المؤسسات · الامتثال والأدلة

عمليات الامتثال،
مُؤَتمتة.

تطرح الأطر الأسئلة؛ أما الطبقة التي تقرر ما تراه وكلاء العمل (agents) فيجب أن تجيب عليها بضوابط مُلزمة وأدلة قابلة للتحقق. يقوم LeanCTX بربط قانون الاتحاد الأوروبي للذكاء الاصطناعي، وISO/IEC 42001 وSOC 2 بالآليات التي يفرضها فعليًا — ويحدد بوضوح كل ما لا يمكنه تغطيته.

الصدق أولاً: LeanCTX هي أدوات دعم لعمليات الامتثال — وليست استشارة قانونية. "متوافق" هو بيان تقني حول الضوابط القابلة للإنفاذ، وليس شهادة. يحمل كل ربط هذا التنويه، وكل واجب غير مغطى يمثل فجوة موثقة.

الربط (التعيينات)

ثلاثة أطر عمل، مصفوفة صادقة لكل منها.

مصفوفات ربط قابلة للقراءة آليًا، ومثبتة لإصدارات الأطر الدقيقة مع دورة مراجعة نصف سنوية. يتم شحن كل منها بحزمة سياسات إطار عمل تنفذ الشريحة القابلة للإنفاذ — ورثها، أو وسّعها، أو قم بتدقيق حزمتك الخاصة مقابلها.

Regulation (EU) 2024/1689

EU AI Act

تنفيذ تقني لـ 11 من أصل 14 ضابطًا مُرتبطًا

منظور المُنَشِّر على تدفق السياق: تسجيل المادة 12 (مقاوم للتلاعب، يعمل دائمًا)، واحتفاظ السجلات لمدة ستة أشهر للمادة 26(6)، وتدقيق الهوية المنظمة للمادة 10(5)، والإشراف والتدخل عبر حدود ميزانية صعبة للمادة 14(4)، وضوابط الوصول للمادة 15(5). تُعد حوكمة بيانات التدريب والواجبات التنظيمية فجوات موثقة — وليست مخفية.

pack: eu-ai-act-deployer

ISO/IEC 42001:2023, Annex A

ISO/IEC 42001

شرائح الملحق أ القابلة للإنفاذ، والفجوات موثقة

تسجيل العمليات A.6.2.6، وعملية الاستخدام المسؤول A.9.2 — حزمة السياسات هي تعريف العملية المُنفَّذة آليًا — إنفاذ الغرض المقصود مع انتهاكات مسجلة A.9.4، وضبط البيانات قبل الاستخدام A.7.4. يُعد نظام AIMS نفسه تنظيميًا بحكم التعريف؛ ويشير الربط إلى ذلك.

pack: iso42001-aligned

AICPA TSC 2017 (2022 points of focus)

SOC 2

شريحة خط أنابيب السياق لـ TSC، بما في ذلك الأدلة

الوصول المنطقي CC6.1 (بوابة الإمفاق الافتراضية)، وحماية الحدود CC6.6 (حرمان الخروج + PathJail)، ومراقبة الشذوذ CC7.2 (أحداث أمنية من نوع)، والسرية C1.1 (تدقيق بيانات الاعتماد + الهوية). تبقى المعايير على مستوى الكيان مع مؤسستك — ويرسم الربط الحدود.

pack: soc2-context

مصدر الحقيقة: مصفوفات الربط في المستودع — TOML، قابلة للمراجعة، وقابلة للاختلاف (diffable). كل ادعاء بتغطية كاملة يذكر اختبار CI الذي يثبت الإنفاذ؛ ويفشل اختبار الانجراف (drift test) البناء عندما تتباعد الادعاءات عن الاختبارات.

تقارير التغطية

محادثة التدقيق، كأمر أو أمر تنفيذي.

أمر واحد يعرض ما يرغب المقيمون في رؤيته فعليًا: أحكام لكل ضابط مقابل حزمة السياسات الحالية والمحلولة الخاصة بك - وليس مقابل كتيب تعريفي.

$ lean-ctx policy coverage --framework eu-ai-act

AIA-12.1      Art. 12(1)    ENGINE        hash-chained audit trail, always-on
AIA-26.6      Art. 26(6)    ENFORCED      audit_retention_days = 365 (≥ 180 d)
AIA-10.5      Art. 10(5)    ENFORCED      4/4 regulated-identifier classes redacted
AIA-14.4e     Art. 14(4)(e) ENFORCED      max_context_tokens = 12000 bounds every assembly
AIA-10.2      Art. 10(2)    GAP           training-data governance is outside the pipeline

11 of 14 controls technically enforced (5 pack-verified, 6 engine guarantees) · 3 documented gaps

يتم التحقق من ENFORCED مباشرةً مقابل حزمتك المحلولة - وتقل حزمة ضعيفة إلى NOT-ENFORCED مع رمز خروج 1، بحيث يمكن إدراج التقرير في بوابة التكامل المستمر (CI). يضمن ENGINE الإشارة إلى الاختبار الذي يثبت ذلك. تذكر صفوف GAP ما لا يزال واجباً تنظيمياً. استخدم --json لأدوات GRC الخاصة بك.

تقرير CISO موقع

تقرير واحد موقع، للفترة بأكملها.

قم بتجميع نطاق تاريخي في عنصر تنفيذي واحد: محاذاة OWASP-Top-10-for-Agents، وتغطية الإطار، وما تم منعه أو حذفه فعليًا، ووضع الاحتفاظ - موقع بـ Ed25519 وقابل للتحقق دون اتصال.

$ lean-ctx compliance report --from 2026-05-01 --to 2026-06-01 --framework eu-ai-act --format pdf

period         2026-05-01 → 2026-06-01   ·   audit chain: VALID
owasp-agents   9 / 10 aligned · 1 documented gap
eu-ai-act      11 / 14 controls enforced · 3 documented gaps
enforcement    142 tool calls blocked (ToolDenied) · 87 secrets redacted
retention      audit_retention_days = 365

Signed compliance report written to ~/.local/share/lean-ctx/compliance/report-v1_2026-06.json
Verify offline (no LeanCTX needed):  lean-ctx compliance verify report-v1_2026-06.json

صادق بالبناء: فترة هادئة تبلغ عن صفر عمليات حظر ويتم الإبلاغ عن سلسلة مكسورة، ولا يتم إخفاؤها أبدًا. ملف JSON الموقع يُكتب دائمًا؛ --format pdf يضيف ملف PDF 1.7 غير معتمد على التبعيات للمجلس. يمكن لأي شخص إعادة التحقق منه باستخدام lean-ctx compliance verify <report.json> - لا يتطلب مسار تدقيق، ولا يتطلب تثبيت LeanCTX.

حزم الأدلة

يقوم المدققون بالتحقق - دون الثقة بنا.

تُصدر lean-ctx أدلة التدقيق بصيغة ZIP محددة، وموقعة بـ Ed25519: مقطع التدقيق المقاوم للتلاعب للفترة، وحزمة السياسات السارية والمحلولة، وتقارير التغطية. نفس المدخلات، حزمة متطابقة بالبايت - أعد الإنشاء وقارن.

الندير، leanctx-verify، هي أداة مستقلة لا تحتوي على أي كود محرك وأربع تبعيات - وهي تطبيق ثانٍ ومستقل للعقد المفتوح evidence-bundle-v1. تعمل دون اتصال، على جهاز المدقق، في أقل من دقيقة واحدة:

1

الأرشيف + البيان

تجميع جيد التكوين، وإصدار مدعوم

2

جرد الملفات

يتطابق كل ملف مع SHA-256 الخاص به، ولا شيء مضاف أو محذوف

3

إعادة تشغيل السلسلة

يعيد حساب سلسلة تجزئة التدقيق من المرساة إلى الرأس

4

توقيع البيان

صالح بـ Ed25519 - مقابل مفتاح خارجي إذا كان لديك واحد

5

توقيعات الإدخال

يتم توقيع كل سطر سجل والتحقق منه بشكل فردي

اختبار الطفرة: بايت واحد مقلوب، أو سطر محذوف، أو مفتاح خاطئ — غير صالح. يشرح دليل المدقق باللغة الواضحة ما يثبته الدليل وما لا يمكنه إثباته (يتم حماية الأحداث منذ لحظة تسجيلها — وليس قبل ذلك؛ نموذج التهديد النزيه جزء من التنسيق). مصدر المتحقق: packages/leanctx-verify.

FAQ

ما يطلبه فريق الامتثال.

هل يجعلنا LeanCTX متوافقين مع قانون الذكاء الاصطناعي للاتحاد الأوروبي / ISO 42001 / SOC 2؟

لا يمكن لأداة أن تدّعي ذلك، ونحن لا ندّعي ذلك. يفرض LeanCTX تقنيًا الضوابط الموجودة في مسار السياق — ويثبت الإنفاذ باختبارات CI والأدلة وقت التشغيل. تحدد مصفوفات التعيين لكل ضابط ما إذا كان التغطية كاملة (مُنفَّذة + مُختبَرة)، أو جزئية (وصف الفجوة المتبقية)، أو لا شيء (واجب تنظيمي). الامتثال هو تقييم يجريه البشر؛ ويزودهم LeanCTX بضوابط قابلة للإنفاذ وأدلة يمكن التحقق منها.

ماذا يوجد بالضبط في مصفوفات التعيين؟

ملفات TOML قابلة للقراءة آليًا، ملف واحد لكل إطار عمل، ومثبتة لإصدار محدد من الإطار مع دورة مراجعة نصف سنوية. يحمل كل ضابط البند، ومتطلب جملة واحدة، وآلية LeanCTX (قاعدة الحزمة، حدث التدقيق، تصدير الدليل)، والدليل الذي يتلقاه المقيم، ومطالبة التغطية — ولكل مطالبة كاملة، اسم اختبار CI الذي يثبت الإنفاذ. يفشل اختبار الانجراف البناء إذا أشارت المطالبة إلى اختبار غير موجود.

كيف أتحقق من إعدادنا الخاص مقابل إطار عمل؟

lean-ctx policy coverage --framework eu-ai-act (أو iso42001, soc2) يعرض عنصر محادثة التدقيق: كل ضابط كـ ENFORCED (تم التحقق منه مباشرة ضد حزمة السياسة التي تم حلها)، أو ENGINE (ضمان المحرك المُثبت بواسطة CI)، أو NOT-ENFORCED (لا تحتوي حزمتك على القاعدة — رمز الخروج 1، قابل للبوابة بواسطة CI) أو GAP (واجب تنظيمي موثق). أضف --json للآلات.

ما هي حزمة الأدلة؟

ملف ZIP محدد التعيين وموقع بتوقيع Ed25519 تنتجه أدلة تدقيق lean-ctx: جزء سلسلة التدقيق المقاوم للتلاعب لفترة، وحزمة السياسة التي كانت سارية المفعول، وتقارير CGB + تغطية الإطار. المدخلات المتطابقة تنتج حزمًا متطابقة البايت، لذلك يمكن لطرفين إعادة توليدها ومقارنتها. التنسيق هو عقد مفتوح (evidence-bundle-v1).

كيف يقوم المدقق بالتحقق من الحزمة دون الوثوق بنا؟

باستخدام leanctx-verify — وهي أداة مستقلة لا تشارك أي كود مع المحرك وتنفذ العقد المنشور بشكل مستقل. تعيد تشغيل سلسلة التجزئة وتتحقق من جميع التواقيع دون اتصال في خمس خطوات PASS/FAIL، في أقل من دقيقة. تثبت اختبارات الطفرة أن بايتًا واحدًا مقلوبًا، أو سطر سجل محذوف، أو مفتاح خاطئ يحول الحكم إلى INVALID. يشرح دليل المدقق بلغة بسيطة ما يثبته الدليل — وبقدر نفس الوضوح، ما لا يمكنه إثباته.

أحضر الأدلة إلى محادثة التدقيق التالية الخاصة بك.

قم بتشغيل تقرير التغطية مقابل حزمك الخاصة اليوم — محليًا ومجانيًا. أو تحدث معنا حول مشروع تجريبي مع فريق الامتثال الخاص بك في الحلقة.