我使用 pip 安装了 LangChain,意外触发了 EU AI Act 合规
Source: Dev.to
请提供您希望翻译的正文内容,我将按照要求保留源链接并进行简体中文翻译。
EU AI 法案的惊喜
上个月,我在部署前检查了创业公司的 requirements.txt。
常规的依赖:FastAPI、SQLAlchemy、LangChain,以及一些工具包。
随后我阅读了 EU AI 法案第 6 条,意识到 langchain==0.2.14 这一行使我的应用在欧盟法律下成为 “AI 系统”——这不是一种理论上的可能,而是带有具体义务的法律分类。
如果你的 Python 应用导入了 OpenAI、HuggingFace Transformers、LangChain 或其他十几种 AI 框架——且你的用户中包含任何欧盟地区的用户——那么你很可能也处于同样的境地。EU AI 法案并不在乎你是否认为自己在构建 AI;它关注的是你的代码实际做了什么。第 3 条将 AI 系统 定义为任何基于机器的系统,能够生成预测、推荐或决策等输出。
我的发现
我在一个星期五的下午用 grep 检索项目,发现了三处我早已忘记的框架:
# main.py — 显而易见的
from langchain_openai import ChatOpenAI
# utils/embeddings.py — 我忘记它的存在
from sentence_transformers import SentenceTransformer
# scripts/analyze.py — 四个月前的“临时”脚本
import openai三个文件。三个我之前毫不知情的合规义务。
为什么截止日期很重要
大多数欧盟《人工智能法案》的条款将在 August 2026 完全生效。此后,违规处罚最高可达 €35 million 或 7 % of global annual turnover,两者取较高者。
- Startup with €500 K ARR → theoretical fine of €35 K
- Series A company with €5 M ARR → up to €350 K
The regulation scales with you, and “I didn’t know” isn’t a defense.
快速自我评估检查表
依赖扫描
打开你的 requirements.txt 或 pyproject.toml 并查找以下任何直接的 AI 框架依赖:
openai
anthropic
transformers # HuggingFace
torch / torchvision # PyTorch
tensorflow
langchain / langchain-core / langchain-openai
google-generativeai # Gemini
mistralai
cohere
llama-index
replicate
groq源代码搜索
grep -rn "from openai import\|from langchain\|from transformers import\|import torch\|from anthropic import" --include="*.py" .如果有任何匹配,你的项目使用了 AI 框架。这并不自动使你成为 高风险,但你需要根据《法案》评估你的风险类别。
超越手动 grep
我构建了一个扫描器,能够检查依赖文件和源代码中 16 种 AI 框架。它能捕捉到手动 grep 常常遗漏的情况:
- 传递依赖 – 例如,你的应用并未直接导入
openai,但 LangChain 引用了它。 - 多个入口点 – 位于
notebooks/目录下的 Jupyter notebook 导入了transformers。 - 云服务提供商 SDK –
boto3与 Bedrock 调用、azure-ai-openai、google-cloud-aiplatform;即使包名并不明显,这些也算作 AI 框架的使用。
在我的项目上运行该扫描器大约用了 30 秒,找到了我提到的三个框架,以及通过传递依赖出现的第四个框架(sentence‑transformers),这完全是我之前漏掉的。
实践合规步骤
- 列出你发现的内容 – 哪些框架、哪些文件、它们的作用。
- 评估你的风险等级 – 大多数初创公司的使用场景(聊天机器人、内容生成、搜索)属于有限风险或最小风险。高风险仅限于特定领域:信用评分、招聘、医疗设备、执法。
- 做好文档记录 – 即使是最小风险系统也需要基本的透明度。如果你的应用生成 AI 内容,用户应当知情。
- 设定日历提醒 – 2026 年 8 月。目标是在那之前完成合规工作,而不是等到那一周才处理。
对大多数初创公司而言,实际的合规工作只需要几天的文档编写,而不是重写代码。难点在于认识到你必须要做这件事。
开源扫描器
我已将扫描器开源为一个 MCP server,您可以在本地运行。将其指向您的项目目录,它将:
- 扫描您的依赖项和源代码。
- 报告它发现了哪些框架。
- 建议一个风险类别。
无需注册,也不需要免费层的 API 密钥。设置并运行大约需要 5 分钟。
征集故事
我正在为欧盟 AI 法案构建合规工具,因为我自己首先需要它。如果你也经历过类似的“等等,这适用于我吗?”的时刻,我真诚地想在评论中听听你的故事。