MIT centralizuje cztery bazy ryzyk AI w jedno narzędzie. Co compliance kancelarii może z tego wyciągnąć.

Na biurku partnera kancelarii, który zaczyna prowadzić due diligence wobec dostawcy LegalTech albo audyt ryzyk AI w pracy własnego zespołu, leży kilka problemów jednocześnie. Trzeba zrozumieć, jakie ryzyka zostały zidentyfikowane przez badaczy w literaturze akademickiej. Trzeba sprawdzić, czy któreś z tych ryzyk już się gdzieś zmaterializowało jako incydent z udziałem realnych użytkowników. Trzeba zmapować je na regulacje, które już obowiązują - AI Act, RODO, sektorowe wytyczne. Trzeba na końcu znaleźć konkretną akcję mitygacyjną - co rekomenduje NIST AI RMF, co rekomenduje ISO 42001, co rekomenduje ENISA. Każdy z tych kroków wymagał dotąd osobnej bazy, osobnych URL-i i osobnej cierpliwości.

Spencer Michaels, Alexander Saeri i Peter Slattery z MIT AIRI publikują w 2026 roku wprowadzenie do AI Risk Navigator - narzędzia, które te cztery kroki spina w jedną sesję pracy. Recenzja MateMatic czyta to z perspektywy compliance officera kancelarii i partnera audytującego dostawcę LegalTech: czy Navigator faktycznie skraca tę pracę, jakie ma ograniczenia, czy warto wpisać go do checklist z dwóch poprzednich tomów BW (BW/034 Kumaran i BW/035 Laban) o audycie LegalTech.

O czym jest ten materiał

Krótki paper wprowadzający (kilka stron) plus narzędzie webowe airi-navigator.com. Paper opisuje motywację i features, narzędzie to rzeczywista wartość operacyjna. Cztery datasety zintegrowane w wersji 1:

• AI Risk Repository - tysiące skatalogowanych ryzyk z literatury akademickiej. To podstawa, którą MateMatic recenzował w BW/029 ("Jeden atlas, siedemdziesiąt cztery mapy") - 74 mapy ryzyka MIT.
• AI Incident Database - udokumentowane incydenty z udziałem AI w realnym świecie, klasyfikowane wedle Risk Domain Taxonomy. Każdy incydent ma datę, opis, źródło, przypisany domain.
• Governance documents - dokumenty regulacyjne z całego świata (USA, UE, UK, kraje azjatyckie), z mapowaniem na Risk Domain Taxonomy. To znaczy, że można sprawdzić, które regulacje adresują konkretne ryzyko.
• Mitigation actions - konkretne akcje rekomendowane przez wiodące frameworki (NIST AI RMF, ISO 42001, OECD, frameworki branżowe), pogrupowane po typie ryzyka.

Spinka między tymi czterema bazami to Risk Domain Taxonomy - shared classification structure, na której wszystkie cztery zbiory są zmapowane. Praktycznie znaczy to: filtrujesz "fraud-related incidents since 2012" lub "defunct state-level regulations that addressed bias" i widzisz dokładnie te wpisy. Klikasz na pojedynczy incydent - dostajesz pełne dane plus linki do regulacji, które tę kategorię ryzyka adresują. To jest jakościowo inne niż przeklikiwanie się przez cztery oddzielne Airtable.

Recenzja właściwa

Trzy grupy odbiorców według autorów - i jak to mapuje się na kancelarię

Autorzy wskazują trzy grupy odbiorców Navigatora: researchers (badacze ryzyka AI), policymakers and regulators (prawodawcy), industry practitioners (praktycy branżowi). Polska kancelaria specjalizująca się w doradztwie technologicznym, prowadząca audyty AI compliance dla klientów albo budująca własną politykę użycia AI mieści się w trzeciej grupie. Konkretny opis autorów: "industry practitioners can assess their exposure against AIRI's taxonomy, benchmark against the incident record, and identify which governance frameworks apply to their risk areas - all from a single interface rather than across four separate databases".

Trzy operacyjne case'y dla kancelarii:

• Audyt klienta - klient pyta "czy nasz wdrożony system AI jest narażony na X". Idziesz do AI Risk Repository, znajdujesz taxonomię X, klikasz przez Navigator do AI Incident Database - widzisz, czy podobny system w innym przedsiębiorstwie miał już taki incydent. Stamtąd do mitigation actions z NIST AI RMF czy ISO 42001 - wiesz, jakich konkretnych zaleceń przestrzegać. Cały łańcuch w jednym interfejsie.
• Due diligence dostawcy LegalTech - dostawca twierdzi, że jego system minimalizuje ryzyko Y. Sprawdzasz w Navigatorze, jakie incydenty z kategorii Y są zarejestrowane, jakie governance documents adresują tę kategorię i jakie akcje mitygacyjne są rekomendowane. Jeśli dostawca nie odpowiada na żadną z czterech warstw - czerwona flaga.
• Polityka użycia AI w kancelarii - compliance officer buduje wewnętrzną politykę. Navigator daje jeden interfejs do mapowania ryzyk z literatury, do realnych incydentów, do wymogów regulacyjnych i do konkretnych akcji - co znacznie skraca pracę researcherową w stosunku do scenariusza, w którym trzeba czytać oddzielne dokumenty MIT, oddzielne raporty NIST, oddzielne źródła incydentów.

Funkcje Navigatora warte uwagi

Każdy z czterech datasetów ma browse page z filterable card-based views. Filtrujesz po dacie, domain, sub-domain, źródle, jurysdykcji. Klikasz na kartę - otwiera się modal z detalami. Z modala link do pełnej strony danego incydentu, ryzyka lub dokumentu regulacyjnego. To prosta architektura, ale dla kogoś, kto pracował z surowymi Airtable AIRI, to jakościowy skok.

Drugi mechanizm to global search z semantycznym i keyword matching - jednoczesne queries po wszystkich datasetach, taksonomiach i definicjach. Wpisanie "autonomous vehicles" lub "facial recognition" zwraca związane informacje ze wszystkich czterech baz w jednym widoku. Dla compliance officera kancelarii to znaczy, że nie musi pamiętać, że "rozpoznawanie twarzy" siedzi w domain X, sub-domain Y, klasyfikowane wedle taxonomy Z - wystarczy wpisać.

Trzeci to per-chart export dla wbudowanych wizualizacji. Można wyciągnąć incident breakdown lub coverage governance i włożyć do raportu wewnętrznego kancelarii lub do prezentacji klienta - z atrybucją źródła AIRI. CC BY 4.0 to umożliwia bez negocjacji z prawnikami praw autorskich.

Powiązanie z istniejącymi tomami Bazy Wiedzy

Navigator nie jest osobnym projektem - to warstwa interfejsu nad rzeczami, które MateMatic recenzował już wcześniej. AI Risk Repository to BW/029 (Slattery i in., 74 mapy ryzyka MIT). Mitigation actions czerpią z NIST AI RMF (BW/026) i ISO 42001 (definicje.html). Governance documents obejmują AI Act, który mamy w BW/032 (Bird & Bird Guide) i BW/021 (FAQ Komisji). Innymi słowy: kto czytał te tomy, ma Navigator jako narzędzie do operacjonalizacji wiedzy, którą już ma. Kto Navigatora ma, dostaje BW jako pogłębioną interpretację dla polskiego kontekstu.

Czego paper nie pokrywa

Brak polskiej perspektywy. Governance documents w Navigatorze są skoncentrowane na jurysdykcji USA, częściowo UE, częściowo UK. Polska terminologia prawna, polskie wytyczne sektorowe (UODO, UKE, KNF), Kodeks Etyki Adwokackiej - tego w Navigatorze nie ma. To naturalne, bo MIT AIRI buduje narzędzie globalne. Polski adwokat używa Navigatora jako bazy referencyjnej pierwszej linii - mapowanie na Polskę robi sam, ewentualnie z pomocą tomów BW MateMatic, które ten kontekst dostarczają.

Methodological limitations rozproszone w bazach. Autorzy są uczciwi i otwarcie wymieniają ograniczenia: incidents są klasyfikowane pod jednym risk domain, mimo że często obejmują kilka; governance data jest skewed toward US sources; każdy dataset ma własne ograniczenia metodologiczne. Dla kancelarii to znaczy: cytuj Navigator z atrybucją i ostrożnością co do statystyk agregowanych. Jeśli widzisz że "75% incydentów dotyczy domain X" - sprawdź, czy ta statystyka jest skutkiem reprezentacji w bazie, czy realnym sygnałem.

Ograniczenie wersji 1. Currently 4 datasety. Autorzy zapowiadają trzy kolejne w fazie integracji. To znaczy, że Navigator będzie się rozszerzał - ale w 2026 roku jest narzędziem version 1, nie kompletnym repository. Dla pracy operacyjnej kancelarii to wystarcza; dla badań akademickich może wymagać uzupełnienia o oryginalne źródła AIRI.

Brak interpretacji dla niespecjalisty. Navigator pokazuje dane, ale nie tłumaczy ich na język decyzji. Compliance officer otrzymuje listę 30 incydentów w domain X i listę 15 governance documents - ale syntezę "co z tego dla naszej polityki" musi zrobić sam. To nie jest wada Navigatora - to świadomy wybór projektowy. Narzędzie eksploracyjne, nie poradnik. Synteza dla polskiej kancelarii pozostaje pracą człowieka, ewentualnie z pomocą zewnętrznego doradcy.

Co to znaczy dla checklist audytu LegalTech (uzupełnienie BW/034 i BW/035)

Po BW/034 (Kumaran) i BW/035 (Laban) MateMatic prowadzi pięcio- i siedmio-pytaniową checklistę audytu dostawcy LegalTech: dwa pytania o architekturę pipeline'u (choice-supportive bias, drugi LLM widzący odpowiedź pierwszego), trzy pytania o long-horizon evaluation (testy DELEGATE-52, ablation tooli, dobór modelu pod domenę). Po Navigatorze dodajemy pytanie audytowe #5:

Czy aplikacja LegalTech mapuje swoje funkcje na Risk Domain Taxonomy MIT AIRI lub na inną ustabilizowaną taksonomię ryzyka AI? Jeśli tak - poproś o mapę. Jeśli nie - poproś dostawcę o opisanie własnej taksonomii ryzyka i sprawdź ją w Navigatorze pod kątem pokrycia. Nawet jeśli dostawca nie używa MIT AIRI, fakt że kancelaria ma odniesienie ułatwia ocenę luk.

Co z tego wynika

AI Risk Navigator jest dla MateMatic ważny z trzech powodów. Po pierwsze, daje kancelariom narzędzie operacyjne pierwszej linii do audytu ryzyk AI bez kompletnego budowania własnej infrastruktury research'owej - cztery najważniejsze datasety MIT AIRI w jednym interfejsie, free tier, CC BY 4.0 license. Po drugie, eksternalizuje pracę, którą wcześniej musiała wykonać sama kancelaria - mapowanie ryzyk na governance i na mitigation. To pierwsza warstwa, której nie trzeba teraz robić ręcznie. Po trzecie, wzmacnia argumentację MateMatic w rozmowie z partnerami zarządzającymi: jeśli kancelaria jeszcze nie ma polityki użycia AI, trudno powiedzieć "nie ma narzędzi" - są, są darmowe i są jakościowe.

Dla kogo ten materiał. Dla compliance officera kancelarii budującego wewnętrzną politykę użycia AI - Navigator jako baza referencyjna pierwszej linii. Dla partnera audytującego dostawcę LegalTech - mapowanie obietnic dostawcy na Risk Domain Taxonomy. Dla każdego prawnika, który chce w jednej sesji zrozumieć kontekst danego ryzyka AI od literatury, przez incydenty, do regulacji i akcji mitygacyjnych. Dla tłumacza i edukatora (Akademia MateMatic), który potrzebuje konkretnych przykładów zmapowanych do taksonomii.

Dla kogo nie. Dla nikogo, kto szuka polskiej wykładni AI Act lub mapowania na Kodeks Etyki Adwokackiej - to nie jest scope Navigatora. Dla nikogo, kto oczekuje syntezy "co robić" - Navigator jest narzędziem eksploracyjnym, nie poradnikiem. Dla nikogo, kto potrzebuje pełnego badawczego dostępu do oryginalnych źródeł AIRI - lepiej iść do airisk.mit.edu i pracować z surowymi datasetami.