治理 Govern
AIAM + 4 框架合規報告
今天:audit-logger.ts(143 行,完整實作)· admin 儀表板 pagination/filter · client_keys table · OWASP Agentic Top 10 對應 10/10 類別、77 條規則連結 · 2026 Q2:4 框架合規報告 · 2026 Q3:AIAM + SOC2 Type 1 認證目標。
這一層做什麼
L7 治理是合規團隊與稽核員看的東西。今天:每個 admin 動作的稽核日誌(actor、IP、時間戳)、client key 註冊 + 撤銷、OWASP Agentic Top 10 對應。2026 Q2:`pga report --framework <name>` 產出 EU AI Act、Colorado AI Act、NIST AI RMF、ISO 42001 的每條規則對應報告。2026 Q3:AIAM — agent 身分、scope、委派。
為什麼需要
EU AI Act 2026-08-02 強制執行。Colorado AI Act 2026-06-01。F500 RFP 要的是每條規則對應框架的 mapping,不只是「我們有掃」。稽核員要「偵測到事件 → 觸發規則 → 控制條文」的路徑。合規團隊要 SOC2 Type II 認證。我們公開誠實時程並承諾做到。
技術做法
今天:threat-cloud/src/audit-logger.ts 加上 audit_log SQLite migration v2-v3。2026 Q2:ATR 規則加 `compliance:` metadata block;`pga report` 讀規則 YAML + TC 稽核日誌,產 Markdown / PDF 報告。2026 Q3:AIAM package(panguard-auth)— OAuth 2.0 device flow、JWT issue/verify、policy evaluator。
立即試用
今天就檢查感測器註冊與稽核日誌狀態:
pga sensor status這一層攔下的攻擊
具體威脅,具體對策
未授權 admin 動作
高稽核日誌記下每次規則 create / delete / proposal approve 的 actor + IP — 即便 admin 帳號被劫持,鑑識 trail 仍保留。
合規認證缺口
中沒有每條規則的框架對應,稽核員無法驗證 EU AI Act Article 9 風險控制 → 2026 Q2 修。