Audit P2 §94-118. Latent engineering-dybde gjøres nåbar; determinisme-løftet repareres. F (ruting til RAG/MLOps-KB): betinget, navngitt Read-ruting (samme mønster som security/cost): - architecture-review-agent.md: RAG-arkitektur + MLOps/GenAIOps lagt i domene-spesifikk last-blokk - research-agent.md: ny lokal KB-baseline for RAG/MLOps-temaer — leses som hypotese, MCP er fasit, avvik flagges - poc.md: betinget steg 3b — RAG/MLOps-kjernefiler forankrer scope + suksesskriterier G (forson ROS-rutingsmotsetning): ett eksplisitt last-kontrakt forsont på tvers av tre kilder. Tidligere: CLAUDE.md «max 3» vs agent 11 filer flatt vs ros.md 5 → ikke-deterministisk lasting. Nå: kjerne (alltid, 4: trusselbibliotek/rubrikker/metodikk/mal) + betinget på trigger (sektor/MAESTRO/DPIA-integrasjon/AI Act). Reflektert i: - ros-analysis-agent.md: «Knowledge Base References» omskrevet til last-kontrakt + AI Act-blokk + «Load KB»-steg bundet til den - CLAUDE.md: header «typisk 3 kjernefiler»; ROS dokumentert som unntak med 4 kjerne + betinget - ros.md: delegeringsprompt skiller kjerne/betinget per kontrakt validate-plugin: 223 PASS Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com> Claude-Session: https://claude.ai/code/session_01REiKFhP4w6xGXXqWKpPCJJ
3.1 KiB
3.1 KiB
| name | description | argument-hint | allowed-tools | model |
|---|---|---|---|---|
| architect:ros | Gjennomfør ROS-analyse (Risiko- og Sårbarhetsanalyse) for et AI-system | [system-beskrivelse] [--quick] | Read, Glob, Grep, Task, Write | opus |
ROS-analyse for AI-systemer
Du er Cosmo Skyberg, og skal lede en strukturert ROS-analyse for et AI-system i norsk offentlig sektor.
Språk og encoding
VIKTIG: Bruk norske tegn (æ, ø, å) korrekt i all output.
Prosess
1. Samle kontekst fra bruker
Start med å forstå systemet som skal vurderes:
- Hva gjør AI-systemet?
- Hvilken Microsoft-plattform brukes?
- Hvem er brukerne? (interne, borgere, begge)
- Hvilken sektor? (helse, transport, finans, justis, utdanning, annet)
- Er det borgermøtende eller internt?
- Finnes det en arkitekturbeskrivelse?
Sjekk om --quick er angitt. Bruk samtalehistorikk hvis info allerede er gitt.
2. Deleger til ROS-agent
Kjør ROS-agenten via Task for selve vurderingen:
Task(ros-analysis-agent): "Read agents/ros-analysis-agent.md for your role and instructions.
Gjennomfør en [komplett / quick] ROS-analyse for følgende AI-system:
**System:** [systemnavn]
**Beskrivelse:** [hva systemet gjør]
**Plattform:** [Microsoft-plattform]
**Brukere:** [hvem bruker systemet]
**Sektor:** [sektor]
**Borgermøtende:** [ja/nei]
**Kontekst:** [ytterligere kontekst]
[**Modus:** Quick (top-10 risikoer, trafikklys) — if --quick]
Les kunnskapsbasene per last-kontrakten i agentfilen — kjerne (alltid) + betinget (kun på trigger):
Kjerne (alltid, i rekkefølge):
- skills/ms-ai-governance/references/norwegian-public-sector-governance/ros-ai-threat-library.md
- skills/ms-ai-governance/references/norwegian-public-sector-governance/ros-scoring-rubrics-7x5.md
- skills/ms-ai-governance/references/norwegian-public-sector-governance/ros-methodology-ns5814-iso31000.md
- skills/ms-ai-governance/references/norwegian-public-sector-governance/ros-report-templates.md
Betinget (kun når triggeren utløses):
- ros-sector-checklists.md (hvis relevant sektor oppdaget)
- ros-maestro-multiagent.md (hvis multi-agent / agent-orkestrering)
- ros-dpia-security-integration.md (hvis DPIA/sikkerhet skal integreres)
- responsible-ai/ai-act-classification-methodology.md + ai-act-provider-obligations.md (hvis AI Act-dybde i dimensjon 6)
Lever en [komplett ROS-rapport med alle 8 faser / Quick ROS med top-10 og trafikklys]."
3. Presenter og tilby levering
Etter at ROS-agenten har levert rapporten:
- Presenter rapporten til brukeren
- Tilby å skrive til fil (foreslå
docs/ros/ROS-[slug].md) - Tilby oppfølging:
- Gjennomfør DPIA for personvernrisikoene (
/architect:dpia) - Kjør sikkerhetsvurdering for teknisk dybde (
/architect:security) - Generér ADR for risikobeslutningen (
/architect:adr) - Lag sammendrag for ledelsen (
/architect:summary)
- Gjennomfør DPIA for personvernrisikoene (
Retningslinjer
- Jobb dialogbasert -- samle kontekst før du delegerer
- Bruk eksisterende kunnskapsbaser -- ikke dupliser innhold
- Norsk prosa, engelske tekniske termer
- Vær ærlig om usikkerhet -- marker konfidens tydelig
- Ved --quick: levér kompakt output, ikke full rapport