K0NSULT // ai-truth/ipIII
k0nsult.cloud / ai-truth / ipIII / orchestrator / model-risk

Model Risk Register — inwentarz modeli AI (MVP)

Jeden rejestr zamiast rozproszonych arkuszy: dla każdego modelu AI podajemy właściciela, wersję, dowód (model card), wynik ewaluacji i poziom ryzyka. Doktryna claim ≤ proof: to szkielet MVP z danymi syntetycznymiMVP, nie system decyzyjny produkcyjny. Elementy nieistniejące oznaczamy jawnie jako ROADMAP.

Po co ta strona. Kiedy organizacja używa wielu modeli AI (własnych i dostawców), audytor i regulator pytają: które modele, kto odpowiada, jaka wersja, jaki dowód, jaki wynik ewaluacji, jakie ryzyko? Model Risk Register porządkuje to jako decision support dla zespołu GRC/blue — nie jest poradą prawną ani samodzielną oceną zgodności. Tabela poniżej jest syntetyczna (przykładowa) i służy pokazaniu struktury rejestru. Status całości: MVP / szkielet.
6 modeli w inwentarzu przykładowym. Każdy z właścicielem i dowodem.

Rejestr wiąże cztery rzeczy, które zwykle żyją osobno: inwentarz (co mamy), model card (dowód i opis), owner (kto odpowiada) i eval (jak zmierzyliśmy). Poziom ryzyka wynika z kontekstu użycia i mapowania na AI Act. To MVP warstwy ewidencyjnej — inwentarz + pola + workflow przeglądu — a nie silnik automatycznej oceny.

WORKFLOW: rejestracja modelumodel cardownerevalprzegląd

Inwentarz modeli (dane syntetyczne)

Tabela przykładowa — wartości ilustracyjne, nie odzwierciedlają rzeczywistych wdrożeń. Data snapshotu: 2026-07-05. Kolumna Ryzyko: wysokie · średnie · niskie.

Model / IDWersjaOwnerModel card (dowód)EvalKontekst AI ActRyzyko
kredyt-scoring-svc
MDL-0001
v2.3.0 Zespół Ryzyka Kredytowego syntetyczny karta + dataset sheet + hash sha256:a1b2… AUC 0.81 · fairness check: przegląd Aneks III (scoring) — kontekst high-risk wysokie
hr-cv-ranker
MDL-0002
v1.1.0 Dział HR + Compliance syntetyczny karta + limity użycia precision@10 0.74 · bias audit: ROADMAP Aneks III (rekrutacja) — kontekst high-risk wysokie
chat-asystent-gpai
MDL-0003
base-2026-05 Platforma AI (integrator) syntetyczny karta dostawcy + art.50 disclosure eval dostawcy · red-team wewn.: ROADMAP Model GPAI — obowiązki transparentności (art.50/GPAI) średnie
anomalia-tx-detektor
MDL-0004
v0.9.2 Zespół AML / Fraud syntetyczny karta + opis cech recall 0.68 @ FPR 2% · walidacja: przegląd Wsparcie decyzji — poza Aneksem III (do weryfikacji) średnie
dok-klasyfikator
MDL-0005
v3.0.1 Kancelaria dokumentów syntetyczny karta + zakres klas F1 0.91 · drift monitor: ROADMAP Zastosowanie o niskim ryzyku (do potwierdzenia) niskie
embeddings-wyszukiwarka
MDL-0006
v1.4.0 Platforma Wiedzy syntetyczny karta + źródło korpusu recall@20 0.88 · eval retrieval: przegląd Zastosowanie o minimalnym ryzyku (do potwierdzenia) niskie

Legenda dowodu: syntetyczny = karta i hash przykładowe, nieprodukcyjne · ROADMAP = element zaplanowany, jeszcze nie zbudowany · „przegląd" = wpisane do kolejki przeglądu okresowego.

Anatomia wpisu — pola rejestru

Inventory

Nazwa modelu, ID (MDL-XXXX), typ (własny / dostawca / GPAI), środowisko, data rejestracji.

Model card (dowód)

Opis przeznaczenia, ograniczenia, dane treningowe (na poziomie opisu), hash artefaktu. To evidence wpisu — bez karty wpis jest niekompletny.

Owner

Nazwana osoba/zespół odpowiedzialny za model i jego przegląd. Brak ownera = wpis nie przechodzi do statusu aktywnego.

Wersja

Semantyczna wersja modelu + odniesienie do poprzedniej. Zmiana wersji uruchamia ponowny eval i przegląd.

Wynik eval

Metryki jakości (np. AUC/F1/recall) + status kontroli dodatkowych (fairness, drift, red-team). Metryki są ilustracyjne w MVP.

Poziom ryzyka

Wynik kontekstu użycia + mapowania AI Act. Wysokie/średnie/niskie — jako decision support, do potwierdzenia przez zespół zgodności.

Mapowanie na AI Act (orientacyjne)

Mapowanie jest wsparciem decyzji, nie kwalifikacją prawną. Ostateczna klasyfikacja wymaga przeglądu prawnika i uwzględnienia sektora/jurysdykcji. Terminy orientacyjne — por. odroczenie Digital Omnibus dla części high-risk.

Kategoria AI ActKiedy dotyczy (w rejestrze)Skutek dla wpisuStatus pola
Model GPAI Model ogólnego przeznaczenia (własny lub dostawcy) użyty jako komponent. Wymagana dokumentacja techniczna dostawcy + obowiązki transparentności (art.50) na styku użytkownika. MVP pole opisowe
High-risk (Aneks III) Scoring kredytowy, rekrutacja/HR, inne obszary z Aneksu III — kontekst użycia decyduje. Podniesiony poziom ryzyka; wymaga model card, eval, ownera i przeglądu okresowego przed uznaniem za aktywny. MVP flaga kontekstu
Transparentność (art.50) Interakcja z człowiekiem / treści generowane przez AI. Wpis wymaga adnotacji o ujawnieniu (disclosure) wobec użytkownika końcowego. MVP pole
Automatyczna klasyfikacja ryzyka Silnik, który sam przypisuje kategorię AI Act na podstawie metadanych. Docelowo skróciłby czas przeglądu; wymaga walidacji prawnej reguł. ROADMAP

Workflow: rejestracja → model card → owner → eval → przegląd

1. Rejestracja modelu. Nowy wpis dostaje ID MDL-XXXX, typ i środowisko. Status startowy: wersja robocza — dopóki brak dowodu i ownera, model nie jest „aktywny".
2. Model card (dowód). Dołączenie karty modelu: przeznaczenie, ograniczenia, opis danych, hash artefaktu. To evidence wpisu zgodnie z claim ≤ proof — bez karty wpis pozostaje niekompletny.
3. Owner. Przypisanie nazwanej osoby/zespołu odpowiedzialnego. Owner odpowiada za aktualność wpisu i reaguje na wynik przeglądu.
4. Eval. Wpisanie wyników ewaluacji (metryki jakości) oraz statusu kontroli dodatkowych (fairness, drift, red-team wewnętrzny). W MVP metryki są ilustracyjne; automatyczny harness eval = ROADMAP.
5. Przegląd. Okresowy przegląd (lub wyzwolony zmianą wersji / kontekstu) potwierdza poziom ryzyka i mapowanie AI Act. Wynik: utrzymanie, obniżenie/podniesienie ryzyka albo wycofanie modelu.

Skrót stanu rejestru

2
Kontekst high-risk (przykład)
scoring · rekrutacja (Aneks III)
1
Model GPAI (przykład)
obowiązki transparentności art.50
6
Wpisów w inwentarzu
wszystkie dane syntetyczne
MVP
Status warstwy
szkielet + workflow, nie silnik oceny

Zgłoszenie modelu do rejestru (formularz)

Formularz jest szkieletem ROADMAP — wysyłka trafia do wspólnego kanału zgłoszeń /zglos; automatyczne utworzenie wpisu MDL-XXXX nie jest jeszcze zbudowane.

Nazwa modelu

Wersja

Owner (zespół/osoba)

Kontekst użycia

Czego ta strona NIE oznacza

To nie jest ocena zgodności ani porada prawna. Model Risk Register to narzędzie porządkujące (decision support) dla zespołu GRC/blue. Mapowanie na AI Act jest orientacyjne i wymaga przeglądu prawnika. Dane w tabeli są syntetyczne i nie opisują rzeczywistych wdrożeń.
„100%" u nas znaczy pokrycie dowodowe, nie nieprzenikalność. Deklarujemy tyle, ile potrafimy pokazać strukturą, polem i workflow. Elementy bez działającego kodu (automatyczny eval, silnik klasyfikacji AI Act, generowanie wpisu z formularza) są jawnie oznaczone ROADMAP, nie LIVE.
Granica etyczna i prawna. ipIII jest narzędziem obrony i zgodności (GRC/blue). Wszelkie działania o charakterze testu bezpieczeństwa modeli (np. red-team) wyłącznie defensywnie, na danych syntetycznych, w granicach pisemnych Rules of Engagement. Rejestr nie zawiera payloadów ani instrukcji ataku. Mapowania obowiązków to wsparcie decyzji, nie porada prawna.

Powiązane: bezpieczeństwo agentów AI → /agent-security · mapa ryzyk AI → /ai-risk-map · uczciwy rejestr ograniczeń → /known-limitations.