K0NSULT // ai-truth/ipIII
k0nsult.cloud / ai-truth / ipIII / roadmap

Plan rozwoju (ROADMAP) — agregator

Funkcje w budowie, NIE produkcyjne. Produkt eksponuje na froncie tylko funkcje LIVE / MVP. Ta strona zbiera w jednym miejscu wszystko, co ma dziś status ROADMAP — żeby żaden plan nie był przedstawiany jako gotowa funkcja. Doktryna claim ≤ proof: skoro nie mamy dowodu (kod + test + endpoint na żywej bazie), mówimy „plan", nie „produkt".

Po co ten agregator. Ponad 40 funkcji i podstron ma dziś jawny status ROADMAP — zaprojektowane (spec, opis, czasem szkielet UI), ale nie wdrożone jako działająca funkcja produkcyjna. Rozproszenie tych statusów po pojedynczych stronach utrudniało odróżnienie „co da się dziś sprawdzić" od „co jest planem". Ten dokument to jedno miejsce zbiorcze: każdy element ma nazwę, jedno zdanie kontekstu, link do specyfikacji (jeśli istnieje) i tag ROADMAP. Elementy realnie działające (LIVE/MVP) NIE są tu wymieniane — ich miejsce jest na macierzy statusów i w hubie.
44 elementy ze statusem ROADMAP, w 7 grupach.

Część elementów ma cząstkowy dowód już dziś — np. parsery importu (Burp/ZAP/Nessus/CSV) i evidence-package z sha256+chain-of-custody działają jako LIVE na oddzielnych stronach, podczas gdy transport w czasie rzeczywistym do SIEM/CTI/ServiceNow, formalny podpis PAdES/TSA czy federacja tożsamości (OIDC/SSO) pozostają planem. Poniżej rozróżniamy dokładnie, co jest szkieletem E2E na staging (np. część auth/tenancy ma prototyp, prod = plan) od czystej specyfikacji (jeszcze bez kodu).

OŚ: spec / dokumentszkielet na stagingE2E z dowodem testuLIVE na produkcji
44
Elementów ROADMAP
7 grup tematycznych
7
Grup
tożsamość·integracje·AI-sec·evidence·GTM·architektura·skala
0
Ukrytych planów
każdy z linkiem do spec, jeśli istnieje

1. Enterprise Identity & Transport

Tożsamość federacyjna, izolacja wielopodmiotowa i uwierzytelniony transport. Część ma szkielet E2E na staging (JWT lokalny + wstępny model ról działa jako LIVE MVP — patrz znane ograniczenia); federacja OIDC/SSO, mTLS wzajemne i pełna izolacja per-tenant na produkcji to plan.

Enterprise Identity ROADMAP
OIDC / SSO / SCIM provisioning zamiast lokalnych kont seedowanych — federacja z IdP klienta.
Architektura bezpieczeństwa ROADMAP
Docelowy model warstw (sieć, transport, aplikacja, dane) wraz z mTLS między usługami — dziś spec, nie wdrożenie.
mTLS (wzajemne TLS) ROADMAP
Uwierzytelnianie klient↔API i usługa↔usługa certyfikatem klienckim; opisane w known-limitations jako gap P0, bez osobnej podstrony.
Access Review ROADMAP
Okresowy przegląd uprawnień (kto ma dostęp do czego, po co) — proces wymagany przez audytorów, dziś tylko spec.
Multi-Tenant & Data Isolation ROADMAP
Row-Level Security per organizacja/bank/partner. Dziś: jedna organizacja, brak separacji.
Enterprise Readiness ROADMAP
Zbiorcza uczciwa roadmapa gotowości enterprise (SLA, IAM, audyt) — dokument spinający powyższe.
Tryby wdrożenia ROADMAP
On-prem / VPC dedykowany / hybryda jako opcje wdrożenia u partnera — dziś opisane, nie skonfigurowane.

2. Integracje operacyjne

Realny transport dwukierunkowy do SIEM/CTI/ServiceNow oraz rejestr konektorów zewnętrznych to plan. Parsery importu plików (Burp, ZAP, Nessus, CSV) i budowa evidence-package z tych danych działają już jako LIVE — patrz Pentest Report → Board Pack. Różnica: parser pliku ≠ żywy strumień zdarzeń z systemu zewnętrznego.

Konektory SIEM ROADMAP
Splunk / Microsoft Sentinel / QRadar — strumień zdarzeń zamiast importu pliku eksportu.
CTI / Threat Intel Connectors ROADMAP
Wymiana wskaźników (STIX/TAXII, MISP/OpenCTI) w obie strony.
Konektor ServiceNow ROADMAP
Dwukierunkowa synchronizacja ticketów remediacji z ITSM klienta.
Connector SDK ROADMAP
Formalny kontrakt do pisania własnych parserów przez partnerów — dziś parsery pisane wewnętrznie, bez publicznego SDK.
Connector Marketplace / Registry ROADMAP
Rejestr konektorów firm trzecich do instalacji — wymaga najpierw Connector SDK.
K0-Connectors (spec §4.1) ROADMAP
Docelowa architektura warstwy konektorów (dev-doc) — opisuje docelowy stan, nie bieżące parsery LIVE.

3. AI/Agent Security zaawansowane

Wyłącznie defensywnie: dane syntetyczne, w granicach pisemnych Rules of Engagement, zero payloadów ataku w treści. Poniższe opisują CO ma być testowane i JAKI dowód sukcesu, nie jak przeprowadzić atak.

Tool Call Firewall + Agent Risk Score ROADMAP
Kontrola wywołań narzędzi przez agenta AI wg polityki + punktacja ryzyka — dziś spec.
MCP / Tool Poisoning Scanner ROADMAP
Skan konfiguracji serwerów MCP pod kątem podmienionych/złośliwych opisów narzędzi.
RAG Evidence Trace ROADMAP
Ślad dowodowy: który fragment bazy wiedzy wpłynął na odpowiedź agenta.
Attack Path Context ROADMAP
Priorytetyzacja podatności wg ścieżki do zasobu krytycznego, nie tylko severity CVSS.
AI Red Team (decision-support) ROADMAP
Ramowy proces oceny odporności agentów AI po RoE, z dowodem sukcesu jako kryterium zamknięcia testu — dziś opis procesu, nie działające środowisko.

4. Signed Evidence & Vault

Hash-chain (sha256) i podpis HMAC dla evidence-package działają dziś jako LIVE shadow — patrz znane ograniczenia. Formalny podpis kwalifikowany (PAdES), znacznik czasu TSA i dedykowany magazyn (vault) z niezmiennym przechowywaniem pozostają planem.

Signed Evidence & Formal Proof ROADMAP
Podpis PAdES + znacznik czasu TSA (RFC 3161) nad evidence-package, docelowo PQC.
Evidence Vault ROADMAP
Dedykowany magazyn WORM (write-once) dla evidence-package zamiast tabeli w bieżącej bazie.
Tamper-Evident Audit Export ROADMAP
Eksport dziennika audytowego z dowodem nienaruszalności (merkle/hash-chain eksportu), do przekazania stronie trzeciej.

5. Premium / GTM

Funkcje handlowe i rozszerzenia dla partnerów/MSSP. Jeden wyjątek: Monthly Executive Digest ma już status MVP (szkielet działa) — zamieszczony tu dla kompletności grupy, nie jako ROADMAP.

MSSP Multi-Client Mode ROADMAP
Jeden panel dla dostawcy usług zarządzanych obsługującego wielu klientów — wymaga najpierw tenant-model.
White Label Board Pack ROADMAP
Raporty z marką partnera zamiast marki K0NSULT.
Continuous Evidence & Compliance Monitor ROADMAP
Ciągły monitor pokrycia dowodowego zamiast punktowego raportu — decision-support, nie automatyczne zaświadczenie zgodności.
Synthetic Breach Simulator ROADMAP
Scenariusze na danych syntetycznych do ćwiczenia procesu reakcji — nie środowisko ofensywne, nie realne dane.
Evidence Exchange ROADMAP
Bezpieczna wymiana evidence-package między partnerami/organami pod kontrolą dostępu.
Odznaki wewnętrzne / Scoring ROADMAP
Gamifikacja postępu zespołu SOC — odznaki za domknięte PoC/testy.
Scoring / Scoreboard ROADMAP
Tablica wyników pokrycia dowodowego per zespół/organizacja.
Control Effectiveness Score ROADMAP
Wynik skuteczności kontroli bezpieczeństwa liczony z historii incydentów/testów.
Monthly Executive Digest MVP
Miesięczne podsumowanie dla zarządu — już działający szkielet, nie ROADMAP. Pokazane tu jako sąsiad tematyczny.

6. Architektura docelowa (dev-doc)

Warstwy docelowej architektury orchestratora, opisane jako dokumentacja deweloperska (spec), nie jako wdrożone usługi. Powiązana Roadmapa dev (F0–F11) pokazuje, co z tej architektury ma już dowód (kod+test+endpoint) na staging, a co jest wyłącznie opisem.

Evidence & Resilience Orchestrator ROADMAP
Warstwa spinająca cały przepływ import→incydent→evidence→retest→close w jeden serwis.
K0-NORMALIZE (§4.2) ROADMAP
Normalizacja danych z różnych parserów do jednego wspólnego schematu.
K0-TRUTH / Common Source of Truth ROADMAP
Jeden rejestr prawdy dla stanu incydentów i dowodów, źródło dla wszystkich paneli.
K0-EVIDENCE: warstwa dowodowa ROADMAP
Warstwa odpowiedzialna za budowę i przechowywanie evidence-package w skali produkcyjnej.
Legal Engine (K0-LEGAL) ROADMAP
Silnik mapowania incydent→obowiązek zgłoszenia jako trwała usługa z wersjonowaniem ocen — decision-support, nie porada prawna.
Rozszerzony model danych ROADMAP
Docelowy schemat danych ponad obecny model poglądowy.
API rekomendacje produkcyjne ROADMAP
Uwierzytelnianie OIDC/mTLS, autoryzacja per-scope, rate limiting — dziś kontrakt API jest poglądowy.
API ROADMAP
Publiczne, uwierzytelniane API produkcyjne dla integratorów (odróżnić od już działających /api/ip3/v1 i api-explorer, które są LIVE).
DORA / TIBER Pack ROADMAP
Wsparcie decyzji dla ćwiczeń TIBER-EU i pakietów DORA jako trwała usługa spięta z orchestratorem.
Response & Retest (K0-RESPONSE) ROADMAP
Zautomatyzowana pętla remediacja→retest→close jako usługa orchestratora.

7. Global / skala

Rozszerzenie zasięgu poza pojedynczy podmiot: program bug bounty, wymiana threat intel i skalowanie modelu wykonawczego od pojedynczej instancji do pełnego zasięgu krajowego. Wszystko poniżej to plan — dziś działa jedna instancja referencyjna.

Bug Bounty & Hall of Fame ROADMAP
Program wynagrodzeń za zgłoszenia podatności — dziś strona opisowa, bez uruchomionego programu.
Threat Intelligence / CTI-OSINT ROADMAP
Zbiorczy wywiad zagrożeń zasilający orchestrator — dziś brak żywego kanału.
Global Gateway ROADMAP
Wejście dla zgłoszeń i partnerów spoza Polski — dziś strona wejściowa, bez zaplecza operacyjnego.
Ochrona Polski ROADMAP
Koncepcja obrony w skali krajowej — dokument wizji, nie wdrożona zdolność.
Skale i poziomy ROADMAP
Ścieżka od lokalnej instancji do pełnej skali RSC — plan skalowania, nie obecny stan.
Roje i cykle ROADMAP
Model wykonawczy wielu równoległych zespołów/agentów w cyklach — opisany, nie uruchomiony jako usługa.

Co ta strona NIE oznacza

To nie jest lista defektów ani obietnica terminu. Każda pozycja to świadomie nazwany element planu rozwoju, bez daty wdrożenia domyślnie obiecanej. Przejście z ROADMAP do MVP/LIVE wymaga dowodu: kodu, testu i działającego endpointu — zgodnie z tą samą doktryną, która rządzi resztą portalu.
Front produktu pokazuje tylko LIVE/MVP. Elementy z tej strony nie są promowane w hubie ani w materiałach sprzedażowych jako dostępne dziś. Jeśli któryś z nich pojawia się gdzie indziej jako „działający" bez odpowiadającego wpisu LIVE w macierzy statusów — traktuj to jako błąd do zgłoszenia, nie jako fakt.
Granica etyczna i prawna. Elementy sekcji AI/Agent Security są opisywane wyłącznie defensywnie: dane syntetyczne, po pisemnych Rules of Engagement, bez instrukcji ani payloadów ataku. Legal Engine i wszelkie mapowania obowiązków prawnych to wsparcie decyzji (decision-support), nie porada prawna — wymagają przeglądu przez radcę/kancelarię przed wysyłką do organu.

Powiązane: uczciwy rejestr granic dzisiejszego MVP → /known-limitations · pełna macierz statusów wszystkich stron → /status-matrix · changelog fal budowy z dowodami → /roadmap-dev · wróć do produktu → /ai-truth/ipIII/.