
# Etický monitorovací motor biasu pro dotazníky o zabezpečení v reálném čase

## Proč je bias důležitý u automatizovaných odpovědí na dotazníky  

Rychlé přijetí nástrojů řízených AI pro automatizaci bezpečnostních dotazníků přineslo bezprecedentní rychlost a konzistenci. Každý algoritmus však zdědí předpoklady, rozložení dat a designová rozhodnutí svých tvůrců. Když se tyto skryté preference projeví jako **bias**, mohou:

1. **Deformovat důvěryhodná skóre** – Dodavatelé z určitých regionů nebo odvětví mohou získat systematicky nižší skóre.  
2. **Zkreslovat prioritu rizik** – Rozhodující mohou alokovat zdroje na základě zkreslených signálů, čímž organizaci vystavují skrytým hrozbám.  
3. **Oslabit důvěru zákazníků** – Stránka s důvěryhodností, která upřednostňuje určité dodavatele, může poškodit pověst značky a přitáhnout regulační dozor.

Včasná detekce biasu, vysvětlení jeho kořenové příčiny a automatické provedení nápravy jsou klíčové pro zachování spravedlnosti, regulatorní shody a kredibility platforem pro shodu poháněných AI.

## Hlavní architektura Etického monitorovacího motoru biasu (EBME)

EBME je postaven jako **plug‑and‑play mikro‑služba**, která leží mezi generátorem AI odpovědí a následným výpočtem důvěryhodného skóre. Jeho vysoká úroveň toku je znázorněna v diagramu Mermaid níže:

```mermaid
graph TB
    A["Příchozí AI‑generované odpovědi"] --> B["Vrstva detekce biasu"]
    B --> C["Zpráva vysvětlitelné AI (XAI)"]
    B --> D["Engine pro nápravu v reálném čase"]
    D --> E["Upravené odpovědi"]
    C --> F["Dashboard biasu"]
    E --> G["Služba důvěryhodného skóre"]
    F --> H["Auditoři shody"]
```

### 1. Vrstva detekce biasu  

- **Kontroly parity po znacích**: Porovnání rozložení odpovědí napříč atributy dodavatele (region, velikost, odvětví) pomocí testů Kolmogorova‑Smirnova.  
- **Modul spravedlnosti grafových neuronových sítí (GNN)**: Využívá znalostní graf, který propojuje dodavatele, politiky a otázky dotazníku. GNN se učí embeddingy, které jsou *odbiasované* pomocí adversariálního tréninku, kde diskriminátor se snaží předpovědět chráněné atributy z embeddingů, zatímco enkóder je snaží skrýt.  
- **Statistické prahy**: Dynamické prahy se přizpůsobují objemu a variabilitě příchozích požadavků, čímž zabraňují falešným poplachům během období s nízkým provozem.

### 2. Zpráva vysvětlitelné AI (XAI)  

- **SHAP Edge Attribution**: Pro každou označenou odpověď jsou vypočítány SHAP hodnoty na hranových vahách GNN, aby se odhalilo, které vztahy nejvíce přispěly k bias skóre.  
- **Narrativní souhrny**: Automaticky generované české vysvětlení (např. „Nižší hodnocení rizika pro Dodavatele X je ovlivněno historickým počtem incidentů, které korelují s jeho geografickým regionem, nikoli s reálnou úrovní kontrol.“) je uloženo v neměnné auditní stopě.

### 3. Engine pro nápravu v reálném čase  

- **Bias‑aware přepočet**: Aplikuje korekční faktor na surovou AI důvěru, odvozený od velikosti bias signálu.  
- **Regenerace promptu**: Odesílá vylepšený prompt zpět do LLM s explicitním pokynem „ignorovat regionální rizikové proxy“ při novém hodnocení odpovědi.  
- **Zero‑Knowledge Proofs (ZKP)**: Když krok nápravy mění skóre, generuje se ZKP, který dokazuje úpravu, aniž by odhalil podkladová data, čímž vyhovuje auditům citlivým na soukromí.

## Datová pipeline a integrace znalostního grafu  

EBME načítá data ze tří hlavních zdrojů:

| Zdroj | Obsah | Frekvence |
|------|-------|-----------|
| Úložiště profilů dodavatelů | Strukturované atributy (region, odvětví, velikost) | Událost‑driven |
| Repozitář politik a kontrol | Textové klauzule politik, mapování na otázky dotazníku | Denní synchronizace |
| Protokol incidentů a auditů | Historické bezpečnostní incidenty, výstupy auditů | Streamování v reálném čase |

Všechny entity jsou reprezentovány jako uzly v **property graph** (Neo4j nebo JanusGraph). Hrany zachycují vztahy jako *„implementuje“*, *„porušuje“* a *„odkazuje na“*. GNN operuje přímo na tomto heterogenním grafu, což umožňuje detekci biasu s ohledem na **kontextové závislosti** (např. historie shody dodavatele ovlivňující odpovědi na otázky o šifrování dat).

## Kontinuální smyčka zpětné vazby  

1. **Detekce** → 2. **Vysvětlení** → 3. **Náprava** → 4. **Auditní revize** → 5. **Aktualizace modelu**  

Po schválení nápravy auditorem systém zaznamená rozhodnutí. Periodicky **meta‑learning modul** pře‑trénuje GNN a strategii promptování LLM pomocí těchto schválených případů, čímž zajišťuje, že logika mitigace biasu roste společně s apetitem organizace k riziku.

## Výkon a škálovatelnost  

- **Latence**: End‑to‑end detekce a náprava biasu přidá ~150 ms na položku dotazníku, což je dobře pod sub‑sekundní [SLA](https://www.ibm.com/think/topics/service-level-agreement) většiny SaaS platforem pro shodu.  
- **Propustnost**: Horizontální škálování pomocí Kubernetes umožňuje zpracovat >10 000 souběžných položek díky stateless designu mikro‑služby a sdíleným snímkům grafu.  
- **Náklady**: Využitím **edge inference** (TensorRT nebo ONNX Runtime) pro GNN zůstává využití GPU pod 0,2 GPU‑hodin na milion položek, což poskytuje skromný provozní rozpočet.

## Reálné případy použití  

| Odvětví | Projev biasu | Akce EBME |
|----------|--------------|-----------|
| FinTech | Přehnané penalizování dodavatelů z rozvíjejících se trhů kvůli historickým podvodům | Upravené embeddingy GNN, korekce skóre podložená ZKP |
| HealthTech | Upřednostňování dodavatelů s certifikací [ISO 27001](https://www.iso.org/standard/27001) bez ohledu na skutečnou úroveň kontrol | Regenerace promptu, která vyžaduje důkazní odůvodnění |
| Cloud SaaS | Metričky regionální latence nenápadně ovlivňují odpovědi na otázku „dostupnost“ | SHAP‑driven narrative, který zvýrazní nesouvisející korelaci |

## Governance a souladu s předpisy  

- **EU AI Act**: EBME splňuje požadavky na dokumentaci “high‑risk AI systems” poskytováním sledovatelných hodnocení biasu ([EU AI Act Compliance](https://digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai)).  
- **ISO 27001** Annex A.12.1: Prokazuje systematické zacházení s riziky pro procesy řízené AI ([ISO/IEC 27001 Information Security Management](https://www.iso.org/isoiec-27001-information-security.html)).  
- **SOC 2** Trust Services Criteria – CC6.1 (System changes) je splněno pomocí neměnných auditních logů úprav biasu ([SOC 2](https://secureframe.com/hub/soc-2/what-is-soc-2)).

## Kontrolní seznam implementace  

1. **Zajistěte property graph** s uzly dodavatelů, politik a incidentů.  
2. **Nasadíte modul spravedlnosti GNN** (PyTorch Geometric nebo DGL) za REST endpoint.  
3. **Integrujete XAI Reporter** přes SHAP knihovny; ukládejte narrativy do write‑once ledger (např. Amazon QLDB).  
4. **Nakonfigurujete Engine pro nápravu** tak, aby volal váš LLM (OpenAI, Anthropic, atd.) s bias‑aware prompty.  
5. **Nastavíte generování ZKP** pomocí knihoven jako `zkSNARKs` nebo `Bulletproofs` pro audit‑připravené důkazy.  
6. **Vytvoříte dashboardy** (Grafana + Mermaid) pro zobrazení metrik biasu pro týmy shody.  

## Budoucí směry  

- **Federated Learning**: Rozšířit detekci biasu na více tenantních prostředí bez sdílení surových dat o dodavatelích.  
- **Multimodální důkazy**: Začlenit naskenované PDF politik a video‑attsutace do grafu, čímž se obohatí kontext spravedlnosti.  
- **Automatické těžení regulací**: Vstřikovat změny regulací (např. z RegTech API) do grafu, aby se předvídaly nové vektory biasu dříve, než se objeví.

---

## Viz také  

* *(Žádné další odkazy)*