写在前面的话:为什么 SBOM for AI 是 AI 治理与网络安全的“透明底账”
供应链攻击的首要防线
AI 系统的供应链比传统软件更长、更复杂:除了代码,还要引入基础模型、训练数据、微调流水线、加速硬件等多重依赖。这些“黑盒”环节为攻击者提供了更大的潜伏空间(数据投毒、模型后门、依赖包篡改等)。文件指出,缺乏对这些组件来龙去脉的可见性,使得“在产品交付前发现弱点、操纵或妥协的难度成倍增加”。SBOM for AI 通过把所有关键组件‐关系做成“清单”,为事前审查、事后溯源和应急比对提供了统一坐标系,从而成为供应链安全的“第一道门禁”。
支撑风险治理与法规合规
G7、欧盟 AI 法案、欧盟《网络韧性法案》(CRA)、NIS2 等监管框架都把“透明度、可追溯性”写入硬性条款。SBOM for AI 为监管方和受监管企业提供机器可读、可验证的元数据格式,可与漏洞管理、合规稽核、模型/数据卡等工具对接,缩短“发现—定位—修补”周期,降低执法与整改成本。
促进安全开发与可信采购
文档强调:持续使用 SBOM for AI 能够减少昂贵的返工(例如重新训练)、简化许可管理,并让采购方在决策前就能判断模型、数据或供应商是否符合自身安全基线。这把传统“安全补丁后置”模式前移到设计-开发-采购全流程,实现真正的 Secure-by-Design。
特此,2025年6月16日,意大利ACM和德国BSI共同发布《人工智能软件物料清单的共同愿景》,全文翻译如下:
人工智能软件物料清单(SBOM for AI)的共享愿景
本文是在 G7 网络安全工作组的“携手共进:人工智能”工作流下撰写的。它旨在提供思考的素材,并不是与现有 G7 团体(如广岛AI进程)所开展的工作相冲突。在某些司法管辖区,本文提出的 AI 软件物料清单(SBOM for AI)的许多要素可能已被涵盖,例如通过法律要求和义务或现有或即将出台的标准。由于 G7 成员国内部法律和政策框架的持续演变,本文将会进一步迭代。
1. 引言
全球范围内的组织、机构和公众都在出于多种目的使用人工智能(AI)系统。开发此类系统极为复杂:它需要大量资源(例如能源、数据)、基础设施(特别是 GPU)以及人类专业知识。许多 AI 系统通常依赖现有的基础模型——无论是商业的还是开源的——并根据其应用目的进行调整。
与大多数现代软件系统一样,AI 系统复杂性极高。复杂性往往导致人们对 AI 系统的工作原理以及 AI 系统所基于的组件和要素缺乏深入了解。
因此,关键的网络安全问题,如潜在缺陷、漏洞、操纵或妥协,难以被检测出来。事实上,AI 系统的训练方式,包括所使用的数据和底层基础模型,对于确保 AI 系统的可信性、安全性和可靠性至关重要,而我们注意到 AI 系统的安全性和可靠性是相关的,正如在 G7 领导人关于广岛AI进程的声明中所描述的那样。
G7 网络安全工作组建议引入人工智能软件物料清单(SBOM for AI)的共同概念。1 AI 软件物料清单(SBOM for AI)由构建 AI 系统所使用的各种组件的详细信息及其供应链关系的结构化记录组成。AI 软件物料清单(SBOM for AI)的目标是通过 AI 供应链的透明度和其组件及其依赖关系的可追溯性,促进 AI 系统的安全性。
本文提出了 AI 软件物料清单(SBOM for AI)概念的共享愿景及其初步概述,包括其对网络安全的好处、其特性以及对其示例最小元素的初步建议。尽管 AI 软件物料清单(SBOM for AI)并非明确的网络安全工具,但如果设计和使用得当,并与适当的工具(例如漏洞管理软件)结合使用,它们可以促进透明的库存管理,从而帮助确保供应链的安全。本文以展望进一步推进 AI 软件物料清单(SBOM for AI)框架技术实施的必要下一步作为结尾。
2. 通过人工智能供应链的透明度提升网络安全
确保 AI 系统安全的关键挑战之一是供应链其对传统和新型攻击向量的脆弱性。AI 供应链的深度和复杂性,加上不断演变和动态的 AI 生命周期,构成了相当大的攻击面。成功的网络攻击通常旨在在产品到达消费者/最终用户之前对其进行破坏,包括 AI 组件。所谓供应链攻击的目标通常是收集/窃取敏感信息、预先定位以及更广泛地造成损害,无论是利益相关者之间的关系还是经济方面,例如通过篡改或投毒数据、导致低效、错误信息或追求自身利益。
在这种背景下,通过增加透明度,特别是关于最终 AI 系统的创建过程以及其各个组件和依赖关系的信息,可以实现通过 AI 供应链来提升网络安全。虽然对于传统软件产品,软件物料清单(SBOM)概念可能有助于缓解上述网络安全攻击,但目前尚未建立国际上公认且实用的适用于使用 AI 的系统的通用实践。与其它安全工具结合使用时,AI 软件物料清单(SBOM for AI)可以增加供应链的透明度,从而有助于网络安全。
AI 软件物料清单(SBOM for AI)可以带来关于 AI 系统组成的透明度和充分信息。它通过最小化检查已知漏洞是否部署在 AI 系统组件内所需的时间,促进漏洞管理和补丁更新,支持风险管理。
此外,AI 软件物料清单(SBOM for AI)允许对 AI 模型进行跟踪,解决与性能相关的问题,同时加快整个安全合规性验证过程,简化审计并跟踪已有的合规性认证。此外,在 AI 系统的开发阶段,使用已经经过验证的组件可以降低成本。作为现有“安全设计”范式的一部分,持续使用 AI 软件物料清单(SBOM for AI)可以在昂贵且耗时的返工(例如模型重新训练或损害修复)方面产生积极影响。AI 软件物料清单(SBOM for AI)还有助于许可证管理。最重要的是,AI 软件物料清单(SBOM for AI)通过使利益相关者能够谨慎决定某个 AI 系统、单个组件或供应商是否适合特定用途,增强了 AI 系统利益相关者的自主性和意识。
3. 人工智能软件物料清单(SBOM for AI)
特性
为了使 AI 软件物料清单(SBOM for AI)有效,它需要确保满足以下三个特性:
能够捕捉 AI 系统的静态和动态方面(例如用于训练、测试和验证的生命周期中的数据集或学习成果),这些方面使它们与传统软件系统区分开来;
能够以机器可读格式轻松自动处理和工具生成;
尽可能利用结构化数据格式,以确保相关信息披露透明,按需向所有利益相关者提供。
此外,明确界定 AI 软件物料清单(SBOM for AI)应包括的信息集同样重要,这被定义为其“最小元素”。
最小元素
AI 软件物料清单(SBOM for AI)应由一组最小元素组成,以捕捉 AI 系统的独特特征,确保兼容性并为所有利益相关者提供适当水平的透明度。它应自动基于每个 AI 组件捕获的信息,提供对系统中 AI 元素之间流动的理解。尽管存在一些透明度机制,但本文件旨在突出一组核心数据字段,这些字段是可由机器生成和处理的。重要的是要强调,这些最小元素仅是合理建议,并应根据具体使用情境相应决定。以下是 G7 AI 软件物料清单(SBOM for AI)框架的示例性最小元素,这些元素可以扩展用于传统软件物料清单的信息(例如供应商名称、组件版本)2,按群组列出,可嵌入更详细的信息:
AI 系统使用的模型,包括用于识别模型的基本信息、描述模型的创建方式以及说明模型的预期用途。
训练,包括对训练技术和管道的描述以及关于训练数据集的信息,例如数据集的数据表。
在模型整个生命周期中使用的数据集,包括记录数据的身份、创建、使用和来源的基本信息。
2 例如,我们可以参考美国商务部 NTIA 文档中包含的信息。
安全性和可靠性特征,例如与在 AI 生命周期中采用的安全防护或护栏措施、安全对齐、合规性认证和网络安全最佳实践的链接或引用。
系统级特征,例如与 不同AI 元素之间流动以及模型如何消耗输入数据的描述的链接或引用。
AI 系统的关键性能指标,包括模型基准评估结果。
关于 AI 系统组件的许可信息。
AI 系统使用的基础设施,包括交付 AI 系统所特别需要的软件组件。
该列表在未来将对群组进行进一步扩展,以跟上技术的快速发展。
为了增强度可信并避免给人一种虚假的安全感,AI 软件物料清单(SBOM for AI)应作为一个整体进行验证。这意味着不仅要验证其各个组件(例如通过相应制造商的加密哈希或数字签名)的真实性,还要验证整个 AI 软件物料清单(SBOM for AI)。为了实现这一目标,可行的 AI 软件物料清单(SBOM for AI)至少应由其制造商进行数字签名。虽然 AI 软件物料清单(SBOM for AI)中的各个组件已签名,但整个 AI 软件物料清单(SBOM for AI)的签名应可从外部进行验证。
4. 未来发展方向
挑战
AI 软件物料清单(SBOM for AI)应包含区分 AI 系统的独特特征与传统软件组件的差异。在引入 AI 软件物料清单(SBOM for AI)之前,系统卡和模型卡等工具已被私营公司和 AI 监管机构提出,作为提供 AI 模型透明度的工具。尽管在某些情境中这些工具具有有效性,但目前这些工具存在缺乏协调一致且机器可读的格式、自动化和与其他工具的互操作性等问题。数据管理也是一个重要考虑因素。目前,软件物料清单(SBOM)并不被法规或市场预期为公开可用,而 AI 软件物料清单(SBOM for AI)的知识产权保护假设也应成立。通过适当的文件格式和字段捕捉 AI 模型的动态特征是构建 AI 软件物料清单(SBOM for AI)的挑战之一。同时,AI 软件物料清单(SBOM for AI)需要能够提供训练管道和数据集的可追溯性,特别是在涉及专有闭源模型、合成数据和预训练信息的情况下,这些情况下使用了大量多样化的数据语料库和复杂的数据处理管道来创建基础模型。此外,鉴于 AI 技术发展的速度,保持 AI 软件物料清单(SBOM for AI)的更新至关重要,当需要时添加新信息和相关字段,例如模型蒸馏这一新兴且有意义的技术,就应被纳入 AI 软件物料清单(SBOM for AI)。事实上,这很容易导致物料清单变长和信息冗余,因此自动化和格式的协调对于创建有意义且有效的 AI 软件物料清单(SBOM for AI)至关重要。此外,鉴于 AI 模型红队测试领域仍大多处于实验性阶段,开发一个有效跟踪 AI 漏洞和弱点的框架也至关重要。
未来的 G7 工作
本文提出了 G7 关于 AI 软件物料清单(SBOM for AI)的共享愿景,以增强 AI 系统和模型整个供应链的透明度和网络安全。可信的 AI 软件物料清单(SBOM for AI):
使参与 AI 供应链的所有利益相关者都能从系统组件的增强透明度和知识中受益;
降低风险,提高对 AI 系统核心组件的洞察力和可追溯性,包括安全防护、漏洞管理和合规性认证;
可以促进与已建立的传统软件安全、透明度和网络安全框架(例如软件物料清单或安全公告和公告)的互操作性,或被整合其中。
为了充分利用 AI 软件物料清单(SBOM for AI)的好处并应对挑战,G7 网络安全工作组“携手共进:人工智能”的下一步工作将是提供一个共享的技术愿景,以应对这些挑战,从 2025 年下半年开始对现有框架进行现状分析。随后将开展进一步的技术建议和指南工作,为定义一个促进公共和私营部门运营商采用 AI 软件物料清单(SBOM for AI)的共同框架提供支持
注:
1 AI 软件物料清单(SBOM for AI)的术语遵循传统软件管理领域已建立的软件物料清单(SBOM)概念。
2 举例可以参考美国商务部NTIA文件
参考文献
Allen D. Householder, Vijay S. Sarvepalli, Jeff Havrilla, Matt Churilla, Lena Pons, Shing-hon Lau, Nathan M. VanHoudnos, Andrew Kompanek, and Lauren McIlvenny: Lessons Learned in Coordinated Disclosure for Artificial Intelligence and Machine Learning Systems. 2024.
Federal Office for Information Security (BSI): Transparency of AI Systems, White Paper. 2024.
Federal Office for Information Security (BSI): Technical Guideline TR-03183: Cyber Resilience Requirements for Manufacturers and Products - Part 2: Software Bill of Materials (SBOM). 2024.
French National Cybersecurity Authority (ANSSI): Building trust in AI through a cyber risk-based approach. Joint high-level risk analysis on AI. Version 1.0, 2025.
Ministry of Economy, Trade and Industries (METI) of Japan: Revised Guide Formulated on Specific Methods for Managing Software Vulnerability Utilizing “Software Bill of Materials (SBOM),” a List of Software Components, as a Preparatory Guide for Cyberattacks.
National Cyber Security Center (NCSC): Guidelines for secure AI system development. 2023.
The United States Department of Commerce: The Minimum Elements For a Software Bill of Materials (SBOM), 2021.
声明:本文来自那一片数据星辰,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
