私たちはコードベースのEU AI Act適合リスクをスキャンするCLIツールを作りました。
npx @systima/comply scan はリポジトリを分析し、AIフレームワークの使用を検出し、AI出力がプログラム内でどのように流れるかを追跡し、規制上の義務を引き起こす可能性のあるパターンを検出します。
それはCIで実行され、APIキーは不要です。
内部的には、37以上のAIフレームワークにまたがってASTベースのインポート検出をTypeScript Compiler APIとweb-tree-sitter WASMを用いて実行します。その後、代入や分割代入を通じてAIの戻り値を追跡し、4つのパターンを特定します:
- AI出力に対する条件分岐
- AI出力をデータベースへ永続化
- UIでAI出力を開示せずに表示
- AI出力を下流のAPIへ送信
検出結果はシステムドメインによって重大度が調整されます。あなたがシステムが何をするかを宣言します(カスタマーサポート、クレジットスコアリング、法的調査など)と、スキャナーがそれに応じて調整します。
Example:
- AI出力を
if文で使用するチャットボットのルーティングツールは情報的なノートを生成します - 同じことを行うクレジットスコアリングシステムでは重大な所見が出ます
Vercelの20kスターAIチャットボットリポジトリを対象にテストしました。スキャンは約8秒でした。全結果を含む例のPRコメント: https://github.com/systima-ai/chatbot-comply-test/pull/1
Complyはnpmパッケージ、GitHub Action(systima-ai/comply@v1)、およびTypeScript APIとして提供されます。PDFレポートやテンプレートのコンプライアンス文書の生成も可能です。
リポジトリと説明:
https://systima.ai/blog/systima-comply-eu-ai-act-compliance-scanning
コールチェーンのトレース手法や、ドメインベースの重大度モデルが妥当かどうかについてのフィードバックを歓迎します。
