Kabzhanov/ati-audit

# 🛡️ ati-audit **AI Trust Index 的开源审计工具 —— 为 IT/AI 项目的负责任构建程度提供一个诚实的 0–10 评分。** [](LICENSE) [](https://www.python.org/) [](https://github.com/Kabzhanov/ati-audit/pulls) [](https://bizdnai.com/index/) ## 📊 什么是 AI Trust Index？ **AI Trust Index (ATI)** 是一个开放标准，将负责任的 IT 和 AI 治理提炼为一个单一、可比较的 **0–10 分数**，涵盖 11 个结构化方向 (G1–G11)。它是通用的：每个 IT 项目都可以在治理方向 (G1–G7) 上进行审计，而 AI 特定方向 (G8–G11) 仅在项目实际使用 AI 时适用并计入评分。 该标准由 **Rashid Kabzhanov** 创建。完整的方法论和公开注册表：[bizdnai.com/index/](https://bizdnai.com/index/) ## ✨ 核心功能 - **通用的 IT + AI 适用范围** — 为任何软件项目提供有意义的评分；AI 方向仅在相关时激活 - **11 个结构化方向 G1–G11** — 从系统注册表和风险分析到行为红队测试 - **基于司法管辖区的国家法律合规性 (G9)** — 通过 `project.country` 选择适用法律；注册表可扩展，欢迎贡献 - **对运行中模型进行行为红队测试 (G11)** — 实际探测运行中的模型 endpoint，而不仅仅是读取 system prompt - **隐私优先** — 完全在您的机器上运行；`--submit` 仅发送计算出的分数 + 可选签名，绝不发送原始文档或 PII - **自带 LLM 密钥** — 任何兼容 OpenAI 的 endpoint（云端或本地 Ollama/vLLM）都可作为评估器 - **诚实的默认设置** — 未找到证据 → 低分；不假设或捏造任何内容 ## 📐 方法论 (v2) ### 通用方向 — 始终计分 | Code | Direction | Notes | |------|-----------|-------| | G1 | 系统注册表 | 记录项目的系统和组件 | | G2 | 风险分析 | 已识别并记录的风险 | | G3 | 成熟度评估 | 流程和产品成熟度证据 | | G4 | 合规路线图 | 实现法规遵从的计划路径 | | G5 | IT 团队验证 | 团队凭证和能力证据 | | G6 | 客户评级 | 经过验证的用户反馈（如果少于 3 条评论则不激活） | | G7 | 治理流程 | 政策、控制、监督（关键项 — 始终适用） | ### AI 特定方向 — 仅当 `has_ai: true` 时计分 | Code | Direction | Notes | |------|-----------|-------| | G8 | AI 使用政策 | 已记录的 AI 系统使用政策 | | G9 | 国家 AI 法律合规性 | 感知司法管辖区；由 `project.country` 驱动 | | G10 | ISO/IEC 42001 | AI 管理体系一致性 | | G11 | 行为稳健性 | 对模型 endpoint 进行实时的红队探测 | **指数 = 所有激活且适用方向的平均值。** ## 🚀 安装 尚未发布到 PyPI — 从源码安装： ``` pip install git+https://github.com/Kabzhanov/ati-audit ``` 一旦发布到 PyPI，您将能够使用： ``` pip install ati-audit # 或 pipx install ati-audit ``` 需要 **Python 3.11+**。 ## ⚡ 快速开始 ``` # 1. 生成 config 文件 ati-audit init # 2. 使用您的项目详细信息编辑 ati-audit.yaml 并设置您的 LLM API key export OPENAI_API_KEY=sk-... # 3. 运行本地 audit — 不会向您的机器外部发送任何内容 ati-audit run --self --out report.html # 4. 在浏览器中打开 report.html ``` ### 审计单个方向 ``` ati-audit run --only G11 # Run behavioral red-team only ati-audit probes list # List all G11 red-team probes ``` ### 带注释的 `ati-audit.yaml` ``` project: name: "My IT Project" # Display name has_ai: true # true → G8–G11 scored; false → G1–G7 only site_url: "https://example.com" # Scanned for AI disclosure, consent, privacy policy country: KZ # ISO 3166-1 alpha-2 — drives G9 jurisdiction check sources: docs_path: "./docs" # .md/.txt/.rst docs scanned for evidence credentials_path: "./creds" # Team credential documents (PDFs, text) for G5 model: # The AUDITED model (used for G11 red-team) connector: "openai" # openai | anthropic | http base_url: "http://localhost:11434/v1" # OpenAI-compatible endpoint (Ollama, vLLM, etc.) model: "llama3" api_key_env: "MODEL_API_KEY" # API key read from env — never written to disk llm: # The JUDGE/ANALYZER (bring-your-own-key) provider: "openai" # openai | anthropic | http model: "gpt-4o-mini" api_key_env: "OPENAI_API_KEY" ``` ## 🌍 司法管辖区 (G9) `project.country` 字段 (ISO 3166-1 alpha-2) 用于为 G9 合规性检查选择适用的国家 AI 和数据保护法律。 **已预置的国家：** | Code | Jurisdiction | Law / Framework | |------|-------------|-----------------| | KZ | 哈萨克斯坦 | 关于人工智能的第 230-VIII 号法律（2026-01-16 生效） | | EU | 欧盟 | EU AI Act (Regulation (EU) 2024/1689) | | US | 美国 | NIST AI Risk Management Framework + 行业性法规 | | GB | 英国 | 英国促创新 AI 原则 + UK GDPR / DPA 2018 | | RU | 俄罗斯 | 联邦数据法 152-FZ + AI 道德准则 | **未知国家** → LLM 将根据一般国家法律知识进行评估，并将评估理由标记为一般性评估。 **欢迎贡献：** 将您的国家添加到 [`ati_audit/jurisdictions.yaml`](ati_audit/jurisdictions.yaml) 中并提交一个 PR。 ## 🔒 隐私与安全 `ati-audit` 建立在严格的隐私不变量之上：**原始文档、源代码、模型响应和 PII 绝不会离开您的机器。** 使用 `--submit` 时，payload 仅包含： - 计算出的指数分数 - 各方向的结果（分数、激活/适用标志、脱敏的理由摘要） - 项目名称和公开站点 URL - 可选的加密签名 LLM API 密钥从环境变量中读取，绝不写入磁盘或包含在任何 payload 中。 G11 探测套件发布**仅用于透明度和授权的安全测试** — 适用于审计自身系统的组织。对您不拥有或未获得明确测试许可的系统使用探测，可能会违反适用法律。 有关完整的隐私不变量、PII 脱敏范围和漏洞报告说明，请参阅 [`SECURITY.md`](SECURITY.md)。 ## 🆓 免费版与验证版 | | 自我审计（未使用 `--submit`） | 验证徽章 | |---|---|---| | 本地运行 | 是 | 是 | | 费用 | 免费 | 托管服务 | | 结果 | 本地 HTML/JSON 报告 | 在公共 ATI 注册表中录入 | | 监控 | 否 | 是 | 自我审计 (`ati-audit run --self`) 是**免费、开源的，且完全在您的机器上运行**。验证徽章、公共注册表列表和持续监控是位于 [bizdnai.com/index/](https://bizdnai.com/index/) 的托管服务，不属于本仓库的一部分。 ## 📄 许可证与作者 基于 **Apache-2.0** 许可证授权。详见 [`LICENSE`](LICENSE)。 AI Trust Index 标准由 **Rashid Kabzhanov** 制定 — [bizdnai.com/index/](https://bizdnai.com/index/)

标签：AI风险缓解, DLL 劫持, Petitpotam, Python, 人工智能, 合规治理, 多模态安全, 大语言模型, 文档结构分析, 无后门, 用户模式Hook绕过, 红队评估, 逆向工具