feat(ms-ai-architect): add plugin to open marketplace (v1.5.0 baseline)
Initial addition of ms-ai-architect plugin to the open-source marketplace. Private content excluded: orchestrator/ (Linear tooling), docs/utredning/ (client investigation), generated test reports and PDF export script. skill-gen tooling moved from orchestrator/ to scripts/skill-gen/. Security scan: WARNING (risk 20/100) — no secrets, no injection found. False positive fixed: added gitleaks:allow to Python variable reference in output-validation-grounding-verification.md line 109. Co-Authored-By: Claude Opus 4.6 <noreply@anthropic.com>
This commit is contained in:
Kjell Tore Guttormsen
parent
a8d79e4484
commit
6a7632146e
490 changed files with 213249 additions and 2 deletions
93
plugins/ms-ai-architect/tests/fixtures/ai-act/fixture-high-risk.md
vendored
Normal file
93
plugins/ms-ai-architect/tests/fixtures/ai-act/fixture-high-risk.md
vendored
Normal file
|
|
@ -0,0 +1,93 @@
|
|||
## EU AI Act — Vurdering: AutomatiskSaksbehandler
|
||||
|
||||
**Dato:** 2026-02-22
|
||||
**Vurdert av:** AI Act Assessor
|
||||
**Organisasjon:** Statens vegvesen
|
||||
|
||||
### 1. Risikoklassifisering
|
||||
|
||||
| Attributt | Verdi |
|
||||
|-----------|-------|
|
||||
| **Risikonivå** | Høyrisiko |
|
||||
| **Annex III-kategori** | Kategori 5: Tilgang til og bruk av essensielle offentlige tjenester og ytelser |
|
||||
| **GPAI-status** | Ja — basert på GPT-4o via Azure OpenAI |
|
||||
| **Klassifiseringsgrunnlag** | Systemet automatiserer vurdering av helsekrav ved søknad om førerkort (klasse B). Direkte påvirkning på borgeres rett til førerkort — en essensiell offentlig tjeneste. |
|
||||
| **Konfidens** | Høy |
|
||||
|
||||
#### Steg 1: Forbudt-sjekk (Art. 5)
|
||||
Ingen forbudte praksiser identifisert. Systemet scorer ikke individer sosialt, og beslutninger kan overprøves av saksbehandler.
|
||||
|
||||
#### Steg 2: Annex III høyrisiko-sjekk
|
||||
**Treffer kategori 5 (a):** AI-systemer som brukes av offentlige myndigheter for å vurdere berettigelse til offentlige ytelser og tjenester, inkludert tildelingsbeslutninger.
|
||||
|
||||
Førerkort er en essensiell offentlig tjeneste i norsk kontekst. Automatisert vurdering av helsekrav påvirker direkte borgeres tilgang til denne tjenesten.
|
||||
|
||||
**Grensevurdering:** Det er ingen tvil om at dette er høyrisiko. Systemet tar beslutninger som direkte påvirker enkeltpersoners rettigheter og muligheter.
|
||||
|
||||
#### Steg 3: GPAI-sjekk
|
||||
GPT-4o er en GPAI-modell. Microsoft er provider av grunnmodellen. Statens vegvesen er deployer av det tilpassede systemet. Ettersom systemet har vesentlig tilpasning (fine-tuning på norske helseattest-vurderinger), kan Statens vegvesen også anses som provider av det tilpassede høyrisiko-systemet.
|
||||
|
||||
#### Steg 4: Ikke relevant — allerede klassifisert som høyrisiko
|
||||
|
||||
### 2. Rolle
|
||||
|
||||
| Attributt | Verdi |
|
||||
|-----------|-------|
|
||||
| **Organisasjonens rolle** | Deployer (primært) + mulig Provider (ved vesentlig tilpasning) |
|
||||
| **Begrunnelse** | Som deployer har Statens vegvesen alle Art. 26-27 forpliktelser. Ved fine-tuning av modellen kan organisasjonen også få provider-forpliktelser for det tilpassede systemet (Art. 25). |
|
||||
| **Provider (grunnmodell)** | Microsoft (Azure OpenAI Service) |
|
||||
|
||||
### 3. Forpliktelser
|
||||
|
||||
| # | Artikkel | Krav | Status | Gap |
|
||||
|---|----------|------|--------|-----|
|
||||
| 1 | Art. 26(1) | Bruk i samsvar med bruksanvisning | Delvis | Bruksanvisning fra Microsoft, men ikke tilpasset norsk kontekst |
|
||||
| 2 | Art. 26(2) | Menneskelig tilsyn (effektiv kontroll) | Delvis | Saksbehandler kan overprøve, men prosedyre ikke formalisert |
|
||||
| 3 | Art. 26(5) | FRIA gjennomført for offentlig sektor | Ikke oppfylt | Ingen FRIA utført |
|
||||
| 4 | Art. 26(6) | Loggoppbevaring minimum 6 måneder | Ikke oppfylt | Logger settes til 90 dager i Application Insights |
|
||||
| 5 | Art. 27 | FRIA for offentlig myndighet-deployer | Ikke oppfylt | Obligatorisk — ikke startet |
|
||||
| 6 | Art. 13 | Transparens: bruksinstruksjon tilgjengelig | Ikke oppfylt | Ingen Art. 13-dokumentasjon |
|
||||
| 7 | Art. 14 | Menneskelig tilsyn: override-mekanismer | Delvis | Override mulig men ikke systematisk |
|
||||
| 8 | Art. 50(1) | Informer personer om AI-bruk | Ikke oppfylt | Borgere informeres ikke om at AI vurderer helseattester |
|
||||
| 9 | Art. 9 | Risikostyringssystem | Ikke oppfylt | Ingen formell risikostyring for AI-systemet |
|
||||
| 10 | Art. 12 | Automatisk loggføring | Delvis | Logger finnes men retention er for kort |
|
||||
|
||||
### 4. Tiltaksplan
|
||||
|
||||
| # | Tiltak | Prioritet | Frist | Ansvarlig |
|
||||
|---|--------|-----------|-------|-----------|
|
||||
| T1 | Gjennomfør FRIA (Art. 27) — bruk `/architect:frimpact` | Kritisk | 2026-05-01 | Personvernombud + AI-rådgiver |
|
||||
| T2 | Etabler risikostyringssystem (Art. 9) | Kritisk | 2026-06-01 | Seksjonsleder |
|
||||
| T3 | Øk log retention til minimum 6 måneder (Art. 12/26) | Kritisk | 2026-04-01 | IT-drift |
|
||||
| T4 | Utvikle transparensnotis til borgere (Art. 50) | Høy | 2026-05-01 | Kommunikasjonsavdeling |
|
||||
| T5 | Formalisér override-prosedyre for saksbehandlere (Art. 14) | Høy | 2026-05-15 | Fagleder |
|
||||
| T6 | Gjennomfør DPIA (GDPR Art. 35) — overlapper med FRIA | Høy | 2026-05-01 | Personvernombud |
|
||||
| T7 | Utarbeid Art. 13 bruksinstruksjon | Middels | 2026-06-15 | AI-rådgiver |
|
||||
| T8 | Forbered samsvarsvurdering (Annex IV, Art. 43) | Middels | 2026-07-01 | Kvalitetsansvarlig |
|
||||
| T9 | Vurdér behov for ekstern samsvarsvurdering | Lav | 2026-07-15 | Juridisk avdeling |
|
||||
|
||||
### 5. Neste steg
|
||||
|
||||
1. **Umiddelbart:** `/architect:frimpact` — FRIA er obligatorisk og bør prioriteres høyest
|
||||
2. **Innen 30 dager:** `/architect:dpia` — Personvernkonsekvensanalyse (utdyper personverndimensjonen)
|
||||
3. **Innen 60 dager:** `/architect:ros` — ROS-analyse med AI Act-dimensjon (dimensjon 6)
|
||||
4. **Innen 90 dager:** `/architect:conformity` — Start samsvarsvurdering
|
||||
5. **Dokumentér:** `/architect:adr` — Dokumenter klassifiseringsbeslutningen
|
||||
|
||||
### Viktige frister
|
||||
|
||||
| Frist | Krav | Relevans |
|
||||
|-------|------|----------|
|
||||
| 2025-02-02 | Forbudte AI-praksiser (Art. 5) | Gjelder ikke |
|
||||
| 2025-08-02 | Governance og sanksjoner (Art. 99) | Gjelder — governance-struktur kreves |
|
||||
| 2026-08-02 | GPAI-krav + Annex III høyrisiko | **Gjelder direkte — 161 dager** |
|
||||
| 2027-08-02 | Alle høyrisiko-krav (full compliance) | Gjelder — full Art. 9-27 compliance |
|
||||
|
||||
### Referanser
|
||||
- `ai-act-classification-methodology.md` — Klassifiseringsmetodikk
|
||||
- `ai-act-annex-iii-checklist.md` — Annex III kategori 5 vurdering
|
||||
- `ai-act-deployer-obligations.md` — Art. 26-27 forpliktelser
|
||||
- `ai-act-fria-template.md` — FRIA-mal referanse
|
||||
- `ai-act-provider-obligations.md` — Art. 9-15 (ved provider-status)
|
||||
- `ai-act-compliance-guide.md` — Generell veileder
|
||||
- Microsoft Learn: Azure OpenAI responsible AI practices
|
||||
79
plugins/ms-ai-architect/tests/fixtures/ai-act/fixture.md
vendored
Normal file
79
plugins/ms-ai-architect/tests/fixtures/ai-act/fixture.md
vendored
Normal file
|
|
@ -0,0 +1,79 @@
|
|||
## EU AI Act — Vurdering: FartsPrediksjonsagent
|
||||
|
||||
**Dato:** 2026-02-22
|
||||
**Vurdert av:** AI Act Assessor
|
||||
**Organisasjon:** Statens vegvesen
|
||||
|
||||
### 1. Risikoklassifisering
|
||||
|
||||
| Attributt | Verdi |
|
||||
|-----------|-------|
|
||||
| **Risikonivå** | Minimal risiko |
|
||||
| **Annex III-kategori** | Ikke Annex III |
|
||||
| **GPAI-status** | Ja — basert på GPT-4o, men ikke systemisk risiko |
|
||||
| **Klassifiseringsgrunnlag** | Systemet predikerer gjennomsnittsfart på vegstrekninger basert på historiske trafikkdata. Ingen direkte påvirkning på individer, ingen biometrisk identifikasjon, ikke kritisk infrastrukturstyring. |
|
||||
| **Konfidens** | Høy |
|
||||
|
||||
#### Steg 1: Forbudt-sjekk (Art. 5)
|
||||
Ingen av de forbudte praksisene er relevante. Systemet scorer ikke individer sosialt, manipulerer ikke sårbare grupper, og bruker ikke biometrisk fjernidentifisering.
|
||||
|
||||
#### Steg 2: Annex III høyrisiko-sjekk
|
||||
Systemet treffer ingen av de 8 Annex III-kategoriene:
|
||||
- Ikke biometrisk identifisering
|
||||
- Ikke styring av kritisk infrastruktur (predikerer, styrer ikke)
|
||||
- Ikke utdanning/opplæring
|
||||
- Ikke ansettelse/personal
|
||||
- Ikke essensielle offentlige tjenester
|
||||
- Ikke rettshåndhevelse
|
||||
- Ikke migrasjon/grensekontroll
|
||||
- Ikke rettsforvaltning
|
||||
|
||||
#### Steg 3: GPAI-sjekk
|
||||
Systemet bruker Azure OpenAI GPT-4o som grunnmodell. GPT-4o er en GPAI-modell, men FartsPrediksjonsagent er en downstream-applikasjon — provider-forpliktelser for GPAI hviler på Microsoft som modell-provider.
|
||||
|
||||
#### Steg 4: Begrenset/Minimal
|
||||
Systemet har ingen direkte brukerinteraksjon med borgere. Resultater vises kun til trafikkplanleggere internt. Klassifiseres som **minimal risiko**.
|
||||
|
||||
### 2. Rolle
|
||||
|
||||
| Attributt | Verdi |
|
||||
|-----------|-------|
|
||||
| **Organisasjonens rolle** | Deployer |
|
||||
| **Begrunnelse** | Statens vegvesen bruker et AI-system utviklet internt med Azure OpenAI. Ettersom systemet ikke markedsføres til andre, og bruker standard Azure-tjenester uten vesentlig tilpasning av modellen, er rollen deployer. |
|
||||
| **Provider (ekstern)** | Microsoft (Azure OpenAI Service) |
|
||||
|
||||
### 3. Forpliktelser
|
||||
|
||||
| # | Artikkel | Krav | Status | Gap |
|
||||
|---|----------|------|--------|-----|
|
||||
| 1 | Art. 50(1) | Transparens: informer brukere om AI-bruk | Oppfylt | Interne brukere informert |
|
||||
| 2 | Art. 4 | AI-kompetanse: sikre tilstrekkelig kunnskap | Delvis | Opplæringsplan ikke formalisert |
|
||||
| 3 | Frivillig | Code of Conduct (Art. 95) | Ikke startet | Anbefales men ikke påkrevd |
|
||||
|
||||
### 4. Tiltaksplan
|
||||
|
||||
| # | Tiltak | Prioritet | Frist | Ansvarlig |
|
||||
|---|--------|-----------|-------|-----------|
|
||||
| T1 | Formalisér AI-kompetanseplan for trafikkplanleggere | Lav | 2026-12-31 | Seksjonsleder |
|
||||
| T2 | Vurdér frivillig Code of Conduct-tilslutning | Lav | 2027-06-30 | AI-rådgiver |
|
||||
|
||||
### 5. Neste steg
|
||||
|
||||
1. Ingen regulatoriske blokkeringer — systemet kan brukes uten ytterligere tiltak
|
||||
2. Anbefaler `/architect:ros` for generell risikovurdering (god praksis)
|
||||
3. Vurdér `/architect:transparency` for å generere intern AI-bruksnotis
|
||||
|
||||
### Viktige frister
|
||||
|
||||
| Frist | Krav | Relevans |
|
||||
|-------|------|----------|
|
||||
| 2025-02-02 | Forbudte AI-praksiser (Art. 5) | Gjelder ikke |
|
||||
| 2025-08-02 | Governance og sanksjoner (Art. 99) | Gjelder ikke direkte |
|
||||
| 2026-08-02 | GPAI-krav + Annex III høyrisiko | Gjelder ikke (minimal risiko) |
|
||||
| 2027-08-02 | Alle høyrisiko-krav (full compliance) | Gjelder ikke |
|
||||
|
||||
### Referanser
|
||||
- `ai-act-classification-methodology.md` — Klassifiseringsmetodikk (steg 1-4)
|
||||
- `ai-act-compliance-guide.md` — Generell veileder
|
||||
- `ai-act-annex-iii-checklist.md` — Annex III-sjekkliste
|
||||
- Microsoft Learn: Azure OpenAI EU Data Boundary compliance
|
||||
Loading…
Add table
Add a link
Reference in a new issue