K0NSULT // ai-truth/ipIII
k0nsult.cloud / ai-truth / ipIII / orchestrator (spec dev-doc)

K0NSULT Evidence & Resilience Orchestrator

Warstwa dowodowa, governance, compliance i raportowania spinająca wyniki pentestów oraz incydenty w jeden, audytowalny łańcuch. To specyfikacja referencyjna architektury docelowej — manifest tego, czym system JEST i czym NIE JEST.

Specyfikacja docelowa (dev-doc). Status: ROADMAP — nie zaimplementowane produkcyjnie. Zgodnie z regułą §16: bez kodu + testu + endpointu = nie LIVE. Ta strona opisuje architekturę docelową orkiestratora — kontrakt tego, co system ma robić. Elementy, które istnieją realnie dzisiaj, są jawnie oznaczone LIVE z odnośnikiem do dowodu (read-path API, smoke test, PoC). Wszystko pozostałe jest ROADMAP — projekt, nie wdrożenie.

Granica działania. System NIE wykonuje nieautoryzowanych testów, exploitacji ani hack-back poza pisemnym Rules of Engagement (RoE). Zero payloadów, zero automatycznej ofensywy. Orkiestrator porządkuje i dowodzi wyniki działań — nie prowadzi ataku.
Claim ≤ Proof. Orkiestrator nie podnosi twierdzenia ponad jego dowód.

Evidence & Resilience Orchestrator to szyna, która przyjmuje surowe wyniki (pentest, skan, log SIEM, zgłoszenie, ustalenie red-team), normalizuje je do wspólnego modelu, waży dowodem, mapuje na obowiązki prawne, zamienia w playbook, a po naprawie żąda dowodu re-testu. Wynik: raport dla zarządu i organu, który da się obronić w audycie.

ORKIESTRACJA: WYNIKNORMALIZEDOWÓDKLASYFIKACJAPRAWOPLAYBOOKRE-TESTRAPORTODPORNOŚĆ

Czym JEST — warstwa, nie broń spec §1

Orkiestrator to warstwa dowodowa i governance nad istniejącymi narzędziami bezpieczeństwa. Spina rozproszone wyniki w jeden łańcuch odpowiedzialności.

Warstwa dowodowa

Każdy wynik nosi dowód: hash, log, URL, screenshot, chain of custody, poziom pewności 0–100. Bez dowodu ustalenie = hipoteza (GAP).

Warstwa governance

Właściciel ryzyka, akceptacja, human-in-the-loop dla P0/P1, ścieżka eskalacji. Kto zdecydował, kiedy i na jakiej podstawie.

Warstwa compliance

Mapowanie wyników na AI Act, NIS2, KSC, RODO, DORA-adjacent. Zegary raportowe, flagi obowiązku zgłoszenia.

Warstwa raportowania / CSoT

Common Source of Truth — jeden stan prawdy dla zarządu, SOC, audytu i organu. Raport eksportowalny, wersjonowany, podpisywalny.

Orkiestrator wyników pentestów

Ustalenia z pentestów (torA/torB w RoE) trafiają do wspólnego rejestru: severity, dowód, status naprawy, dowód re-testu.

Orkiestrator incydentów

Incydent cyber i incydent AI jako równoprawne klasy. Jeden łańcuch od intake do zamkniętej pętli odporności.

Czym NIE JEST — granice ostre spec §2

NIE jestDlaczego to ważne
Nie skaner / nie narzędzie atakuNie uruchamia skanów ani exploitów. Przyjmuje wyniki cudzych narzędzi. Zero payloadów.
Nie C2 (command & control)Nie steruje implantami ani sesjami. Nie ma kanału sterowania celem.
Nie exploiter / nie hack-backŻadnego działania ofensywnego poza pisemnym RoE. Brak automatycznej odpowiedzi na cel.
Nie certyfikatorNie wydaje certyfikatów zgodności. Dostarcza dowód i mapowanie — decyzję podejmuje uprawniony organ / audytor.
Nie opinia prawnaMapuje na treść przepisów (norma/ramka). Nie zastępuje kancelarii ani stanowiska regulatora.
Nie przypisuje winy bez dowoduAtrybucja tylko przy statusie CONFIRMED z dowodem. Domysł to GAP, nie oskarżenie.

Obietnica produktu — 10 punktów spec §18

  1. Każde twierdzenie nosi dowód — claim ≤ proof, poziom pewności jawny.
  2. Jeden łańcuch — od surowego wyniku do zamkniętej pętli odporności, bez rozjazdu narzędzi.
  3. Incydent AI = klasa pierwszej kategorii — nie dopisek, lecz pełne mapowanie i playbook.
  4. Mapowanie prawne deterministyczne — AI Act / NIS2 / KSC / RODO / DORA-adjacent z zegarami.
  5. Zamknięcie wymaga dowodu naprawy — re-test obowiązkowy, brak dowodu = incydent otwarty.
  6. Ślad audytowy weryfikowalny — kto, kiedy, na jakiej podstawie; wersjonowanie i podpis.
  7. Granica ofensywy pisemna — działania testowe tylko w zatwierdzonym RoE, zero hack-back.
  8. Common Source of Truth — jeden stan prawdy dla zarządu, SOC, compliance i organu.
  9. Eksport dla organu — raport gotowy do KNF / CSIRT / organu nadzorczego, obronny w audycie.
  10. Uczciwość statusu — LIVE tylko z kodem+testem+endpointem; reszta jawnie ROADMAP (§16).

Architektura — łańcuch orkiestracji spec §3

Osiem warstw, jeden przepływ. Każda warstwa ma własną stronę-spec (odnośniki w subnav i mapie modułów poniżej).

   ŹRÓDŁA                     ORKIESTRATOR (evidence + governance)                      ODBIORCY
 ┌──────────┐
 │ pentest  │──┐
 │ skan/CVE │  │   ┌───────────────┐   ┌──────────────┐   ┌──────────────┐
 │ SIEM/log │  ├──▶│ K0-CONNECTORS │──▶│ K0-NORMALIZE │──▶│  K0-TRUTH    │──┐
 │ CERT/OSINT│ │   │ adaptery we/  │   │ wspólny model│   │ dowód, status│  │
 │ AI red-tm│──┘   │ wy, RoE-gate  │   │ dedup, mapa  │   │ pewność 0-100│  │
 │ zgłoszenie│     └───────────────┘   └──────────────┘   └──────┬───────┘  │
 └──────────┘                                                     │          │
                                                                  ▼          │
                              ┌──────────────┐   ┌──────────────┐            │
                              │  K0-LEGAL    │◀──│  (routing)   │◀───────────┘
                              │ AI Act/NIS2/ │   └──────┬───────┘
                              │ KSC/RODO/DORA│          │
                              └──────┬───────┘          ▼
                                     │          ┌──────────────┐   ┌──────────────┐
                                     └─────────▶│ K0-RESPONSE  │──▶│ K0-EVIDENCE  │
                                                │ playbook +   │   │ rejestr,     │
                                                │ re-test dowód│   │ chain-of-cust│
                                                └──────────────┘   └──────┬───────┘
                                                                          ▼
                                                                  ┌──────────────┐
                                                                  │  K0-BOARD    │──▶ zarząd
                                                                  │ CSoT, raport │──▶ SOC
                                                                  │ eksport organ│──▶ KNF/CSIRT
                                                                  └──────────────┘
  

Diagram poglądowy architektury docelowej (dev-doc §3). Strzałki = przepływ dowodu, nie ruch sieciowy do celu. RoE-gate w K0-CONNECTORS blokuje wszystko poza pisemnym zakresem.

Mapa modułów — 9 stron-spec

K0-CONNECTORS spec

Adaptery wejścia/wyjścia dla pentestów, skanów, SIEM, CERT, AI red-team. Bramka RoE — nic poza pisemnym zakresem.

→ Connectors

K0-NORMALIZE spec

Sprowadzenie surowych wyników do wspólnego modelu: dedup, taksonomia, mapowanie pól, korelacja.

→ Normalize

K0-TRUTH spec

Silnik prawdy: status dowodowy, poziom pewności 0–100, reguła claim ≤ proof, wykrywanie GAP.

→ Truth Engine

K0-EVIDENCE spec

Warstwa dowodów: hash SHA-256, log, IoC, chain of custody, wersjonowanie, podpis. Rejestr weryfikowalny.

→ Evidence Layer

K0-LEGAL spec

Silnik prawny: mapowanie na AI Act art.73, NIS2 24h/72h, KSC, RODO art.33/34. Zegary i flagi obowiązku.

→ Legal Engine

DORA / TIBER spec

Mapowanie na ramy DORA-adjacent i testy TIBER-EU. Ślad dla sektora finansowego i regulatora.

→ DORA / TIBER

K0-RESPONSE & Re-test spec

Dobór playbooka, kroki reakcji, human-in-the-loop dla P0/P1, obowiązkowy dowód re-testu przy zamknięciu.

→ Response & Retest

AI Red-Team spec

Ustalenia z red-team AI/agentowego: prompt injection, agent hijack, ekstrakcja modelu — tylko w RoE.

→ AI Red-Team

Roadmap dev spec

Kolejność wdrożenia warstw, kamienie milowe, kryteria „LIVE" wg §16 (kod+test+endpoint).

→ Roadmap dev

Co JUŻ istnieje realnie LIVE

Poniższe elementy mają pokrycie w kodzie i są weryfikowalne dzisiaj. Reszta orkiestratora pozostaje ROADMAP.

Read-path API LIVE
Endpointy odczytu /api/ip3/* serwują dane portalu ipIII (tylko odczyt, bez mutacji celu). Fundament pod K0-BOARD / CSoT.
Smoke test LIVE
Zestaw smoke sprawdzający dostępność stron i endpointów read-path (snapshot wdrożeniowy). Kanon testów: Evidence Matrix. Dowód działania, nie deklaracja.
PoC skeleton (auth) LIVE
Szkielet autoryzacji (auth-skeleton) jako PoC pod bramkę dostępu do write-path. Minimalny, testowalny, bez logiki produkcyjnej.
ElementStatusDowód / uwaga
Read-path API /api/ip3/*LIVEOdczyt danych portalu; brak operacji na celu
Smoke test prod (wdrożeniowy)LIVEsnapshot dostępności stron; kanon testów: Evidence Matrix
PoC auth-skeletonLIVESzkielet, nie system produkcyjny
K0-CONNECTORS / write-pathROADMAPProjekt; brak kodu+testu+endpointu
K0-NORMALIZE / K0-TRUTHROADMAPSpecyfikacja modelu, nie implementacja
K0-LEGAL zegary raportoweROADMAPMapowanie na treść przepisów jako ramka
K0-RESPONSE re-test loopROADMAPKontrakt zamknięcia pętli, nie wdrożenie
/api/incidents wiringGAPOtwarte; wymaga podłączenia write-path

Priorytety wdrożenia ROADMAP

P0
Read-path + smoke
LIVE — fundament CSoT
P1
Connectors + Evidence
RoE-gate, chain of custody
P2
Truth + Legal + Response
klasyfikacja, zegary, re-test
P3
DORA/TIBER + AI red-team
rozszerzenia sektorowe
Obietnica końcowa (§18). Orkiestrator ma jedną walutę: dowód. Nie sprzedaje pewności, której nie ma — sprzedaje uporządkowany, audytowalny łańcuch od wyniku do odporności, w którym każde twierdzenie da się cofnąć do dowodu, a każde zamknięcie do dowodu naprawy. Dopóki warstwa nie ma kodu, testu i endpointu, nosi status ROADMAP — i mówi o tym wprost. To jest różnica między specyfikacją, która szanuje czytelnika, a slajdem, który go nabiera.
Powtórzenie granicy (RoE). Ten dokument opisuje warstwę porządkującą wyniki. System nie prowadzi testów, exploitacji ani hack-back samodzielnie. Wszelkie działania testowe pochodzą z zewnątrz i wchodzą przez bramkę K0-CONNECTORS wyłącznie w granicach pisemnego Rules of Engagement. Zero payloadów w tym portalu.