可验证AI来源评估测试
基于测量的评估程序,对AI系统进行评分
可审计性 · 可验证性 · 监管准备度
VAP-AT本质上是一个基于评分的评估制度。阈值认定(Threshold Designation)是为了满足采购要求和监管报告等实务需求的可选解释层,与通过/失败认证不同。评分旨在促进被评估者的持续改进,并为市场和监管机构提供精细的信息。
"验证,而非信任" — 评估AI系统的审计轨迹是否以数学可验证的形式存在
与传统认证不同 — 评估的是AI系统本身,而非个人技能
VAP-AT不是个人技能认证(如CISSP)。评估对象是AI系统本身。
不是简单的通过/失败判定,而是提供详细评分和改进证据,实现持续信任构建。阈值认定(Threshold Designation)是用于采购和监管报告的可选解释层。
所有AI系统评估的三个核心特性
审计轨迹是否具有防篡改能力,第三方能否独立验证
EU AI Act Art.12/19, MiFID II RTS 25
记录是否完整无缺失,可观测性、模式和事件粒度是否完善
SEC 17a-4, GDPR Art.17
证据是否"打包"完成,可提交给审计员和监管机构
EU AI Act Annex IV
AI模型准确性
业务逻辑有效性
安全漏洞
"安全保证"
VAP-AT不评估AI决策的正确性或合法性,仅评估决策过程的可验证性和可审计性。
三级结构:自评 → 第三方评估 → 持续监控
适用于低风险AI:推荐引擎、内部效率工具
状态: "Self-Assessment"
适用于中风险AI:HR科技、金融审查支持
状态: "Verified by [CAB名称]"
适用于高风险AI:医疗诊断、自动驾驶、关键基础设施
状态: "Continuous Monitoring Active"
有效评估状态。评估完成、阈值达标、订阅持续中。
暂停。低于阈值、重大日志缺失或欺诈检测时触发。
待审查。抽查标记或投诉时适用。
已过期。有效期结束或订阅取消。需要新评估。
自动暂停机制:持续监控期间如果低于阈值,24小时内通知被评估实体,30天内未纠正则自动转为“Suspended”,并立即更新公共注册表。
10项标准 × 0–2分 = 最高20分
| # | 标准 | 关键问题 | 监管映射 |
|---|---|---|---|
| 1 | 第三方可验证性 | 外部方能否独立验证审计轨迹? | EU AI Act Art.12/19, MiFID II |
| 2 | 篡改证据 | 能否检测未授权的修改? | SEC 17a-4 |
| 3 | 序列固定 | 时间顺序是否不可变地记录? | MiFID II RTS 25 |
| 4 | 决策来源 | 能否追踪决策输入和理由? | EU AI Act Art.12 |
| 5 | 责任边界 | 审批者和覆盖者是否明确标识? | EU AI Act Art.14 |
| 6 | 文档完整性 | 技术文档是否完整且最新? | EU AI Act Annex IV |
| 7 | 保留和可用性 | 证据是否在规定期限内保留且可检索? | GDPR, MiFID II |
| 8 | 时间同步 | 系统时间是否与可信来源同步? | MiFID II RTS 25 |
| 9 | 故障和恢复日志 | 系统故障和恢复是否被记录? | DORA |
| 10 | 删除权兼容性 | 能否在支持GDPR删除权的同时保持可审计性? | GDPR Art.17 |
阈值标签是基于评分的便捷分类,不是法律合规的保证。
重要免责声明:阈值认定是VAP-AT体系内的便捷分类,不构成法律合规保证。“EU AI Act aligned”表示“与相关条款要求的可审计性标准一致的VAP-AT评分”。法律合规的判断由被评估实体负责,最终取决于监管机构的解释。
VAP-AT Auditability Threshold – EU AI Act Art.12/19 aligned
VAP-AT Auditability Threshold – MiFID II RTS 25 aligned
VAP-AT Baseline Auditability Threshold
展示了强健的可审计性
可审计但有改进空间
存在重大可审计性缺陷
根本不足
标准制定与评估执行的结构性分离,确保独立性和可信度
UKAS, DAkkS, ANAB, JAB 等
按照ISO/IEC 17020/17021/17065认可CAB。通过IAF MLA互认实现全球接受。
VeritasChain Standards Organization
管理VAP-AT标准、证据要求、术语和报告规范。不进行评估(避免利益冲突)。
技术顾问、监管观察员
技术咨询、监管趋势监测、利益冲突监督。包括监管机构观察员席位。
合格评定机构
多个独立CAB执行VAP-AT并出具评分报告。试点阶段包括独立CAB的双重审查、外部过半数公正委员会、VSO抽查审计、利益冲突披露。
工具、培训、准备支持
与评估分离,防止"标准机构销售通过"的情况。由VSO商业子公司或认可合作伙伴提供。
强大的监管驱动力正在创造对AI可审计性解决方案的需求
自动事件记录(Art.12)、日志保留(Art.19)、证据强化
100μs时间同步,年度自评
电子记录保留要求
招聘AI偏见审计强制要求
RegTech市场(2023→2028,124%增长)
AI治理市场(2030年,30% CAGR)
B2B SaaS对SOC 2等级的支付意愿
FedRAMP等级的总成本接受度
从基础建设到全球规模的分阶段推出
2025年 Q4
2026年 Q1–Q2
试点CAB安全护栏已应用
2026年 Q3–Q4
2027年+
为确保试点阶段的可信度(初始CAB可能与VSO存在组织关系),以下加强措施为必须要求:
双重审查
所有试点评估报告均由独立第三方CAB审查
外部过半数
公正委员会必须由外部委员占多数
抽查审计
VSO对试点CAB报告的20%以上进行随机审计
披露义务
评估前以书面形式向被评估者披露CAB-VSO关系
Phase 2过渡条件:在至少2家独立CAB获得认可之前,试点CAB将不会单独运营。
通过VAP-AT提前应对监管要求。从自我评估开始,或直接参与试点项目。
通过在线自我评估系统测试您的AI系统
联系方式: info@veritaschain.org