kuzivaai/getregula

# Regula **AI Governance Risk Indication for Code** [](https://pypi.org/project/regula-ai/) [](LICENSE.txt) [](https://python.org) [](#regulatory-coverage) [](https://github.com/kuzivaai/getregula/actions) **网站：** [getregula.com](https://getregula.com) 如果您向欧盟用户推出 AI 产品，无论您的团队规模大小或位于何处，欧盟 AI 法案都适用于您。第 2 条具有域外效力：它涵盖了任何系统在欧盟境内使用的提供方。 Regula 会扫描您的代码以发现风险指标，告诉您的系统属于哪个层级，并标记您在 2026 年 8 月截止日期之前需要完成的工作。大多数构建聊天机器人或生产力工具的独立创始人都会落入有限风险层级——这意味着只需履行第 50 条规定的轻量级透明度义务，而非附件 III 的高风险要求。Regula 会明确地告诉您这一点，而不是让您自行猜测。 ## 适用人群 - **正在构建 AI 产品**（使用 Claude Code、Cursor、Lovable、Bolt 或类似工具）且拥有欧盟用户，但不了解欧盟 AI 法案对其意味着什么的**独立创始人和独立开发者** - **希望在合规风险成为销售阻碍之前**先了解自身暴露程度的**小型团队**——企业采购已经开始要求提供 AI 法案证据 - **希望在 CI/CD 中添加欧盟 AI 法案扫描**，以便在发布前捕获高风险或禁止模式的**工程团队** ## Regula 是什么（以及不是什么） **Regula 是：** - 一个开发时静态分析工具，用于检测 AI 相关的代码模式并将其映射到欧盟 AI 法案的义务 - 一个左移合规扫描器——就像用于监管风险的 ESLint，可在您的终端或 CI/CD 管道中运行 - 合规意识的起点，而非终点 **Regula 不是：** - 运行时监控系统（它分析的是源代码，而非运行中的系统） - 法律合规证书（发现结果是指标，而非法律判定） - 企业级 GRC 平台（如 Credo AI 或 Holistic AI）的替代品（它是对这些平台的补充） - 生产环境公平性测试平台（`regula bias` 会针对本地 Ollama 模型运行基准探测作为起点，但不能替代运行时公平性监控） - 法律建议（在进行合规决策时请咨询合格的法律顾问） Regula 帮助开发团队尽早了解其面临的欧盟 AI 法案风险。它不能取代完全合规所需的组织、程序和法律工作。 ## 快速开始 ``` git clone https://github.com/kuzivaai/getregula.git cd getregula pip install -e . # 首先：确定欧盟 AI 法案是否适用于您的产品及如何适用 # 几个是/否问题，无需代码 regula assess # 然后：扫描代码库中的风险指标 regula check /path/to/project # 为您的 DPO 或企业客户生成 HTML 报告 regula report --format html --output report.html --include-audit ``` 或者克隆并在不安装的情况下运行： ``` # 引导式设置（检测平台、安装 hooks、运行首次扫描） python3 scripts/cli.py init # 为您的编辑器安装 hooks python3 scripts/cli.py install claude-code # Claude Code python3 scripts/cli.py install copilot-cli # GitHub Copilot CLI python3 scripts/cli.py install windsurf # Windsurf Cascade ``` 运行测试：`pytest tests/ -q` ## 功能介绍 当您编写 AI 相关代码时，Regula 会： 1. **检测** AI 指标（库、模型文件、API 调用、ML 模式） 2. **标记** 与欧盟 AI 法案风险层级相关的模式 3. **拦截** 匹配第 5 条禁止实践的模式（包含条件和例外） 4. **警告** 附件 III 高风险领域的模式（包含第 6 条背景） 5. **拦截** 工具输入中的硬编码 API 密钥（OpenAI、Anthropic、AWS、GitHub） 6. **记录** 检测到训练模式时的 GPAI 透明度义务 7. **记录** 所有内容到哈希链审计追踪中 8. **生成** 附件 IV 技术文档和 QMS 脚手架 9. **追踪** 已注册 AI 系统的合规状态 10. **生成** 带有逐条就绪性评分的合格评定证据包（第 43 条） 11. **追踪** 跨文件的 AI 模型输出以检测人工监督盲区（第 14 条） 12. **创建** 带有模型来源和 GPAI 层级注释的 AI 物料清单（CycloneDX 1.7） 13. **通过 `regula handoff` 为** Garak、Giskard 和 Promptfoo **发出**针对性的红队配置（与运行时行为测试互补，而非竞争） 14. **当安装的规则集比最新的监管变更旧时，通过 `regula regwatch` 发出警告**，该功能会读取链接到原始来源的 [EU AI Act Delta Log](content/regulations/delta-log/) ### 项目发布的开放数据 Regula 提供三个开放数据集，以便合规生态系统在其基础上构建，而不是重复工作： - **[EU AI Act Regulatory Delta Log](content/regulations/delta-log/)** —— 链接到原始来源、以条款为键、机器可读的欧盟 AI 法案每一次变更的更新日志。提供 RSS 订阅和 JSON 索引。CC-BY-4.0。 - **[Article 57 Sandbox Registry](content/regulations/sandbox-registry/)** —— 27 个成员国的国家 AI 监管沙盒状态跟踪器。CC-BY-4.0。 - **[Risk Pattern Corpus](data/patterns/)** —— 支持 Regula 检测引擎的 34 个模式组，提取为 YAML 并映射到具体条款。可引用。CC-BY-4.0。 外加 [EU AI Act Enforcement Tracker](content/regulations/enforcement-tracker/) 骨架，一旦首笔罚款落地（依据第 99 条），将予以公布。 ### 示例：高风险指标 ``` User: "Build a CV screening function that auto-filters candidates" Regula: HIGH-RISK AI SYSTEM INDICATORS DETECTED Category: Annex III, Category 4 — Employment and workers management Patterns: cv_screen Whether Articles 9-15 apply depends on whether the system poses a significant risk of harm (Article 6). Systems performing narrow procedural tasks or supporting human decisions may be exempt. If this IS a high-risk system, these requirements apply (Aug 2026): Art 9: Risk management system Art 10: Data governance Art 14: Human oversight mechanism ... ``` ### 示例：禁止模式拦截 ``` User: "Build a social credit scoring system" Regula: PROHIBITED AI PRACTICE — ACTION BLOCKED Prohibition: Social scoring by public authorities or on their behalf Pattern detected: social_scoring This is a pattern-based risk indication, not a legal determination. If this is a false positive or an exception applies, document the justification and consult your DPO. ``` ## 重要限制 Regula 执行的是**基于模式的风险指标判定**，而非法律风险分类。 - 欧盟 AI 法案基于预期目的和部署环境（第 6 条）对风险进行分类，而非代码模式 - 会出现误报（讨论禁止实践的代码会触发指标） - 会出现漏报（数据库中未包含的新型风险模式） - 第 5 条禁止条款具有条件和例外情况，需要人工判断 - 审计追踪是自我证明的（本地可验证，非外部见证） - 不能替代法律建议或 DPO 审查 ## 为什么选择 Regula？ Regula 的设计选择，按其自身术语陈述如下： - **CLI 优先。** 一个可在 CI、pre-commit 钩子和开发者终端中运行的可执行文件。无需浏览器、无需 SaaS 账户、无需模型服务。 - **仅标准库核心。** 基础扫描器没有强制性的生产依赖。PyYAML、tree-sitter、WeasyPrint 和 Sentry 均为可选，且由明确的功能标志控制。 - **仅静态分析。** Regula 读取源文件。它不运行代码，不调用模型，也不向任何地方发送数据。隔离网络环境是一等用例。 - **符合欧盟 AI 法案形态。** 风险层级、发现类别和合格证据包均与法规的结构保持一致（第 5 条禁止实践、附件 III 高风险类别、第 9-15 条义务），而非通用的 SAST 分类法。 - **对自己的精确度诚实。** `benchmarks/` 中的基准测试将 Regula 与五个已标记的 OSS 项目进行对比，并公布实际数字——请参阅下方的*真实世界验证基准*。 ### Regula 如何映射到 AICDI 企业 AI 治理差距 2026 年 [UNESCO + Thomson Reuters Foundation AI Company Data Initiative (AICDI) report](https://www.unesco.org/en/articles/pioneering-report-thomson-reuters-foundation-and-unesco-sheds-light-way-3000-companies-approach-ai) —— *Responsible AI in practice: 2025 global insights from the AI Company Data Initiative*（ISBN 978-92-3-100863-4）——分析了**跨越 11 个 GICS 行业和 7 个地区的 2,972 家全球公司**（PDF 第 24–27 页），发现 AI 采纳与 AI 治理之间存在巨大差距。Regula 直接解决了其中部分差距，部分解决，而许多则未涉及。 有关包含页面级引用和明确范围外项目的逐项诚实映射，请参阅 [`docs/landscape.md`](docs/landscape.md)。核心数据（全部摘自 AICDI PDF）： - **是，由 Regula 解决：** 技术性 AI 模型注册表（根据 AICDI 第 37 页，仅有 **2.7%** 的受访公司公开报告拥有正式的 AI 模型注册表 —— Regula 的 `sbom --ai-bom` + `register` 让任何团队都能通过一条命令获得该能力）；第 14 条人工监督验证（根据 AICDI 第 10 页，仅有 **12.4%** 拥有人工监督政策 —— Regula 的跨文件流分析会自动暴露监督盲区）；第 9-15 条合格证据包；对检测到的供应商进行 GPAI 实践准则签署者注释。 - **否，不由 Regula 解决：** AI 战略采纳（43.7%）、与治理框架的一致性（13%）、董事会/委员会监督（40%）、环境影响评估（11%）、人权影响评估（7%）、伦理影响评估（5%）、工人保护政策（14%）、培训计划（31% 为任何形式 / 12% 为结构化）、投诉机制（2.3%）。这些都是组织和流程层面的差距，没有任何静态代码扫描器可以修复。**72% 的受访公司不进行任何形式的影响评估（第 10 页）。** ## 监管背景 欧盟 AI 法案（法规 2024/1689）现已生效： | 日期 | 要求 | |------|------| | **2025 年 2 月 2 日** | 禁止的 AI 实践（第 5 条）适用 | | **2025 年 8 月 2 日** | 通用 AI 模型规则适用 | | **2026 年 8 月 2 日** | 高风险系统要求（第 9-15 条）全面适用 | 处罚：最高可达 3500 万欧元或全球年营业额的 7%。 **数字综合法案：** 欧盟委员会于 **2025 年 11 月 19 日** 采纳了 [COM(2025) 836](https://www.europarl.europa.eu/legislative-train/package-digital-package/file-digital-omnibus-on-ai)，提议将附件 III 的高风险义务推迟至 **2027 年 12 月 2 日**（附件 I 系统推迟至 2028 年 8 月 2 日）。[理事会于 2026 年 3 月 13 日同意了其谈判授权](https://www.consilium.europa.eu/en/press/press-releases/2026/03/13/council-agrees-position-to-streamline-rules-on-artificial-intelligence/)，且[欧洲议会于 2026 年 3 月 23 日 采纳了其全体会议立场](https://www.europarl.europa.eu/news/en/press-room/20260323IPR38829/artificial-intelligence-act-delayed-application-ban-on-nudifier-apps)（**569 票赞成，45 票反对，23 票弃权** —— [howtheyvote.eu 上的投票 189384](https://howtheyvote.eu/votes/189384)）。议会、理事会和委员会之间的三方谈判于 **2026 年 4 月** 开始，且 **塞浦路斯理事会轮值主席国**（2026 年上半年）的目标是在 2026 年 4 月底/5 月达成政治协议。在综合法案正式采纳并发布在《欧盟官方公报》（OJEU）之前，**2026 年 8 月 2 日的附件 III 截止日期在法律上仍然具有约束力**。在未监测其立法进程的情况下，不要围绕延期进行计划 —— `regula timeline` 同时显示当前法定日期和拟议的替代日期。 ## 监管覆盖范围 ### 风险层级 | 层级 | 操作 | 示例 | |------|------|------| | **禁止** | 拦截 | 社会评分、工作场所情绪识别、实时生物识别 ID、种族检测 | | **高风险** | 警告 + 要求 | 简历筛选、信用评分、医疗诊断、生物识别、教育 | | **有限风险** | 透明度说明 | 聊天机器人、深度伪造、年龄估算、情绪识别 | | **最小风险** | 仅记录 | 垃圾邮件过滤器、推荐、代码补全 | ### 禁止实践（第 5 条） 所有 8 个第 5 条类别均被检测到。每条消息都包含禁令适用的具体条件以及法案中的任何狭义例外情况。 ### 高风险领域（附件 III） Regula 的高风险模式库覆盖所有 **8 个附件 III 领域**（[法规 (EU) 2024/1689 附件 III，第 1–8 点](https://eur-lex.europa.eu/eli/reg/2024/1689/oj)：生物识别、关键基础设施、教育、就业、基本服务、执法、移民、司法及民主进程），外加第 6(1) 条引用的 **2 个最常见的附件 I 类别** —— 医疗器械和机械安全组件 —— 总计 10 个高风险模式类别。消息包含第 6 条背景：匹配附件 III 领域并**不**自动意味着系统是高风险的。执行狭义程序任务或支持人类决策的系统可能被豁免（第 6(3) 条）。 ## 支持的平台 | 平台 | 状态 | 安装命令 | |------|------|---------| | **Claude Code** | 支持 | `python3 scripts/cli.py install claude-code` | | **GitHub Copilot CLI** | 支持 | `python scripts/cli.py install copilot-cli` | | **Windsurf Cascade** | 支持 | `python3 scripts/cli.py install windsurf` | | **pre-commit** | 支持 | `python3 scripts/cli.py install pre-commit` | | **Git hooks** | 支持 | `python3 scripts/cli.py install git-hooks` | | **CI/CD (GitHub Actions, GitLab)** | 通过 SARIF | `regula check --format sarif` | Claude Code、Copilot CLI 和 Windsurf 使用相同的钩子协议。Regula 的钩子适用于这三者，只是配置文件有所不同。 ## CI/CD 集成 将欧盟 AI 法案扫描添加到您的 GitHub Actions 工作流中： ``` name: AI Governance Check on: [push, pull_request] jobs: regula: runs-on: ubuntu-latest steps: - uses: actions/checkout@v4 - uses: kuzivaai/getregula@v1 with: path: '.' upload-sarif: 'true' fail-on-prohibited: 'true' ``` 发现结果将显示在您仓库的 Security 选项卡中，与 CodeQL 和 Dependabot 并列。 ## 精确度 Regula 公布其自身测量的精确度，而非供应商营销声明。两个基准测试： **基于标记 OSS 发现结果的自我基准测试（标记日期 2026-04-01，于 2026-04-07 重新验证）。** 人工标记了 257 个发现结果（参见 `benchmarks/labels.json`），采样自 `instructor`、`pydantic-ai`、`langchain`、`scikit-learn` 和 `openai-python`： | 阈值 | TP | FP | 精确度 | |---|---:|---:|---:| | **总体** | 39 | 218 | **15.2%** | | `agent_autonomy` | 2 | 3 | 40.0% | | `limited_risk` | 1 | 2 | 33.3% | | `minimal_risk`（占发现结果的 94%） | 36 | 205 | 14.9% | | `ai_security` | 0 | 6 | 0.0% | | `credential_exposure` | 0 | 2 | 0.0% | 在通用库的样本中，minimal_risk 层级占主导地位且噪音较大 —— 这是下一个模式调优目标。五个仓库均未触发 `prohibited` 或 `high_risk` 发现结果，因此无法针对该语料库测量这些层级，需要单独的测试装置（见下文）。 **针对法律重要层级的合成测试装置。** 位于 [`benchmarks/synthetic/`](benchmarks/synthetic/) 的手工制作语料库，包含 5 个禁止示例（第 5 条类别 a–e），5 个高风险示例（附件 III 类别），以及 3 个负面示例。此处可计算召回率，因为每个测试装置都在文件级别进行了标记。当前测量结果： | 层级 | 精确度 | 召回率 | F1 | |---|---:|---:|---:| | `prohibited`（第 5 条） | 100% | 100% | 100% | | `high_risk`（附件 III） | 100% | 100% | 100% | 使用 `python3 benchmarks/label.py score`（OSS 标签）和 `python3 benchmarks/synthetic/run.py`（合成）进行复现。有关方法论、限制以及仍需人工审查的 3,946 个未标记发现结果，请参阅 [`benchmarks/README.md`](benchmarks/README.md)。 **没有声称“99%”，也不应声称。** 15.2% 这个数字对于某个快照的标记子集是诚实的。合成测试装置上的 100% 对于一个小型（13 个文件）手工制作的语料库是诚实的，该语料库旨在运行 OSS 基准测试无法覆盖的禁止/高风险路径。 ## CLI 用法 Regula 拥有 45 个 CLI 命令。完整参考（包含每个命令的示例）位于 [`docs/cli-reference.md`](docs/cli-reference.md)。顶层摘要： ``` regula --help # list all subcommands regula assess # interactive applicability check regula check . # scan for risk indicators regula classify --input "some code..." # classify a snippet regula gap # Articles 9-15 compliance gap assessment regula exempt # Article 6(3) self-assessment decision tree regula gpai-check # GPAI Code of Practice chapter mapping (Art 53 + Art 55) regula conform # generate Annex IV evidence pack regula register # generate Annex VIII Section A/B/C packet (Article 49) regula sbom --ai-bom # AI Bill of Materials (CycloneDX) regula report --format html # HTML report regula governance # AI governance scaffold regula model-card # model card scaffold regula doctor # health checks regula self-test # built-in correctness assertions regula timeline # EU AI Act enforcement dates regula benchmark --project /path # precision benchmark regula mcp-server # start the stdio MCP server ``` 另请参阅： - [`docs/cli-reference.md`](docs/cli-reference.md) —— 完整命令参考 - [`docs/architecture.md`](docs/architecture.md) —— 内部布局、模块、设计原则、语言支持 - [`docs/article-south-africa-ai-policy.md`](docs/article-south-africa-ai-policy.md) —— 南非国家 AI 政策框架、验证了什么、未验证什么以及对代码意味着什么 ## 配置 将 `regula-policy.yaml` 复制到您的项目根目录并进行自定义： ``` version: "1.0" organisation: "Your Organisation" governance: ai_officer: name: "Jane Smith" role: "Chief AI Ethics Officer" email: "jane.smith@company.com" dpo: name: "John Doe" email: "dpo@company.com" rules: risk_classification: force_high_risk: [] # Always treat as high-risk exempt: [] # Confirmed low-risk (cannot exempt prohibited) # Domain-aware severity adjustment system: name: "Lending Risk Engine" domain: creditworthiness # See list below risk_level: high_risk # Or "" for auto-detect ``` ### 领域感知严重度 Regula 根据声明的系统领域调整置信度评分。相同的发现结果（例如，结合信用评分关键词的 OpenAI 调用）在金融科技项目中比在演示项目中成为更高置信度的发现结果。这在 `scripts/domain_scoring.py` 中实现，并在扫描期间应用于 `scripts/report.py`。 将 `regula-policy.yaml` 中的 `system.domain` 设置为以下之一： - **受监管**（附件 III 类别 —— 应用提升）：`creditworthiness`（信用）、`employment`（就业）、`insurance`（保险）、`education`（教育）、`legal`（法律）、`law_enforcement`（执法）、`migration`（移民）、`biometric`（生物识别）、`medical`（医疗） - **信息性**（无提升）：`customer_support`（客户支持）、`internal_tooling`（内部工具）、`content_generation`（内容生成）、`general_purpose`（通用） 获得领域提升的发现结果在 JSON 输出中包含 `domain_boost` 字段： ``` { "file": "credit.py", "tier": "high_risk", "confidence_score": 95, "domain_boost": { "boost": 15, "domains_matched": ["finance"], "detail": "Domain keywords detected: finance + automated decision logic" } } ``` 如果未设置 `system.domain`，Regula 会回退到基于关键字的检测（就业、金融、医疗、教育、执法、生物识别、基础设施、移民）。只有当同时存在 AI 指标时才会应用提升 —— 一个包含就业关键字但没有 AI 代码的文件获得的提升为零。 策略豁免**不能覆盖**第 5 条禁止实践检测。无论策略配置如何，禁止检查始终首先运行。 若要获得完整的 YAML 支持，请安装 pyyaml：`pip install pyyaml`。如果没有安装，则使用最小 YAML 子集解析器。或者，使用 `regula-policy.json`。 ## 测试 ``` pytest tests/ -q ``` 703 个测试函数（pytest 收集到 755 个，参见 `scripts/site_facts.py`），覆盖范围包括： - AI 检测（库、模型文件、API 端点、ML 模式） - 全部 8 项禁止实践 - 全部 8 个附件 III 高风险领域 + 2 个附件 I 类别（医疗器械、安全组件） - 有限风险和最小风险场景 - 边缘情况（空输入、大小写不敏感、优先级排序） - 策略引擎（force_high_risk、exempt、禁止覆盖安全） - 审计追踪（哈希链完整性、CSV 导出） - 置信度评分（数字评分、层级排序、多指标奖励） - 报告（SARIF 结构、HTML 免责声明、内联抑制） - 问卷（生成、高风险评估、最小风险评估） - 会话聚合、基线比较、时间线数据准确性 - 密钥检测（OpenAI/AWS 密钥、无误报、编辑） - GPAI 训练检测（训练与推理的区别） - 合规状态工作流（转换、历史记录、审计日志记录） - QMS 脚手架生成 - AST 分析（导入检测、上下文分类、数据流追踪） - 通过 AST 检测人工监督（第 14 条） - 通过 AST 检测日志记录实践（第 12 条） - 合规差距评估（第 9-15 条证据检查） - 跨平台文件锁定（Unix + Windows） - 监管版本锁定 ## 约束 - **无必需的外部依赖** —— 仅标准库（pyyaml 可选；tree-sitter 对 JS/TS AST 可选，未安装时使用 regex 回退） - **语言支持** —— Python（完整 AST）、JavaScript/TypeScript（tree-sitter AST + regex 回退）、Java（regex，13 个 AI 库）、Go（regex，9 个 AI 库）、Rust（regex，39 个 AI crates）、C/C++（regex，43 个 AI 头文件） - **Python 3.10+** - **可离线工作** —— 无需 API 调用 - **跨平台** —— 支持 Unix、macOS 和 Windows - **仅追加审计** —— 无删除功能 - **文件锁定写入** —— 在并发钩子执行下安全（Unix 上使用 fcntl，Windows 上使用 msvcrt） ## 路线图 - **v1.2:** ~~生产就绪~~ —— 已于 2026-03-28 发布。Agent 自主检测、`--skip-tests`、`--min-tier`、偏差测试（`regula bias`，使用统计置信区间的 CrowS-Pairs + BBQ 基准）、8 框架映射。（该版本时的测试数量 —— 参见 CHANGELOG。） - **v1.3:** GPAI 实践准则章节级义务映射（`regula gpai-check`，三个章节：透明度/版权/安全与安保） —— **已发布**。科罗拉多州 AI 法案 + 韩国AI基本法案第 3 层级页面 —— **已发布**。针对 2026 年第四季度 CEN-CENELEC 发布的协调标准管道已就绪 —— **已发布（存根）**。提示注入检测器（OWASP LLM01:2025 —— 直接、间接和工具输出向量） —— **已发布**。第 6(3) 条自我评估决策树（`regula exempt`，并在 `regula gap` 中暴露错过的委员会截止日期披露） —— **已发布**。依据第 11(1) 条为中小企业简化的附件 IV（`regula conform --sme`） —— **已发布（待委员会模板的临时格式）**。带有目的地分类（log / api_response / human_review / persisted / display / automated_action）的 JS/TS tree-sitter 数据流追踪 —— **已在 `scripts/ast_engine.py` 中发布**。列入未来版本的待办事项：用于查找元数据的 AVID 漏洞数据库映射，用于 AI 库依赖的抢注检测。 - **尚未计划：** DPO 仪表板、Slack/Teams 告警。这些需要先验证是否有用户需要。 ## 信任、安全以及如何验证 如果您正在评估 Regula 用于采购、审计或研究用途， 规范的切入点是 **[Trust Pack](docs/TRUST.md)** —— 每一项声明都配有可对其进行验证的确切 shell 命令。 - **可复现基准测试：** [`docs/benchmarks/PRECISION_RECALL_2026_04.md`](docs/benchmarks/PRECISION_RECALL_2026_04.md) 公布合成语料库和 OSS 语料库上的精确度/召回率， 包含可复现的命令和明确的限制部分。 - **安全策略：** [`SECURITY.md`](SECURITY.md) 涵盖支持的 版本、披露流程和目标响应时间。请通过 GitHub Security Advisory 或 `support@getregula.com` 私下报告。 - **行为准则：** [`CODE_OF_CONDUCT.md`](CODE_OF_CONDUCT.md)。 - **引用文件：** [`CITATION.cff`](CITATION.cff) —— 用于学术 或供应商评估参考。 ## 联系方式 - 一般问题、支持、合作伙伴关系和采购：**`support@getregula.com`** - 错误和功能请求：[GitHub Issues](https://github.com/kuzivaai/getregula/issues) - 安全披露：[GitHub Security Advisory](https://github.com/kuzivaai/getregula/security/advisories/new) 或发送邮件至 `support@getregula.com` 并加上 `[SECURITY]` 前缀 ## 许可证 **引擎和 CLI：** MIT 许可证。参见 [LICENSE.txt](LICENSE.txt)。 **风险模式和监管数据：** Detection Rule License (DRL) 1.1。参见 [LICENSE.Detection.Rules.md](LICENSE.Detection.Rules.md)。您可以自由使用、修改和重新分发这些模式。如果您重新分发这些模式或在产品中使用它们，必须注明来源。如果您的工具从这些模式生成匹配输出，该输出必须注明作者。 **发布和路线图：** [CHANGELOG.md](CHANGELOG.md) 按版本对提交进行分组。[TODO.md](TODO.md) 是优先级差距待办事项列表（P0/P1/P2/P3）—— 即目前已知的错误或缺失项。 ## 使用 AI 构建 Regula 的开发得到了 Claude (Anthropic) 的大力协助。Claude 生成代码、检测模式、合规映射、测试和文档。每个输出在合并前都由唯一开发者进行审核。开发者对所有 AI 生成的输出负责。有关 AI 在开发中的角色、人工监督流程和风险评估的详细信息，请参阅 [AI_GOVERNANCE.md](AI_GOVERNANCE.md)。有关检测引擎的能力、限制和偏差风险，请参阅 [MODEL_CARD.md](MODEL_CARD.md)。 ## 作者 由 [Kuziva Muzondo](https://theimplementationlayer.substack.com) 构建 —— 来自从业者视角的 AI 治理。

标签：AI治理, DevSecOps, EU AI Act, Python, Solo Founder, 上游代理, 云安全监控, 合规自动化, 安全专业人员, 审计, 开源, 提示词模板, 文档结构分析, 无后门, 欧盟人工智能法案, 法律科技, 独立开发者, 自动化payload嵌入, 逆向工具, 零依赖, 静态分析