open/ktg-plugin-marketplace
1
0
Fork 0
Code Issues Pull requests Releases Wiki Activity Actions

feat(ms-ai-architect): add plugin to open marketplace (v1.5.0 baseline)

Browse source 
Initial addition of ms-ai-architect plugin to the open-source marketplace.
Private content excluded: orchestrator/ (Linear tooling), docs/utredning/
(client investigation), generated test reports and PDF export script.
skill-gen tooling moved from orchestrator/ to scripts/skill-gen/.

Security scan: WARNING (risk 20/100) — no secrets, no injection found.
False positive fixed: added gitleaks:allow to Python variable reference
in output-validation-grounding-verification.md line 109.

Co-Authored-By: Claude Opus 4.6 <noreply@anthropic.com>
This commit is contained in:
Kjell Tore Guttormsen 2026-04-07 17:17:17 +02:00
commit 6a7632146e
490 changed files with 213249 additions and 2 deletions
Download patch file Download diff file Expand all files Collapse all files

79
plugins/ms-ai-architect/tests/fixtures/ai-act/fixture.md vendored Normal file
View file

@ -0,0 +1,79 @@
## EU AI Act — Vurdering: FartsPrediksjonsagent
**Dato:** 2026-02-22
**Vurdert av:** AI Act Assessor
**Organisasjon:** Statens vegvesen
### 1. Risikoklassifisering
| Attributt | Verdi |
|-----------|-------|
| **Risikonivå** | Minimal risiko |
| **Annex III-kategori** | Ikke Annex III |
| **GPAI-status** | Ja — basert på GPT-4o, men ikke systemisk risiko |
| **Klassifiseringsgrunnlag** | Systemet predikerer gjennomsnittsfart på vegstrekninger basert på historiske trafikkdata. Ingen direkte påvirkning på individer, ingen biometrisk identifikasjon, ikke kritisk infrastrukturstyring. |
| **Konfidens** | Høy |
#### Steg 1: Forbudt-sjekk (Art. 5)
Ingen av de forbudte praksisene er relevante. Systemet scorer ikke individer sosialt, manipulerer ikke sårbare grupper, og bruker ikke biometrisk fjernidentifisering.
#### Steg 2: Annex III høyrisiko-sjekk
Systemet treffer ingen av de 8 Annex III-kategoriene:
- Ikke biometrisk identifisering
- Ikke styring av kritisk infrastruktur (predikerer, styrer ikke)
- Ikke utdanning/opplæring
- Ikke ansettelse/personal
- Ikke essensielle offentlige tjenester
- Ikke rettshåndhevelse
- Ikke migrasjon/grensekontroll
- Ikke rettsforvaltning
#### Steg 3: GPAI-sjekk
Systemet bruker Azure OpenAI GPT-4o som grunnmodell. GPT-4o er en GPAI-modell, men FartsPrediksjonsagent er en downstream-applikasjon — provider-forpliktelser for GPAI hviler på Microsoft som modell-provider.
#### Steg 4: Begrenset/Minimal
Systemet har ingen direkte brukerinteraksjon med borgere. Resultater vises kun til trafikkplanleggere internt. Klassifiseres som **minimal risiko**.
### 2. Rolle
| Attributt | Verdi |
|-----------|-------|
| **Organisasjonens rolle** | Deployer |
| **Begrunnelse** | Statens vegvesen bruker et AI-system utviklet internt med Azure OpenAI. Ettersom systemet ikke markedsføres til andre, og bruker standard Azure-tjenester uten vesentlig tilpasning av modellen, er rollen deployer. |
| **Provider (ekstern)** | Microsoft (Azure OpenAI Service) |
### 3. Forpliktelser
| # | Artikkel | Krav | Status | Gap |
|---|----------|------|--------|-----|
| 1 | Art. 50(1) | Transparens: informer brukere om AI-bruk | Oppfylt | Interne brukere informert |
| 2 | Art. 4 | AI-kompetanse: sikre tilstrekkelig kunnskap | Delvis | Opplæringsplan ikke formalisert |
| 3 | Frivillig | Code of Conduct (Art. 95) | Ikke startet | Anbefales men ikke påkrevd |
### 4. Tiltaksplan
| # | Tiltak | Prioritet | Frist | Ansvarlig |
|---|--------|-----------|-------|-----------|
| T1 | Formalisér AI-kompetanseplan for trafikkplanleggere | Lav | 2026-12-31 | Seksjonsleder |
| T2 | Vurdér frivillig Code of Conduct-tilslutning | Lav | 2027-06-30 | AI-rådgiver |
### 5. Neste steg
1. Ingen regulatoriske blokkeringer — systemet kan brukes uten ytterligere tiltak
2. Anbefaler `/architect:ros` for generell risikovurdering (god praksis)
3. Vurdér `/architect:transparency` for å generere intern AI-bruksnotis
### Viktige frister
| Frist | Krav | Relevans |
|-------|------|----------|
| 2025-02-02 | Forbudte AI-praksiser (Art. 5) | Gjelder ikke |
| 2025-08-02 | Governance og sanksjoner (Art. 99) | Gjelder ikke direkte |
| 2026-08-02 | GPAI-krav + Annex III høyrisiko | Gjelder ikke (minimal risiko) |
| 2027-08-02 | Alle høyrisiko-krav (full compliance) | Gjelder ikke |
### Referanser
- `ai-act-classification-methodology.md` — Klassifiseringsmetodikk (steg 1-4)
- `ai-act-compliance-guide.md` — Generell veileder
- `ai-act-annex-iii-checklist.md` — Annex III-sjekkliste
- Microsoft Learn: Azure OpenAI EU Data Boundary compliance