# Objašnjivi AI sustav za značke povjerenja za ocjene dobavljača u stvarnom vremenu

## Zašto su značke povjerenja važne u modernoj nabavi

U brzom svijetu nabave SaaS‑a, kupci često moraju proći kroz desetke upitnika dobavljača prije nego što se potpiše jedini ugovor. **Značka povjerenja** — vizualni indikator koji sažima sigurnosnu posture dobavljača — može dramatično ubrzati proces donošenja odluke. Značke djeluju kao kratki zapis složenih procjena rizika, omogućujući timovima nabave da u sekundi filtriraju dobavljače visokog rizika.

Međutim, porast **AI‑pogonjenih sustava za ocjenjivanje** donio je novi izazov: **neprozirnost**. Donositelji odluka ne osjećaju povjerenje u značku kada ne mogu vidjeti *kako* je izračunata temeljna ocjena. Regulatorni okviri poput [SOC 2](https://secureframe.com/hub/soc-2/what-is-soc-2), [ISO 27001](https://www.iso.org/standard/27001) i sveprisutnih smjernica o AI‑etičnosti sada zahtijevaju **objašnjivost** za automatizirane odluke o riziku. Tu dolazi do izražaja **Objašnjivi AI sustav za značke povjerenja**.

## Osnovni pojmovi

| Pojam | Opis |
|-------|------|
| **Grafovski neuronski sustavi (GNN‑ovi)** | Neuronski modeli koji izravno rade na podacima strukturiranim kao graf, hvatajući odnose između dobavljača, ugovora, certifikata i incidenata. |
| **Objašnjiva AI (XAI)** | Tehnike koje otkrivaju razloge iza izlaza modela, npr. SHAP‑vrijednosti, GNNExplainer ili kontra‑faktualni grafovi. |
| **Ocjenjivanje u stvarnom vremenu** | Kontinuirano prihvaćanje tokova događaja (npr. novi sigurnosni incidenti, promjene politika) kako bi se ocjene i značke osvježile odmah. |
| **Značka povjerenja** | Kompaktni vizualni artefakt (ikona + ocjena + kratko obrazloženje) prikazan na profilima dobavljača, stranicama povjerenja ili u popisima tržišta. |

## Pregled arhitekture

Dolje je prikazana visoko‑razina dijagrama cjelokupnog sustava. Kombinira unos podataka, znanstveni graf, GNN sustav za ocjenjivanje, XAI sloj i uslugu generiranja značaka.

```mermaid
graph LR
    A["Tok događaja (Sigurnosni incidenti, Promjene politika)"] --> B["Procesor streama (Kafka/Flink)"]
    B --> C["Real‑Time skladište znanstvenog grafa (Neo4j)"]
    C --> D["GNN usluga za ocjenjivanje"]
    D --> E["Sloj objašnjivosti (GNNExplainer)"]
    E --> F["Usluga generiranja značaka"]
    F --> G["Stranica povjerenja dobavljača"]
    D --> H["Persistencija ocjena (Time‑Series DB)"]
    H --> I["Usluga revizije usklađenosti"]
    subgraph Edge Layer
        J["Rubni čvor (Low‑Latency osvježavanje ocjena)"] --> D
    end
```

### Prolaz podataka korak po korak

1. **Tok događaja** – Sigurnosna upozorenja, nalazi revizija i revizije politika ulaze u platformu za visoku propusnost (Kafka ili Pulsar).  
2. **Procesor streama** – Real‑time obogaćivanje (npr. provjera reputacije IP‑a) normalizira događaje i zapisuje ih u **znanstveni graf**.  
3. **Skladište znanstvenog grafa** – Čvorovi predstavljaju dobavljače, certifikate, ugovore i incidente; veze hvataju odnose poput „snabdijeva“, „dijeli podatke s“ i „prekršio“.  
4. **GNN usluga za ocjenjivanje** – Graf‑konvolucijska mreža (GCN) ili graf‑attentivna mreža (GAT) obrađuje graf kako bi izračunala **ocjenu rizika** za svakog dobavljača.  
5. **Sloj objašnjivosti** – Korištenjem **GNNExplainer**, izvlačimo najutjecajniji pod‑graf i doprinose značajki koji su doveli do ocjene.  
6. **Usluga generiranja značaka** – Kombinira ocjenu, koncizno tekstualno objašnjenje i vizualne indikatore (boja, ikona) u **značku povjerenja**.  
7. **Stranica povjerenja dobavljača** – Značka se isporučuje putem CDN‑a, automatski se osvježava kad god se podslijedi ocjena promijeni.  
8. **Usluga revizije usklađenosti** – Pohranjuje cjelokupno objašnjenje i porijeklo za revizijske tragove, ispunjavajući regulatorne zahtjeve za transparentnošću.

## Grafovski neuronski sustavi za rizik dobavljača

### Zašto GNN‑ovi?

Tradicionalni tablični modeli tretiraju svakog dobavljača kao neovisni red, zanemarujući bogatu mrežu međudobavljačkih odnosa. GNN‑ovi briljiraju u:

- **Hvatanju indirektnog izlaganja riziku** (npr. podizvođač dobavljača doživljava proboj).  
- **Učenju iz strukturnih uzoraka** (npr. klasteri dobavljača koji dijele zajednički podatkovni centar).  
- **Prilagođavanju evoluirajućim topologijama** kako se dodaju novi ugovori ili incidenti.

### Odabir modela

| Model | Prednosti | Tipični slučaj uporabe |
|-------|-----------|------------------------|
| **GCN (Graf‑konvolucijska mreža)** | Brzo treniranje, dobro za homogeno grafove | Osnovno ocjenjivanje rizika s ograničenim tipovima veza |
| **GAT (Graf‑attentivna mreža)** | Uči težine važnosti po vezi | Heterogeni grafovi s različitom snagom odnosa |
| **RGCN (Relacijski GCN)** | Čisto rukuje višestrukim tipovima veza | Kompleksni regulatorni grafovi (npr. SOC 2, GDPR, ISO 27001) |

U praksi, **dvoslojni GAT** često pruža najbolju ravnotežu između točnosti i interpretabilnosti za grafove rizika dobavljača.

## Tehnike objašnjivosti

### GNNExplainer

GNNExplainer identificira **mini‑graf** i podskup značajki čvora koji najviše utječu na predviđanje ciljnog čvora. Izlaz je kompaktan pod‑graf koji se može izravno prikazati u tooltipu značke.

```mermaid
graph TD
    A["Ciljni dobavljač"] --> B["Incidenčna veza (Proboj podataka)"]
    A --> C["Veza certifikata (ISO 27001)"]
    B --> D["Čvor uzroka (Treća‑strana softver)"]
    C --> E["Čvor usklađenosti (Revizija odobrena)"]
    style B fill:#ffdddd,stroke:#ff0000,stroke-width:2px
    style C fill:#ddffdd,stroke:#00aa00,stroke-width:2px
```

Crvena veza naglašava nedavni proboj koji je doprinio **‑30 bodova** ocjeni, dok zelena veza prikazuje ISO 27001 certifikat koji doprinosi **+20 bodova**. Ova vizualna logika prikazuje se kada korisnik pređe mišem preko značke.

### SHAP za značajke čvora

Za objašnjenja na razini značajki (npr. „Broj otvorenih tiketa visokog priorитета“, „Prosječno vrijeme otklanjanja“), izračunavaju se **SHAP‑vrijednosti** po čvoru. Tri najvažnija doprinosa prikazana su kao točke ispod značke:

- **Otvoreni tiketi visokog priorитета:** –15 bodova  
- **Prosječno vrijeme zakrpe < 24 h:** +10 bodova  
- **Usklađenost s rezidencijom podataka:** +5 bodova  

## Cjevovod ocjenjivanja u stvarnom vremenu

| Faza | Tehnologija | Cilj latencije |
|------|-------------|----------------|
| Unos | Kafka + Flink | < 1 s |
| Ažuriranje grafa | Neo4j Streams | < 500 ms |
| Ocjenjivanje | PyTorch‑Geometric (GPU) | 200 ms po batchu |
| Objašnjivost | GNNExplainer (CPU) | 100 ms |
| Rendering značke | Node.js + SVG | < 50 ms |
| Distribucija CDN | CloudFront / Akamai | < 1 s |

Niska latencija je ključna: ako se zabilježi incident visokog prioriteta, značka dobavljača treba odmah (u sekundi) spustiti ocjenu, sprječavajući donošenje odluka na temelju zastarjelih podataka.

## Poboljšanja usmjerena na privatnost

1. **Diferencijalna privatnost:** Dodavanje kalibriranog šuma na agregirane značajke čvora osigurava da se pojedinačni detalji incidenta ne mogu rekonstruirati iz značke.  
2. **Federirano učenje:** Kada više SaaS‑providera dijeli zajednički graf, treniranje se može izvoditi lokalno na svakom rubnom čvoru, a razmjenjuju se samo ažuriranja modela. To smanjuje kretanje podataka i zadovoljava zahtjeve o lokalitetu podataka.  
3. **Zero‑Knowledge Proof (ZKP):** ZKP može potvrditi da značka ispunjava politiku (npr. „ocjena > 70”) bez otkrivanja podataka podgrafa, što je korisno u povjerljivim pregovorima s dobavljačima.

## Prednosti za dionike

| Dionik | Dostavljena vrijednost |
|--------|------------------------|
| **Timovi nabave** | Trenutno vizualno povjerenje, smanjenje vremena na upitnike s dana na minute. |
| **Urednici usklađenosti** | Potpun revizijski trag, objašnjenje razloga, usklađenost s [GDPR‑om](https://gdpr.eu/) i AI‑etičkim mandatima. |
| **Dobavljači** | Transparentna povratna informacija, mogućnosti za poboljšanje specifičnih faktora rizika. |
| **Sigurnosni lideri** | Kontinuirano praćenje, rano otkrivanje izloženosti lanca opskrbe. |

## Plan implementacije

1. **Modeliranje podataka** – Definirajte tipove čvorova (Dobavljač, Certifikat, Incident, Ugovor) i semantiku veza. Popunite početni graf iz postojećih repozitorija politika i vanjskih izvora.  
2. **Odabir GNN arhitekture** – Prototipirajte GCN, GAT i RGCN; benchmarkajte na povijesnim podacima o incidentima; odaberite model s najboljim ROC‑AUC i ocjenom objašnjivosti.  
3. **Izgradnja sloja objašnjivosti** – Integrirajte GNNExplainer; pohranite pod‑grafove i SHAP‑vrijednosti u laganu key‑value pohranu (Redis).  
4. **Razvoj usluge značaka** – Dizajnirajte SVG predloške s kodiranjem boja (zeleno = nizak rizik, crveno = visok rizik). Upotrijebite serverless funkciju (AWS Lambda) za sastavljanje podataka o značci po zahtjevu.  
5. **Implementacija real‑time cjevovoda** – Konfigurirajte Kafka topike, Flink zadatke i Neo4j Streams. Postavite nadzor (Prometheus + Grafana) za SLA‑e latencije.  
6. **Hardening sigurnosti** – Omogućite TLS svugdje, RBAC na Neo4j i aktivirajte diferencijalnu privatnost na agregatima značajki.  
7. **Pilot i iteracije** – Pokrenite pilot s 10 dobavljača, prikupite povratne informacije o jasnoći značke, doradite formulacije objašnjenja i kalibrirajte pragove ocjena.  

## Praktičan scenarij: Brz odgovor na incident

*Tvrtka X* prima **zero‑day exploit** koji pogađa popularnu SaaS platformu. U roku od nekoliko minuta, sigurnosni tim objavljuje incident na platformu za streaming. Graf se ažurira i povezuje exploit sa svim dobavljačima koji integriraju pogođenu komponentu. GNN usluga ponovno izračunava ocjene, a **značka povjerenja za Dobavljača Y** pada s **Gold (85 bodova)** na **Amber (62 bodova)**. Tooltip značke prikazuje:

- **Incidenčna veza:** „Zero‑day exploit na zajedničkoj komponenti“ (**‑30 bodova**)  
- **Veza certifikata:** „ISO 27001 (aktivno)“ (**+20 bodova**)  
- **Značajka:** „Otvoreni tiketi = 3“ (**‑5 bodova**)  

Nabava otkazuje tekuću obnovu ugovora s Dobavljačem Y, čime tvrtku štiti od potencijalnih troškova proboja.

## Smjerovi za budućnost

- **Kontinuirano učenje:** Uvesti reinforcement learning gdje povratna informacija o značci (npr. prigovori dobavljača, rezultat revizije) prilagođava težine modela.  
- **Standardizacija preko industrija:** Doprinos otvorenom **Specifikaciji znački povjerenja (TBS)** koja bi omogućila prenosivost značaka između različitih tržišta.  
- **Višemedijski dokazi:** Spojiti tekstualne dokumente politika, logove i čak screenshotove koristeći vizualno‑jezične modele za obogaćivanje značajki čvorova.  
- **Implementacije na rubu (edge‑native):** Pokrenuti cijeli cjevovod na edge uređajima za ultra‑nisku latenciju u on‑premise podatkovnim centrima.  

## Zaključak

**Objašnjivi AI sustav za značke povjerenja** premošćuje jaz između sofisticiranog ocjenjivanja rizika i ljudske potrebe za transparentnošću. Korištenjem grafovskih neuronskih mreža, XAI tehnika i real‑time streaminga, organizacije mogu izdavati pouzdane značke koje ne samo da ubrzavaju nabavu, već i zadovoljavaju stroge regulatorne zahtjeve. Prikazana arhitektura pruža plan za izgradnju sustava značaka koji raste zajedno s promjenjivim prijetnjama, osiguravajući da je svaka ocjena dobavljača **točna** i **odgovorna**.