Pular para o conteúdo

Mapeamento do NIST AI Risk Management Framework

Mapeia a implementação de referência ai-agent-eval-harness-healthtech frente ao NIST AI RMF 1.0 (AI 100-1, janeiro de 2023). O RMF define quatro funções centrais — Govern, Map, Measure, Manage — cada uma com subcategorias. Este documento avalia quais subcategorias o repositório aborda hoje e quais exigem trabalho adicional para uma implantação em produção.

Leia em conjunto com a postura regulatória e o cartão do modelo.

Isto não é uma certificação do NIST AI RMF. Não existe certificação para o RMF; trata-se de um arcabouço voluntário. A finalidade deste documento é avaliar honestamente quais práticas de gestão de riscos a implementação de referência demonstra e onde permanecem lacunas para uma implantação em produção. A avaliação é frente ao repositório tal como entregue; uma instância bifurcada ou implantada precisaria de sua própria avaliação.

GOVERN — Estabelecer e manter uma cultura de gestão de riscos de IA

Seção intitulada “GOVERN — Estabelecer e manter uma cultura de gestão de riscos de IA”
SubcategoriaImplementação atualAvaliação de lacunas
GOV 1.1: Os requisitos legais e regulatórios são compreendidosPostura regulatória documentada na postura regulatória; fronteira bem-estar/CDS da FDA, orientação da OMS de 2024, GMLP da MHRA, artigos do Regulamento de IA da UE mapeadosLimitado aos arcabouços dos EUA/UE/Reino Unido/Chile; um sistema em produção precisaria de revisão jurídica específica por jurisdição para cada região de implantação
GOV 1.2: A gestão de riscos de IA está incorporada à governança organizacionalOs registros de decisões de arquitetura fornecem rastreabilidade; alterações na postura regulatória, nas salvaguardas ou no escalonamento exigem um registro de decisãoSem comitê de governança ou conselho de revisão formal; implementação de referência de autor único
GOV 1.3: Os papéis e responsabilidades pelo risco de IA estão definidosPropriedade clara dos módulos: salvaguardas, arcabouço de avaliação, observabilidade (spans de OpenTelemetry conforme a decisão de observabilidade)Sem segregação de funções; o autor é desenvolvedor, revisor e operador
GOV 1.4: A tolerância a riscos é documentada e comunicadaGates de avaliação documentados, impostos na CI com semântica de aprovado/reprovado publicada sobre fidelidade e alucinação e gates binários por caso sobre exatidão de recusa e de escalonamentoOs limiares são binários de aprovado/reprovado; sem arcabouço graduado de aceitação de riscos
GOV 1.5: Os sistemas de IA são transparentesTrace de decisões de salvaguarda em cada resposta; conjunto de citações em cada afirmação clínica; cartão do modelo no formato CHAI; postura regulatória acessível ao públicoA transparência é em nível de resposta; sem painel público de desempenho do modelo
GOV 1.6: Há políticas e procedimentos para o risco de IAProcesso de divulgação de segurança; varredura de segredos na CI; política de não usar segredos; redação de PII antes do LLMAs políticas são em nível de repositório, não de nível empresarial; sem manual formal de resposta a incidentes
GOV 1.7: Engajamento das partes interessadasProjeto informado por orientações regulatórias publicadas (FDA, OMS, MHRA); nenhuma parte interessada externa consultada formalmente (projeto de autor único)Sem conselho consultivo de pacientes, conselho consultivo clínico ou revisão ética externa

MAP — Compreender e contextualizar os riscos de IA

Seção intitulada “MAP — Compreender e contextualizar os riscos de IA”
SubcategoriaImplementação atualAvaliação de lacunas
MAP 1.1: As finalidades pretendidas e os casos de uso estão definidosSeção “Uses and Directions” do cartão do modelo; lista “O que o agente NÃO faz” da postura regulatória; enumeração de itens fora de escopo imposta pelo arcabouço de avaliaçãoDefinidos para a implementação de referência; um produto implantado precisaria de delimitação de casos de uso específica do contexto
MAP 1.2: Os riscos de IA inter-relacionados são identificadosLimitação de quase acerto fora do corpus documentada no cartão do modelo; lacuna de escalonamento subagudo reconhecida; comportamento probabilístico de modelos generativos documentadoA análise sistemática de interação entre riscos (por exemplo, como o viés de local se combina com a recuperação de quase acerto) não é realizada
MAP 1.3: As restrições e limitações são compreendidasLimitações honestas documentadas: KB de domínio único com 38 cartões, corpus de avaliação de 315 casos, viés de vocabulário inglês dos EUA, escalonamento cego a negações, durabilidade em memória para a revisão com humano no circuitoAs limitações estão documentadas; sem registro formal de riscos com pontuação de severidade
MAP 1.4: O impacto sobre indivíduos e grupos é avaliadoNenhuma característica demográfica de entrada usada pelo agente; a pontuação de paridade entre locais aborda a equidade entre locaisSem avaliação de impacto demográfico além do local; sem avaliação de impacto sobre populações com baixa literacia em saúde ou acesso limitado à internet
MAP 2.1: Os componentes do sistema de IA estão documentadosOs registros de decisões de arquitetura; a especificação do sistema; o grafo de seis nós documentado na decisão de orquestração; os AI System Facts do cartão do modeloA documentação é completa para a implementação de referência; um sistema em produção precisaria de runbooks operacionais
MAP 2.2: A proveniência dos dados é rastreadaA declaração de dados e o cartão de dados documentam a proveniência completa do corpus de avaliação e dos cartões da KB; licenciamento da fonte por cartãoO rastreamento de proveniência cobre apenas os dados sintéticos entregues; sem rastreamento de linhagem de dados para entradas em tempo de execução
MAP 2.3: Os riscos de terceiros são identificadosO Protocol do cliente de LLM abstrai as dependências de provedor (veja a decisão de abstração de fornecedor de LLM); provedores listados na seção 3rd Party Information do cartão do modeloSem avaliação formal de riscos de terceiros; sem BAA ou revisão contratual com os provedores de LLM
MAP 3.1: Os riscos de IA são avaliados em cada fase do ciclo de vidaO arcabouço de avaliação valida cada alteração; red-team noturno com Promptfoo; limiares de avaliação impostos na CIA avaliação de riscos é contínua via CI, mas limitada às dimensões de avaliação pontuadas; sem revisão organizacional de riscos mais ampla nos portões do ciclo de vida
MAP 3.2: Os modos de falha e os impactos em cascata estão documentadosModos de falha das salvaguardas: contorno de escopo, falha de escalonamento, fabricação de citação; cada um tem um teste no arcabouço de avaliaçãoSem análise formal de modos de falha e efeitos (FMEA); impactos em cascata através das fronteiras do sistema não avaliados
MAP 3.3: O retorno das partes interessadas é incorporadoSem ciclo de retorno de partes interessadas externas; projeto informado por orientações publicadas e pela experiência de campo do autorUm sistema em produção precisaria de canais estruturados de retorno de pacientes, médicos e responsáveis pela conformidade
SubcategoriaImplementação atualAvaliação de lacunas
MEASURE 1.1: As métricas apropriadas são selecionadasSete dimensões de pontuação: exatidão de citação, cobertura de citação, exatidão de recusa, exatidão de escalonamento, fidelidade, alucinação, custo/latência; estratificadas por localAs métricas cobrem segurança e qualidade; sem métricas específicas de equidade além da paridade entre locais; sem métricas de impacto ambiental
MEASURE 1.2: O desempenho do sistema de IA é avaliadoPortão de CI determinístico (um cliente stub determinístico sem chaves, 315 casos); execução noturna com modelo ao vivo; red-team com PromptfooO portão determinístico é reproduzível; as métricas de modelo ao vivo não estão congeladas no cartão do modelo (são reportadas nos relatórios de avaliação)
MEASURE 1.3: Os dados de avaliação são representativos315 casos em 3 locais (en, es-419, pt-BR); 5 agrupamentos de condições; categorias golden + adversarial + no-matchAmostra pequena; sem estratificação demográfica (nenhum dado demográfico coletado); viés de inglês dos EUA reconhecido
MEASURE 2.1: As métricas são documentadas e comunicadasRelatórios de avaliação publicados por execução; Key Metrics do cartão do modeloOs relatórios são gerados por execução; sem painel de acompanhamento longitudinal
MEASURE 2.2: Os limiares de risco estão definidosGates rígidos impostos na CI com semântica de aprovado/reprovado publicada sobre fidelidade e alucinação; gates binários por caso sobre exatidão de recusa e de escalonamentoOs limiares são nítidos, mas não ajustados ao risco; sem arcabouço de resposta em camadas (por exemplo, âmbar vs. vermelho)
MEASURE 2.3: Existem mecanismos de monitoramento e retornoAvaliação de CI em cada alteração; red-team noturno; spans de OpenTelemetry em cada nó; sinks Langfuse Cloud e Phoenix (veja a decisão de observabilidade)O monitoramento cobre a implementação de referência; sem alertas de produção, monitoramento de SLA ou pipeline de detecção de degradação
MEASURE 3.1: O viés e a equidade são avaliadosParidade entre locais imposta: limiares idênticos para en, es-419, pt-BR; exatidão de recusa e de escalonamento uniforme entre locaisSem avaliação de subgrupos demográficos (o agente não recebe entradas demográficas); o viés de local limita-se ao vocabulário, não à equidade de resultados
MEASURE 4.1: Os resultados de medição são usados para melhoriaAchados de red-team incorporados ao banco de sementes adversariais; a regressão de avaliação falha a verificação de CI (um sinal, não um portão de fusão rígido - sem proteção de branch forçada); as notas de versão registram alterações relevantes à segurançaO ciclo de melhoria é interno ao repositório; sem achados de auditoria externa nem fluxo de dados de vigilância pós-comercialização
SubcategoriaImplementação atualAvaliação de lacunas
MANAGE 1.1: As decisões de tratamento de riscos são documentadasOs registros de decisões de arquitetura documentam decisões de projeto que afetam o risco (a decisão de salvaguardas, a decisão de observabilidade, a decisão do arcabouço de avaliação, a decisão do grafo de execução em streaming)Os registros de decisão registram a intenção de projeto; sem registro formal de riscos com planos de tratamento e aceitação de risco residual
MANAGE 1.2: Os sistemas de IA são projetados para falhar com segurançaAs salvaguardas disparam antes do LLM (classificador de escopo, modelos de recusa, roteador de escalonamento); a imposição de citação recusa em caso de no-match; eventos de erro em streaming para falhas após o primeiro byteA manipulação de quase acerto fora do corpus é uma lacuna conhecida; o escalonamento subagudo é deixado para o modelo
MANAGE 2.1: Os riscos de IA são mitigadosSalvaguardas determinísticas, arcabouço de avaliação, redação de PII, uma trilha de auditoria com OpenTelemetry, streaming com negociação de conteúdo e eventos de erroAs mitigações são de nível de implementação de referência; a produção precisaria de camadas adicionais (verificação da cadeia de suprimentos de modelos, filtragem de saída em escala)
MANAGE 2.2: Existem planos de resposta a incidentesProcesso de divulgação de segurança; varredura de segredos; limitações conhecidas documentadas no cartão do modeloSem manual formal de resposta a incidentes; sem rotação de plantão; sem esquema de classificação de severidade
MANAGE 2.3: O monitoramento do sistema de IA é contínuoAvaliação de CI em cada alteração; red-team noturno com Promptfoo; spans de OpenTelemetry em cada turno; portões de custo/latênciaO monitoramento é em nível de repositório; sem alertas de produção, detecção de anomalias ou rollback automatizado
MANAGE 3.1: Os riscos de IA são comunicados às partes interessadasO cartão do modelo, a postura regulatória, a declaração de dados e os documentos de governança desta seção são públicosA comunicação é passiva (documentos publicados); sem processo ativo de notificação às partes interessadas sobre mudanças de risco
MANAGE 4.1: As políticas e os procedimentos são mantidosControle de alterações baseado em registros de decisão; a seção de controle de alterações da postura regulatória exige um registro de decisão para mudanças de escopo; as notas de versão registram alteraçõesAs políticas são em nível de repositório; sem sistema empresarial de gestão de políticas; sem ciclo anual de revisão de políticas

A implementação de referência demonstra práticas do NIST AI RMF nas seguintes áreas:

  • GOVERN: Rastreabilidade baseada em registros de decisão, postura regulatória documentada, decisões de salvaguarda transparentes, cartão do modelo e postura regulatória públicos
  • MAP: Casos de uso e fronteiras de fora de escopo definidos, proveniência de dados documentada, modos de falha identificados (quase acerto fora do corpus, escalonamento subagudo), declarações honestas de limitações
  • MEASURE: Arcabouço de avaliação de sete dimensões com portão de CI determinístico, pontuação estratificada por local, testes adversariais noturnos, execução rastreada com OpenTelemetry
  • MANAGE: Arquitetura com salvaguardas antes do LLM, tratamento de riscos documentado por registros de decisão, regressão de avaliação que bloqueia alterações, processo público de divulgação

A avaliação acima é honesta sobre o que é uma demonstração de implementação de referência versus um programa de gestão de riscos de nível de produção. As quatro funções são abordadas na profundidade que um artefato de referência pode razoavelmente demonstrar: documentação estruturada, medição automatizada, controles de segurança determinísticos e comunicação transparente.

O que o repositório não tem — comitês formais de governança, registros de riscos com pontuação de severidade, manuais de resposta a incidentes, avaliações de riscos de terceiros, arcabouços graduados de aceitação de riscos, pipelines de monitoramento em produção — está documentado explicitamente na coluna de Avaliação de lacunas de cada subcategoria.

Uma implantação em produção precisaria estabelecer:

  1. Estrutura formal de governança: Comitê de risco de IA, papéis e responsabilidades definidos, segregação de funções entre desenvolvedores e revisores, conselhos consultivos de partes interessadas (pacientes, clínicos, ética)
  2. Registro de riscos: enumeração sistemática dos riscos de IA com pontuação de severidade, avaliação de probabilidade, planos de tratamento, aceitação de risco residual e atribuição de responsável pelo risco
  3. Medição ampliada: métricas de equidade além da paridade entre locais, avaliação de impacto ambiental, avaliação de subgrupos demográficos onde aplicável, acompanhamento longitudinal de desempenho, detecção automatizada de drift
  4. Resposta a incidentes: manual formal de RI com classificação de severidade, caminhos de escalonamento, modelos de comunicação, processo de revisão pós-incidente, procedimentos de notificação regulatória
  5. Governança de terceiros: avaliações de riscos de fornecedores para os provedores de LLM, BAA quando aplicável, revisão contratual para o processamento de dados, verificação da cadeia de suprimentos para a proveniência dos modelos
  6. Monitoramento contínuo: alertas de produção, detecção de anomalias, rollback automatizado, alerta antecipado de degradação, monitoramento de SLA, planejamento de capacidade
  7. Prontidão para auditoria: automação da coleta de evidências, retenção de logs de auditoria (6 anos para a HIPAA, conforme aplicável), logging à prova de adulteração, interface de consulta para auditores

Os padrões do repositório — contratos de avaliação, rastreabilidade por registros de decisão, instrumentação com OpenTelemetry, arquitetura com salvaguardas em primeiro lugar — aceleram a construção de cada uma dessas capacidades. Eles são a fundação, não a estrutura acabada.