# Paaiškinama AI Pasitikėjimo Ženklo Sistema Realiojo Laiko Tiekėjų Įvertinimams

## Kodėl Pasitikėjimo Ženklai Yra Svarbūs Šiuolaikiniame Pirkime

Greitai besikeičiančiame SaaS pirkimo pasaulyje pirkėjai dažnai susiduria su dešimtimis tiekėjų klausimynų prieš pasirašant vieną sutartį. **Pasitikėjimo ženklo** – vizualinio indikatorius, apibendrinantis tiekėjo saugumo poziciją – gali ženkliai pagreitinti sprendimų priėmimo procesą. Ženklais supaprastinamos sudėtingos rizikos vertės, leidžiant pirkimų komandoms per kelias sekundes išfiltruoti didelės rizikos tiekėjus.

Tačiau **AI varomų įvertinimo sistemų** augimas atnešė naują iššūkį: **opaktumas**. Sprendimų priėmėjai nepasitiki ženklais, kai nemato, *kaip* buvo gautas pagrindinis įvertinimas. Reguliavimo sistemos, tokios kaip [SOC 2](https://secureframe.com/hub/soc-2/what-is-soc-2), [ISO 27001](https://www.iso.org/standard/27001) ir besiformuojančios AI etikos gairės, dabar reikalauja **paaiškinamumo** automatizuotiems rizikos sprendimams. Čia tampa būtina **Paaiškinama AI Pasitikėjimo Ženklo Sistema**.

## Pagrindinės Sąvokos

| Sąvoka | Aprašymas |
|--------|-----------|
| **Grafų Neuroniniai Tinklai (GNN)** | Neuroniniai modeliai, veikiantys tiesiogiai ant grafų struktūros duomenų, fiksuojantys santykius tarp tiekėjų, sutarčių, sertifikatų ir incidentų. |
| **Paaiškinama AI (XAI)** | Technikos, kurios atskleidžia modelio išvesties pagrindimą, pvz., SHAP reikšmes, GNNExplainer arba kontrafaktinius grafus. |
| **Realiojo Laiko Įvertinimas** | Nuolatinis įvykių srautų (pvz., naujų saugumo incidentų, politikos atnaujinimų) įsisavinimas, kad įvertinimai ir ženklai atsinaujintų akimirksniu. |
| **Pasitikėjimo Ženklas** | Kompaktiškas vizualinis elementas (piktograma + įvertinimas + trumpas pagrindimas), rodomas tiekėjų profiliuose, pasitikėjimo puslapiuose arba rinkos vietose. |

## Architektūros Apžvalga

Žemiau pateikiama aukšto lygio sistema, apimanti duomenų įsisavinimą, žinių grafiką, GNN įvertinimo variklį, XAI sluoksnį ir ženklo generavimo tarnybą.

```mermaid
graph LR
    A["Įvykių Srautas (Saugumo Incidentai, Politikos Pokyčiai)"] --> B["Srauto Apdorotojas (Kafka/Flink)"]
    B --> C["Realiojo Laiko Žinių Grafų Saugykla (Neo4j)"]
    C --> D["GNN Įvertinimo Tarnyba"]
    D --> E["Paaiškinamumo Sluoksnis (GNNExplainer)"]
    E --> F["Ženklo Generavimo Tarnyba"]
    F --> G["Tiekėjo Pasitikėjimo Puslapis"]
    D --> H["Įvertinimo Išsaugojimas (Laiko Serijų DB)"]
    H --> I["Atitikties Audito Tarnyba"]
    subgraph Edge Layer
        J["Kraštutinio Mazgo (Žemo Vėlavimo Įvertinimo Atnaujinimas)"] --> D
    end
```

### Duomenų Srauto Apžvalga

1. **Įvykių Srautas** – Saugos įspėjimai, audito rezultatai ir politikos revizijos patekiamos į didelio pralaidumo srauto platformą (Kafka arba Pulsar).  
2. **Srauto Apdorotojas** – Realaus laiko praturtinimas (pvz., IP reputacijos patikrinimas) normalizuoja įvykius ir įrašo juos į **žinių grafiką**.  
3. **Žinių Grafų Saugykla** – Mazgai atvaizduoja tiekėjus, sertifikatus, sutartis ir incidentus; briaunos fiksuoja santykius, pvz., „tiekia“, „dalijasi duomenimis su“ ir „pažeidė“.  
4. **GNN Įvertinimo Tarnyba** – Grafų konvoliucinis tinklas (GCN) arba grafų dėmesio tinklas (GAT) apdoroja grafiką ir apskaičiuoja **rizikos įvertinimą** kiekvienam tiekėjui.  
5. **Paaiškinamumo Sluoksnis** – Naudojant **GNNExplainer**, išskiriamas svarbiausias pakaitinis grafas ir požymių indėlis, lemiantis įvertinimą.  
6. **Ženklo Generavimo Tarnyba** – Sujungia įvertinimą, koncizišką tekstinį paaiškinimą ir vizualinius elementus (spalva, piktograma) į **pasitikėjimo ženklo** elementą.  
7. **Tiekėjo Pasitikėjimo Puslapis** – Ženklas pateikiamas per CDN, automatiškai atnaujinamas, kai pasikeičia pagrindinis įvertinimas.  
8. **Atitikties Audito Tarnyba** – Saugoma visa paaiškinimo ir kilmės informacija audito takais, atitinkančiais reguliavimo reikalavimus dėl skaidrumo.

## Grafų Neuroniniai Tinklai Tiekėjų Rizikai

### Kodėl GNN?

Tradiciniai lentelės modeliai traktuoja kiekvieną tiekėją kaip atskirą eilutę, nepripažindami turtingų tarptiekėjų santykių. GNN puikiai tinka:

- **Netiesioginiam rizikos poveikiui** (pvz., tiekėjo subrangovo patyręs duomenų pažeidimas).  
- **Struktūrinių modelių mokymui** (pvz., grupės tiekėjų, naudojančių bendrą duomenų centrą).  
- **Besikeičiančių topologijų adaptacijai**, kai pridedamos naujos sutartys arba incidentai.

### Modelio Pasirinkimas

| Modelis | Privalumai | Tipinis Naudojimo Atvejis |
|---------|------------|---------------------------|
| **GCN (Grafų Konvoliucinis Tinklas)** | Greitas mokymas, tinkamas homogeniškiems grafikams | Pagrindinis rizikos įvertinimas su ribotu briaunų tipu |
| **GAT (Grafų Dėmesio Tinklas)** | Išmoksta svarbos svorius kiekvienai briaunai | Heterogeniniai grafikai su įvairia stiprumo santykių |
| **RGCN (Santykinis GCN)** | Tvarko kelis briaunų tipus | Sudėtingi reguliavimo grafikai (pvz., SOC 2, GDPR, ISO 27001) |

Paprastoje praktikoje **dviejų sluoksnių GAT** dažniausiai suteikia geriausią tikslumo ir interpretuojamumo balansą tiekėjų rizikos grafikuose.

## Paaiškinamumo Technikos

### GNNExplainer

GNNExplainer identifikuoja **mini‑grafą** ir požymių poaibius, kurie maksimaliai įtakoja tikslinio mazgo prognozę. Išvestis – kompaktiškas subgrafas, kurį galima tiesiogiai atvaizduoti ženklo įrankio patarime.

```mermaid
graph TD
    A["Tikslinis Tiekėjas"] --> B["Incidento Briauna (Duomenų Pažeidimas)"]
    A --> C["Sertifikato Briauna (ISO 27001)"]
    B --> D["Šakninis Priežasties Mazgas (Trečiosios Šalies Programinė Įranga)"]
    C --> E["Atitikties Mazgas (Auditas Paveiktas)"]
    style B fill:#ffdddd,stroke:#ff0000,stroke-width:2px
    style C fill:#ddffdd,stroke:#00aa00,stroke-width:2px
```

Raudona briauna parodo neseną pažeidimą, sukėlusią **‑30 taškų** įvertinimo sumažinimą, o žalia briauna – ISO 27001 sertifikatą, pridedantį **+20 taškų**. Šis vizualinis pagrindas rodomas, kai vartotojas užveda pelę ant ženklo.

### SHAP Mazgo Požymiams

Paaiškinimui lygmenyje (pvz., „Atvirų bilietų skaičius“, „Vidutinis koregavimų laikas“) naudojamos **SHAP reikšmės** apskaičiuojamos kiekvienam mazgui. Trys svarbiausi indėliai rodomi kaip punktai po ženklu:

- **Atviri aukštos svarbos bilietai:** –15 pt  
- **Vidutinis pataisų vėlavimas < 24 h:** +10 pt  
- **Duomenų rezidencijos atitiktis:** +5 pt  

## Realiojo Laiko Įvertinimo Vamzdynas

| Etapas | Technologija | Tikslas (vėlavimas) |
|--------|--------------|----------------------|
| Įsisavinimas | Kafka + Flink | < 1 s |
| Grafiko Atnaujinimas | Neo4j Streams | < 500 ms |
| Įvertinimas | PyTorch‑Geometric (GPU) | 200 ms per paketą |
| Paaiškinamumas | GNNExplainer (CPU) | 100 ms |
| Ženklo Atvaizdavimas | Node.js + SVG | < 50 ms |
| CDN Platinimas | CloudFront / Akamai | Sub‑sekundė |

Mažas vėlavimas yra kritiškas: jei pranešamas aukštos rizikos incidentas, tiekėjo ženklas turi sumažėti **kelios sekundės** per, kad būtų išvengta sprendimų, pagrįstų pasenusia informacija.

## Privatumo Sprendimai

1. **Skirtinis Privatumas (Differential Privacy)** – Įdedant kalibruotą triukšmą mazgo požymių agregatuose užtikrinama, kad atskirų incidentų detalės negali būti atstatytos iš ženklo.  
2. **Federacinis Mokymasis** – Kai keli SaaS tiekėjai dalinasi bendru žinių grafiku, mokymasis vyksta lokaliai kiekvieno tiekėjo kraštutiniame mazge, o keičiamasi tik modelio atnaujinimais. Tai sumažina duomenų judėjimą ir atitinka duomenų lokacijos reikalavimus.  
3. **Nulinės Žinių Įrodymo (ZKP) Sprendimai** – ZKP gali patvirtinti, kad ženklo įvertinimas tenkina politiką (pvz., „įvertinimas > 70“), neatskleidžiant pačios grafų informacijos, kas naudinga konfidencialiuose tiekėjų derybose.

## Vertė Skirtingiems Suinteresuotiems Šalim

| Suinteresuota Šalis | Pristatoma Nauda |
|---------------------|------------------|
| **Pirkimų Komandos** | Akutali vizualinė patikra, klausimynų apdorojimo laikas sumažėja nuo dienų iki minučių. |
| **Atitikties Specialistai** | Pilnas audito takas, paaiškinamumo pagrindimas, suderinamumas su [GDPR](https://gdpr.eu/) ir AI etikos reikalavimais. |
| **Tiekėjai** | Skaidrus grįžtamasis ryšys, galimybės gerinti konkrečius rizikos faktorius. |
| **Saugumo Vadovai** | Nuolatinė priežiūra, ankstyva tiekimo grandinės pažeidimo aptikimas. |

## Įgyvendinimo Kelias

1. **Duomenų Modeliavimas** – Apibrėžti mazgų tipus (Tiekėjas, Sertifikatas, Incidentas, Sutartis) ir briaunų semantiką. Užpildyti pradinį grafiką iš esamų politikos saugyklų ir trečiųjų šalių šaltinių.  
2. **GNN Architektūros Pasirinkimas** – Prototipuoti GCN, GAT ir RGCN; palyginti ankstesnius incidentų duomenis; pasirinkti modelį, turintį geriausią ROC‑AUC ir paaiškinamumo indeksą.  
3. **Paaiškinamumo Sluoksnio Sukūrimas** – Integruoti GNNExplainer; subgrafus ir SHAP reikšmes saugoti lengvame raktų‑vertės saugykloje (Redis).  
4. **Ženklo Tarnybos Kūrimas** – Sukurti SVG šablonus su spalvų kodavimu (žalia = maža rizika, raudona = didelė rizika). Naudoti serverless funkciją (AWS Lambda) ženklo duomenims surinkti pagal užklausą.  
5. **Realiojo Laiko Vamzdyno Diegimas** – Konfigūruoti Kafka temas, Flink darbus ir Neo4j Streams. Nustatyti stebėjimą (Prometheus + Grafana) vėlavimo SLA.  
6. **Saugumo Sustiprinimas** – Įgalinti TLS visur, pritaikyti rolės pagrindu valdomą prieigą Neo4j, aktyvuoti diferencijuotą privatųjį agregavimą.  
7. **Bandomasis Viščiavimas & Iteravimas** – Pabandykite pilotą su 10 tiekėjų, rinkite atsiliepimus apie ženklo aiškumą, tobulinkite paaiškinimų formuluotes ir kalibruokite įvertinimo slenksčius.  

## Realus Pavyzdys: Greitas Incidentų Atsakas

*Įmonė X* gavo **nulinio dienos išplėtimų exploitą**, paveikusią populiarų SaaS produktą. Per kelias minutes saugumo komanda paskelbė incidentą į srauto platformą. Grafas atnaujinamas, susiejant exploitą su visais tiekėjais, kurie integruoja paveiktą komponentą. GNN įvertinimo tarnyba perskaičiuoja įvertinimus, o **tiekėjo Y** ženklas krenta nuo **Auksinio (85 pt)** iki **Amber (62 pt)**. Ženklo patarime rodomi:

- **Incidento Briauna:** „Nulinio dienos exploitas bendram komponentui“ (**‑30 pt**)  
- **Sertifikato Briauna:** „ISO 27001 (aktyvus)“ (**+20 pt**)  
- **Požymis:** „Atvirų bilietų = 3“ (**‑5 pt**)  

Pirkimo skyrius sustabdo vykdomą tiekėjo Y sutarties atnaujinimą, išvengdami potencialių nuostolių.

## Ateities Kryptys

- **Nuolatinis Mokymasis:** Įtraukti sustiprinimo mokymą, kai ženklo atsiliepimai (pvz., tiekėjo apskundimai, audito rezultatai) koreguoja modelio svorius.  
- **Kryžinių Pramonės Standartizavimas:** Prisidėti prie atviro kodo **Pasitikėjimo Ženklo Specifikacijos (TBS)**, kad ženklai taptų perkeliamais tarp įvairių rinkų.  
- **Daugių Medijų Įrodymai:** Sujungti tekstinius politikos dokumentus, žurnalų įrašus ir net ekrano nuotraukas, naudojant vizualinių kalbų modelius, siekiant praturtinti mazgų požymius.  
- **Kraštutiniai Įrenginiai:** Vykdyti visą vamzdyną kraštutiniuose įrenginiuose, kad pasiektume itin žemą vėlavimą kritinėse duomenų centrų aplinkose.  

## Išvada

**Paaiškinama AI Pasitikėjimo Ženklo Sistema** užpildo spragą tarp sudėtingų rizikos įvertinimų ir žmogaus poreikio skaidrumui. Pasitelkdama grafų neuroninius tinklus, XAI metodus ir realiojo laiko srautus, organizacijos gali išleisti patikimus ženklus, kurie ne tik pagreitina pirkimo procesus, bet ir tenkina griežtus atitikties reikalavimus. Čia pateikta architektūra suteikia pagrindą kurti ženklo sistemą, vystomą kartu su nuolat kintančiu grėsmių kraštovaizdžiu, užtikrinant, kad kiekvienas tiekėjo įvertinimas būtų **tikslus** ir **atsakingas**.