Semitora.

6 lipca 2026

Bezpieczny PoC AI w 30 dni: plan wdrożenia krok po kroku

Bezpieczny PoC AI w 30 dni to sposób, by sprawdzić jeden proces na realnym wycinku danych — bez wchodzenia na produkcję, z ograniczoną ekspozycją danych i budżetu. Wybierasz jeden proces, spisujesz shadow AI, przygotowujesz mały zbiór danych, budujesz dowód działania na wycinku, mierzysz jakość ewaluacjami, dodajesz guardrails i logi, a na koniec podejmujesz świadomą decyzję go/no-go. To wpis wdrożeniowy, nie kolejny tekst o AI Act: pokazuje, co powstaje którego dnia, kto za to odpowiada i jakie ryzyko domykasz.

Po co PoC, a nie od razu wdrożenie

PoC (proof of concept) to najtańszy moment, by dowiedzieć się, czy AI faktycznie pomoże w Twoim procesie — zanim wydasz budżet wdrożeniowy. Audyt gotowości AI ustala, co warto wdrożyć; PoC udowadnia to na jednym, dobrze wybranym wycinku i pokazuje jak to działa na Twoich danych. Jeszcze przed dniem 1 sklasyfikuj ryzyko procesu — większość obowiązków AI Act zaczyna obowiązywać od 2 sierpnia 2026 — żeby PoC od początku miał właściwe kontrole, a przypadek, który do PoC się nie nadaje, świadomie odłożyć.

Plan 30 dni: co powstaje, kto odpowiada, jakie ryzyko

To ramowy plan, nie sztywny harmonogram — zakres jednego procesu i stan danych przesuwają daty. „Właściciel” to rola po Twojej stronie plus konsultant; solo konsultant nie zastępuje Twojego właściciela procesu ani IT.

DniArtefaktWłaścicielRyzyko, które domykasz
1–5Wybór procesu + rejestr shadow AIWłaściciel procesu + konsultantZły wybór przypadku; dane wyciekające przez prywatne narzędzia
6–10Wycinek danych z uprawnieniamiWłaściciel danych + IT/bezpieczeństwoDane wrażliwe, brak podstawy przetwarzania, złe źródło prawdy
11–20PoC na wycinku + zestaw referencyjny (golden set)Konsultant + właściciel procesu„Działa” oparte na przeczuciu zamiast na pomiarze
21–25Ewaluacje + guardrails + logiKonsultant + ITHalucynacje, brak audytowalności, brak granic działania
26–30Koszt jednostkowy + decyzja go/no-goZarząd + IT + konsultantWejście w produkcję bez kryteriów i bez kosztu

Tydzień 1: wybór procesu i audyt shadow AI

Wybierz jeden proces powtarzalny, z mierzalnym efektem i danymi, które wolno użyć — obsługa zapytań, wyszukiwanie wiedzy, praca na dokumentach. Równolegle spisz shadow AI: narzędzia AI używane poza wiedzą IT. Bez tego rejestru ani bezpieczeństwo danych, ani zgodność nie są policzalne. Zrób to jako konkretny artefakt, nie sekcję o strachu — prosta tabela wystarczy:

NarzędzieKto używaJakie dane wychodząDecyzja
Publiczny chatbotDział handlowyFragmenty ofert, dane klientówZastąpić wersją firmową / ograniczyć
Wtyczka do notatekZespół produktuNotatki ze spotkańSprawdzić warunki, ustalić granicę
Prywatne konto AIPojedyncze osobyNieznaneZinwentaryzować, uregulować polityką

Zakres trzech poziomów współpracy — audyt, wdrożenie, retainer — opisujemy na stronie usług.

Tydzień 2: dane na wycinku, nie na całości

PoC na jednym, uporządkowanym zbiorze powie Ci więcej niż indeks wszystkiego naraz. Weź mały, reprezentatywny wycinek: kilkadziesiąt do kilkuset dokumentów, które naprawdę odpowiadają na pytania z wybranego procesu. Sprawdź źródła, uprawnienia, jakość i aktualność — pełną checklistę opisaliśmy w gotowości danych do RAG. Jeśli dane są brudne na wycinku, będą brudne na całości — i lepiej wiedzieć to teraz. Jak budujemy odpowiedzi ze źródłem na firmowych dokumentach, pokazujemy na stronie RAG / bazy wiedzy.

Tydzień 3: PoC, ewaluacje i guardrails

Dopiero teraz budujesz dowód działania — celowo późno, bo bez danych i kryteriów PoC nic nie znaczy. Ułóż zestaw referencyjny (golden set): realne pytania, oczekiwane odpowiedzi i źródła. Zmierz jakość: trafność wyszukiwania, ugruntowanie odpowiedzi w źródłach, poprawność cytowań i kontrolę halucynacji — pięć metryk i metodę opisujemy osobno. Dodaj guardrails (granice tematu, filtrowanie danych wrażliwych, poprawna odmowa „nie wiem”) i logi każdej odpowiedzi ze źródłem. Na etapie PoC trzymaj system w trybie tylko do odczytu — agenci, którzy działają w systemach, to osobny, późniejszy etap z własnym nadzorem.

Tydzień 4: logi, koszt i decyzja go/no-go

Policz koszt jednostkowy (koszt jednej odpowiedzi/operacji) na realnych danych, nie z cennika. Potem podejmij decyzję — i potraktuj ją poważnie. Go/no-go to prawdziwa decyzja, nie happy end: no-go jest tanim sukcesem, bo kosztuje ułamek nieudanego wdrożenia. Zapisz kryteria odrzucenia z góry:

To, że taka dyscyplina — ewaluacje, guardrails, logi — działa w produkcji, wiemy z własnego systemu: w mojApteczce ekstrakcja danych z opakowania leku kosztuje 0,0006 USD za skan przy 100% skuteczności na zbiorze walidacyjnym (n=200), a produkcyjna baza wiedzy liczy 302 516 rekordów. Te liczby nie wzięły się z promptu, tylko z tej samej dyscypliny, którą PoC ma sprawdzić — co naprawdę kosztuje GenAI na produkcji.

Czego PoC nie załatwia

Udany PoC to dowód, że warto wdrażać — nie sama zgodność i nie produkcja. Klasy ryzyka, dokumentacji i nadzoru wymaganych przez AI Act nie zastąpi prototyp; domyka się je dopiero wdrożeniem. PoC daje za to podstawę świadomej decyzji: wiesz, co działa, po jakim koszcie i czego jeszcze brakuje do produkcji.

Najczęstsze pytania

Czy PoC AI musi używać danych produkcyjnych?

Nie musi używać pełnej produkcji — wystarczy mały, reprezentatywny wycinek realnych danych z odwzorowanymi uprawnieniami. Dane syntetyczne bywają pomocne na start, ale nie pokażą prawdziwej jakości ani ryzyka; realny wycinek pokaże jedno i drugie przy ograniczonej ekspozycji.

Jak ograniczyć shadow AI?

Zacznij od rejestru: narzędzie, kto używa, jakie dane wychodzą. Dopiero z tym obrazem podejmujesz decyzje — zastąpić wersją firmową, ograniczyć zakres danych albo uregulować polityką. Bez rejestru zakaz jest pozorny, a dane i tak wyciekają.

Kiedy PoC powinien przejść do produkcji?

Gdy ewaluacje są powtarzalnie powyżej progu, koszt jednostkowy jest niższy niż wartość procesu, a guardrails i logi działają. Jeśli którykolwiek warunek nie jest spełniony, produkcją jest domknięcie tego warunku, nie skalowanie wątpliwego PoC.

Jak mierzyć jakość RAG?

Pięcioma miarami: trafność wyszukiwania, ugruntowanie odpowiedzi w źródłach, poprawność cytowań, kontrola halucynacji i poprawna odmowa. Podstawą jest zestaw referencyjny — metodę opisujemy tutaj.

Czy PoC wystarczy do AI Act?

Nie. PoC może pokazać, że system da się zbudować zgodnie z wymogami, ale klasyfikacji ryzyka, dokumentacji i nadzoru wymaganych przez AI Act nie zastępuje — te obowiązki domyka się na etapie wdrożenia.

Co dalej

Jak prowadzimy audyt, wdrożenie i utrzymanie — trzy poziomy współpracy — opisujemy na stronie usług. Chcesz przejść ten plan na swoim procesie? Napisz do nas — odpowiadamy w jeden dzień roboczy.