AI SBOM(AI 软件物料清单)
概述
AI SBOM(AI Software Bill of Materials)是针对 AI 系统的软件物料清单标准,旨在增强 AI 系统和供应链的透明度。与传统 SBOM 关注代码依赖不同,AI SBOM 还需覆盖模型、数据集、训练基础设施等 AI 特有组件。
G7 AI SBOM 指南(2026-05-14)
美、加、日、德、法、意、英及欧盟联合发布《AI 软件物料清单 — 最低要素》指南,定义了七大集群:
- 元数据 — 模型基本信息、版本、许可证
- 模型 — 架构、参数量、训练方法
- KPI — 性能指标、评估基准
- 基础设施 — 训练和推理硬件、软件栈
- 安全属性 — 已知漏洞、安全评估结果
- 系统级属性 — 部署配置、访问控制
- 数据集属性 — 训练数据来源、清洗方法、偏见评估
与传统 SBOM 的区别
| 维度 | 传统 SBOM | AI SBOM |
|---|---|---|
| 关注对象 | 代码库、依赖包 | 模型、数据集、代码、基础设施 |
| 许可证追踪 | 开源许可证 | 模型许可证 + 数据版权 |
| 安全评估 | CVE 漏洞 | CVE + 模型安全 + 数据偏见 |
| 供应链深度 | 包依赖树 | 数据采集 → 训练 → 部署全链路 |
相关事件
- 传统 SBOM 推广后供应链攻击仍在上升,安全团队难以将 SBOM 和 VEX 数据转化为可操作决策(2026-04-23)
- G7 指南旨在弥合这一差距,为 AI 系统建立最低透明度标准