开源项目 Air 最近在 HN 上亮相,主打 AI 智能体的开源黑盒审计——防篡改日志链、22 项映射到 SOC2、ISO 27001 和欧盟 AI 法案第 12 条的控制项。技术实现很扎实,但创始人可能忽略了一个更关键的环节。

防篡改日志其实是"简单的一半"。

打开网易新闻 查看精彩图片

默克尔树、哈希链、只追加 S3 存储桶——这些技术文献早已成熟。一个合格的工程团队,两周冲刺就能上线。真正的难点在于:如何把这套技术"翻译"成采购方能签字的东西。

打开网易新闻 查看精彩图片

审计员不读默克尔根。采购团队不读 SOC2 控制条款。他们读的是一页纸的摘要:"本系统符合 CC7.2,因为审计日志具备防篡改性、保留 6 个月、可在事件发生时导出。"

这种从"控制编号"到"白话证据"的转换,才是 PO(采购订单)签下来的关键。

Air 解决了工程层的问题。但工程层之上,还缺一层"业务套件"——BizSuite 想补的就是这个缺口。

无论你用的是 Air、Langfuse、Traceloop 还是自研日志系统,BizSuite 做三件事:把你的日志结构映射到买方要求的 22 项(或 47 项、113 项)控制点;生成带内嵌证据的采购级 PDF;随系统变更自动更新——因为控制项的漂移速度总比文档快。

打开网易新闻 查看精彩图片

定价很直接:4 小时部署,每个智能体 997 美元。

这里有个简单的测试方法。下次你评估审计工具时,问一句:"当买方的法务发邮件问我们如何符合 CC7.2,我该回复什么?"

如果答案是"查一下日志",那是工程。如果答案是"采购 PDF 里的这段说明",那才是交付物。

Air 交付了工程。BizSuite 想交付的是后者。