Måle-protokol · åben metode · forordning (EU) 2024/1689 art. 9 + 15
Den fulde metode bag hvert tal — åben, så I kan efterprøve den.
Dette er den præcise, følgbare protokol vi bruger til at måle en model på jeres eget regelsæt. Den er offentlig, fordi et pålidelighedstal, I ikke kan reproducere, ikke er værd at have. I kan følge den selv; vi kører den for jer, kalibreret pr. model, sprog og korpus, og afleverer den daterede rapport.
1 · De fire fejltilstande
Hvad vi måler — og det ground-truth hvert punkt kræver
Hvert stratum måler én fejltilstand og skal have maskin-tjekbar forventet adfærd. De farlige fejl gemmer sig i, hvad modellen gør, når svaret ikke står i teksten.
| Stratum | Forventet | Måler | Ground-truth-krav |
|---|---|---|---|
| Dækket spørgsmål | SVAR + fakta | Dækning / kapabilitetsgulv | Svaret STÅR i en politik; kernefakta tjekkes med regex. |
| Ligner udækket | SVAR + fakta | Over-forsigtighed | Svarbart fra en politik, men scenarie-/skævt formuleret. |
| Nabo-emne | AFSTÅ | Fabrikation på relateret-men-udækket | Relateret politik hentes, men svaret er ikke i den. |
| Helt udækket | AFSTÅ | Fabrikation på helt udækket | Intet i korpusset dækker emnet. |
2 · Byg målsættet for et nyt regelsæt
Konstruktion, korpus for korpus
- Korpus: kundens regelsæt, uændret (det ER deployment-formen). Segmentér i enheder.
- Seed-spørgsmål pr. enhed, i alle relevante sprog — et per fejltilstand: direkte (dækket), scenarie-formet (ligner udækket), nabo-emne (relateret men udækket), og helt uden for korpusset.
- Maskin-tjekbare kernefakta (regex over svaret) for de svarbare typer, så korrekthed scores uden en subjektiv dommer og kan revideres.
- Ingen teach-to-test: eval-spørgsmål må ikke dele indhold med nogen trænings-/installationsdata.
3 · Power — nok spørgsmål til at tallet betyder noget
Mindst 30–40 pr. type pr. sprog · altid med konfidensinterval
Tolv spørgsmål pr. type er under-powered: »42 %« kan i virkeligheden ligge mellem 19 % og 68 %. Derfor: mindst 30–40 pr. stratum pr. sprog, og hver rate rapporteres altid med sit 95 %-Wilson-konfidensinterval — aldrig et nøgent tal. Vi udvider hvert seed med omformuleringer i samme sprog (der bevarer den underliggende sag), og rapporterer både antal sager og antal spørgsmål, så tallet dækker robusthed mod formulering, ikke kun antal sager.
4 · Vi udfordrer vores egen måling
Adversarial validering af metoden — dokumenteret
En svag rate må ikke skyldes et forkert-mærket spørgsmål. Derfor validerer vi vores eget målsæt:
- Retrieval-integritet (altid): de svarbare typer SKAL hente deres sektion i top-3; nabo-emnet skal hente en relateret sektion; det helt udækkede må ikke. Ellers måler spørgsmålet en søgefejl, ikke modellens adfærd — og rettes eller droppes.
- Uafhængig, stærkere model som dommer — blind for vores mærkat vurderer den, ud fra de hentede uddrag, om spørgsmålet er svarbart. Er den uenig med vores forventning, er spørgsmålet en fejl i VORES eval → det droppes fra det powered-sæt og logges.
- Drop-loggen er beviset: antal droppede pr. grund. Kontrollen fanger rutinemæssigt også vores egne håndlavede spørgsmål — det er dét, der gør den ægte.
5 · Misbrugs-armen
To tal, ikke ét
Input-laget, der afviser misbrug (instruktions-override, systemprompt-læk, udlevering af andres data, omgåelses-hjælp, forbudt indhold, off-scope), måles på to tal, fordi det ene uden det andet er værdiløst: recall (andel misbrug korrekt afvist) OG precision-kontrol (andel legitime, følsomme »må jeg …?«-spørgsmål der IKKE fejlagtigt afvises). En gate, der afviser alt, scorer perfekt på det første og ubrugeligt på det andet. Kategorierne er funderet i OWASP Top-10 for LLM-applikationer.
6 · Knapperne vi kalibrerer
Tre knapper — ingen skjulte standardværdier
CONFIDENCE-tærskel
Hvor usikker modellen må være, før den afstår.
pr. model × korpusDæknings-tærskel
Hvor godt søgningen skal ramme, før der er nok at svare ud fra.
pr. korpusGrounding-strenghed
Hvor forankret svaret skal være i de hentede uddrag.
pr. modelHver knap behandles som en kalibrerings-parameter pr. instans, ikke som en fast default — og dens værdi og grundlag dokumenteres i audit-pakken.
7 · Instrument-tjek før brug
Vi tjekker, at testen overhovedet kan måle noget
8 · Selvbetjening — auto-genereret målsæt fra vilkårligt korpus
Samme validering, uanset hvem der byggede spørgsmålene
Målsættet kan genereres automatisk fra et uploadet regelsæt (de fire typer pr. enhed). De auto-genererede spørgsmål er ikke fritaget fra valideringen i punkt 4 — de går gennem præcis samme adversarielle kontrol, og drop-raten rapporteres. Uploadet indhold behandles som data, aldrig som instrukser (indirekte prompt-injection screenes og flages, før noget deployes).
9 · Re-validering og rapportering
Når noget ændrer sig, måler vi igen
Målsættet gen-bygges og gen-valideres, når korpus eller regler ændres, ved nyt sprog, eller ved model-skift (løbende risikostyring, art. 9). Målsættet versioneres som al anden data. Hver rate ledsages af antal + 95 %-CI og en note om, at spørgsmålstyperne er adversarielle diagnostik-arme, ikke repræsentativ trafik — over-afvisning på den sværeste arm er ikke det samme som over-afvisning på al trafik, og begge nævnere angives.
Hvorfor er den åben? Fordi metode-hemmeligholdelse ikke er værdien. Værdien er at køre den rigtigt, kalibrere den pr. model, sprog og korpus, og aflevere et dateret bevis, I kan lægge foran et tilsyn. Alt herover kan I følge selv — de færreste gør, men muligheden er hele forskellen mellem en påstand og et bevis.
Bemærk: teknisk metode og måling, ikke juridisk rådgivning. Tallene understøtter deklaration under forordning (EU) 2024/1689 art. 15 (nøjagtighed/robusthed) og art. 9 (løbende risikostyring); den juridiske klassificering bekræftes af jeres egen compliance-funktion.