Obsidian757/aims-audit-agent

# AIMS Audit Agent — 针对 ISO/IEC 42001:2023 的 agentic 内部审计方法论 **将首席审计师的技能编码为 agent 技能。** 人类首席审计师会进行人员访谈、阅读政策、抽取记录样本并撰写 审计发现。AIMS Audit Agent 负责完成其中结构化、可重复的部分： 它基于 ISO/IEC 42001:2023 运行符合性评估，摄取自动化的 技术测试证据，对观察结果进行分类，并**起草**审计发现。 人类审计师会审查并签署每一项审计发现。该 agent 不做决定、 下结论或进行认证——它只负责分类、路由和记录。 ## 功能说明 人类审计师资源稀缺，且他们的时间成本高昂。大多数内部 AIMS 审计都是结构化、证据驱动且可重复的：逐条梳理每个条款、 收集客观证据、将其映射到具体要求、对差距进行分类， 并以审查者可签署的形式记录下来。AIMS Audit Agent 将 这种首席审计师的能力编码为一套 agent 技能，从而使结构化工作 变得快速且一致，人类的注意力也能集中在真正需要判断的领域—— 即审查与签署环节。 该 agent 还能摄取来自自动化技术测试工具（例如， 用于探测模型是否存在 prompt 注入或数据泄露的 AI 红队测试套件）的证据， 并将这些结果整合到通常由人类审计师手工执行的同一套符合性评估中。 ## 仓库映射 ``` aims-audit-agent/ ├── skills/ # 6 lead-auditor competency skills │ ├── audit-planning/ # scope, objectives, criteria, audit plan │ ├── evidence-collection/ # sampling, interviews, document review, │ │ # technical-test evidence ingestion │ ├── conformity-assessment/ # map evidence to ISO/IEC 42001 requirements │ ├── nonconformity-grading/ # C / OFI / NC-m / NC-M classification │ ├── audit-reporting/ # draft findings + audit report │ └── audit-closure/ # corrective-action tracking, verification ├── crosswalks/ # ISO/IEC 42001 ↔ NIST AI RMF ↔ OWASP LLM mappings ├── checklists/ # reusable audit & audit-readiness templates ├── integrations/ │ └── red-swarm/ # adapter for an automated AI red-team testing tool └── examples/ # end-to-end demonstration walkthroughs ``` 每项技能都是一个独立的运行手册 (`SKILL.md`)，描述了首席审计师能力的 一个切面。它们被设计为按顺序运行——规划、收集、 评估、评级、报告、关闭——但每一项也可以单独调用。 ### 集成：red-swarm 适配器 `integrations/red-swarm/` 是一个用于私有自动化 AI 红队 测试工具的适配器。它将该工具的输出标准化为 `evidence-collection` 技能所需的证据 schema。该适配器刻意设计为通用的：**任何 输出类似 JSON 发现结果的 OWASP 对齐测试工具都可以使用**——只需将 适配器指向其输出，技术测试证据就会像手动收集的证据一样， 流入同一个符合性评估流程中。 ## 方法论对齐 此方法论**镜像**并**映射**了现有的标准和框架。 它不宣称符合、获得认证或获得任何相关认证机构的认可。 - **ISO/IEC 42001:2023** — 审计所围绕的 AI 管理体系 (AIMS) 要求。 技能和检查清单按其条款（4–10）和附录 A 控制措施进行组织。 - **ISO 19011:2018** — 该 agent 的审计执行准则（规划、证据、 客观性、报告）将这一审计管理指南**操作化**。 - **NIST AI RMF** — 交叉映射表将 AIMS 要求**映射**到 Govern、Map、 Measure 和 Manage 功能。 - **OWASP LLM Top 10 (2025)** — 技术测试证据与此 分类法**对齐**，以便红队测试发现结果能清晰地与 AIMS 安全性和 鲁棒性控制措施相关联。 ## 人工介入 (Human-in-the-loop) 这是整个仓库的核心设计约束。 - 该 agent 对观察结果进行**分类**（符合 / 改进机会 / 轻微或严重不符合项）。 - 该 agent 将每份起草的审计发现**路由**给相关负责人进行审查。 - 该 agent **记录**证据、决策和审计轨迹。 - **由人类决策。** 合格的人类审计师会审查并签署每一项审计发现。 审计结论及任何关于审计就绪情况的评估都由人类决定。该 agent 从不最终敲定评级，从不批准某个系统，也从不自行发布 结论。 `checklists/` 中的每个模板都出于这个原因带有签名行： 在人类签署之前，一切都不是最终定稿。 ## 快速开始 1. 阅读本 README 及上方的免责声明。 2. 按顺序浏览 `skills/` 中的六项技能。 3. 演练 [`examples/demo-audit-walkthrough.md`](examples/demo-audit-walkthrough.md) 中的端到端示例。 4. 将 `checklists/` 中的相关模板复制到您自己的审计工作区中。 5. 运行内部审计 / 审计就绪审查——并由人类审计师 审查并签署每一项审计发现。 ## 关于 由 **12th House AI** 构建——这是一家位于 弗吉尼亚州切萨皮克的退伍军人所有的 AI 治理机构。我们帮助组织将负责任的 AI 治理操作化，并为外部审查做准备。 相关的概念验证 (proof-of-work) 仓库： [github.com/Obsidian757/ai-governance-framework](https://github.com/Obsidian757/ai-governance-framework)。 ## 许可证 基于 **Apache License, Version 2.0** 获得许可。完整文本请参阅 [`LICENSE`](LICENSE)。

标签：AI智能体, DLL 劫持, Homebrew安装, ISO/IEC 42001, 内部审计, 合规评估, 大语言模型, 对称加密, 自动化审计