanika opisane przed uruchomieniem.

→ /community

Monthly Benchmark ROADMAP

Comiesięczne ćwiczenie porównawcze na syntetycznym zestawie danych: mierzy jakość normalizacji findingów i kompletność evidence-package między uczestnikami, bez rankingu ofensywnego.

→ /monthly-benchmark

Odznaki (Badges) ROADMAP

Wewnętrzne credentials K0NSULT — narzędzie szkoleniowe i porządkujące, nie certyfikat prawny ani formalne poświadczenie kwalifikacji (nie zastępuje OSCP/CISSP/CEH). Kryteria i progi są dziś projektem.

→ /badges

Dlaczego to nie jest certyfikacja branżowa — różnice

WymiarCertyfikacja branżowa, nie wydawana przez K0NSULT (OSCP/CISSP/CEH)Evidence-first Academy K0NSULT
Kto wydaje Niezależna organizacja egzaminacyjna, uznana w branży. K0NSULT — wewnętrzne odznaki, jawnie oznaczone jako credentials firmowe, nie zewnętrzna certyfikacja.
Co testuje Umiejętności ofensywne/defensywne na poligonie egzaminacyjnym. Jakość dowodu: normalizacja findingu, kompletność evidence-package, trafność recenzji cudzej deklaracji.
Dane Środowiska egzaminacyjne dostawcy. Wyłącznie dane syntetyczne, po pisemnych RoE.
Wartość formalna Uznawana przez pracodawców jako kwalifikacja zawodowa. nie zastępuje certyfikacji branżowej; to poglądowe uznanie wewnętrzne.
Relacja uczestnika Kandydat płaci za egzamin, zdaje niezależnie. Osoby prywatne, współpraca jawnie ujawniona (disclosure); credits ≠ token inwestycyjny ani wynagrodzenie.

Zasady wspólne dla wszystkich ośmiu ścieżek

1. Dane syntetyczne, zawsze. Żadne ćwiczenie w ramach Academy nie operuje na realnych, produkcyjnych danych klienta bez odrębnej, pisemnej zgody i RoE. Domyślny tryb to dane syntetyczne lub zanonimizowane case studies.
2. Decision-support, nie porada prawna. Elementy dotyczące klasyfikacji podatności, priorytetyzacji czy mapowania na obowiązki regulacyjne (DORA/NIS2/RODO/AI Act) mają charakter wsparcia decyzji. Ostateczna kwalifikacja prawna wymaga przeglądu przez radcę/kancelarię — Academy tego nie zastępuje.
3. Prywatność uczestników i disclosure współpracy. Osoby biorące udział w reviewer programie, hackatonie czy jako mentorzy działają jako osoby prywatne. Każda forma współpracy z K0NSULT (płatna, wolontariacka, credits) jest jawnie ujawniana — nie ma ukrytych relacji zatrudnienia pod pozorem szkolenia.
4. Credits to uznanie, nie inwestycja. Tam, gdzie program przyznaje „credits" za wkład (recenzję, znalezioną lukę w deklaracji, ukończony moduł), są to punkty uznania/reputacji w wewnętrznym rejestrze — nie token kryptograficzny, nie instrument inwestycyjny, nie obietnica zwrotu finansowego.
5. LIVE vs ROADMAP zawsze jawne. Jeśli dany element (quiz, panel, automatyczne przyznawanie odznaki) nie ma dziś dowodu w postaci działającego kodu/testu/endpointu, jest oznaczony ROADMAP, nie LIVE — niezależnie od tego, jak dojrzale wygląda opis.

Jak zacząć — trzy typowe ścieżki wejścia

Jestem nowa/nowy w warstwie evidence. Zacznij od szkoleń (przegląd programu), potem Junior Academy — nauka normalizacji zgłoszeń na danych syntetycznych.
Mam już doświadczenie i chcę sprawdzać cudze deklaracje. Wejdź bezpośrednio do Senior Arena lub zgłoś się do programu reviewerów — recenzujesz, czy „LIVE" ma pokrycie dowodem.
Chcę wspólnego ćwiczenia z innymi. Sprawdź terminarz hackatonu i cykliczny monthly benchmark — oba na danych syntetycznych, po RoE.

Kto dziś prowadzi te ścieżki

Academy jest dziś w fazie budowy programu (większość elementów oznaczona ROADMAP) — mechanika naboru, kryteria odznak i harmonogram hackatonu są projektowane, zanim zostaną otwarte publicznie, żeby nikt nie dołączał na podstawie niejasnych warunków. Osoby zainteresowane wczesnym udziałem (reviewer, mentor, uczestnik pilotażu) mogą śledzić poszczególne podstrony — każda zawiera aktualny status i, gdy dostępny, sposób zgłoszenia. Materiał odsyła też do istniejących elementów warstwy evidence ipIII, które są już LIVE: import parserów skanerów, evidence-package z sumą kontrolną, Legal Trigger Engine (decision-support) — opisanych szerzej na roadmapie dev i w macierzy statusów.

Granica etyczna i prawna. Evidence-first Academy & Community jest programem defensywnym i edukacyjnym. Nie publikuje instrukcji ataku, nie prowadzi działań przeciwko realnym systemom bez pisemnych RoE i zgody właściciela środowiska. Odznaki i credits nie są certyfikatem branżowym ani instrumentem finansowym. Elementy dotyczące obowiązków regulacyjnych to wsparcie decyzji (decision-support), nie porada prawna — ostateczną kwalifikację wykonuje radca/kancelaria.

Następny krok

Zaczynasz naukę

Wejdź do Junior Academy — trzy filary: jakość dowodu, normalizacja findingów, świadomość prawna, na danych syntetycznych.

Masz doświadczenie

Sprawdź Senior Arena — recenzja deklaracji LIVE/ROADMAP, analiza pokrycia dowodowego, case studies.

Chcesz recenzować z zewnątrz

Dołącz jako reviewer — udział prywatny, jawnie ujawniony, credits jako uznanie, nie instrument finansowy.

Powiązane: pełna roadmapa 7 sprintów z dowodami → /roadmap-dev · macierz statusów wszystkich elementów → /status-matrix · znane ograniczenia → /known-limitations.