Bibliothèque de journalisation Article 12 open-source pour la conformité à l'IA Act de l'UE

Ce que c'est

Une bibliothèque TypeScript open-source qui fournit une infrastructure de journalisation conforme à l'Article 12 pour les systèmes d'IA concernés par l'Acte sur l'IA de l'UE. Elle est spécifiquement conçue pour les applications Node.js utilisant le SDK AI Vercel.

Détails clés

La bibliothèque répond aux exigences de l'Article 12 de l'Acte sur l'IA de l'UE, qui entrent en vigueur en août 2024 et imposent l'enregistrement automatique des événements avec une rétention de six mois pour les systèmes d'IA à haut risque. Les commentateurs juridiques ont interprété cela comme nécessitant une fonctionnalité de registre en ajout uniquement plutôt qu'une journalisation d'application standard.

L'implémentation comprend :

• Un middleware qui enveloppe les modèles d'IA pour capturer chaque appel d'inférence
• Une journalisation JSONL structurée vers votre propre bucket S3 ou système de fichiers local
• Un chaînage de hachage SHA-256 entre les entrées pour la détection de falsification
• L'application automatique d'une rétention minimale de 180 jours
• Un outil CLI pour reconstruire des décisions spécifiques et vérifier l'intégrité des journaux
• Une commande de couverture qui identifie les lacunes potentielles de journalisation (les omissions sont notées comme un risque pratique plus important que les modifications)

La bibliothèque est délibérément simple dans sa conception : basée sur TypeScript, ciblant le middleware du SDK AI Vercel, prenant en charge le stockage S3 ou système de fichiers local, et utilisant un chaînage de hachage linéaire. Elle fonctionne également avec le framework agentique Mastra, et le mainteneur accueille favorablement les PR pour étendre les intégrations.

Comme noté dans la discussion HN, la bibliothèque fournit une journalisation évidente de falsification plutôt qu'une protection infalsifiable. Elle détecte les modifications mais n'empêche pas la reconstruction complète de la chaîne par quelqu'un ayant accès au stockage. La conception suppose une défense en profondeur avec S3 Object Lock (mode Conformité) au niveau de l'infrastructure et une vérification de la chaîne de hachage au niveau de l'application. Un horodatage externe (comme OpenTimestamps ou RFC 3161) pourrait être ajouté comme fonctionnalité optionnelle pour un ancrage temporel indépendant.

Selon l'interprétation réglementaire du développeur, l'Article 12 nécessite un "enregistrement automatique" qui permet la surveillance et la reconstruction, les directives actuelles n'imposant pas un stockage infalsifiable—seulement des enregistrements fiables et vérifiables.