Lista de materiales de IA (AIBOM)
¿Qué es Lista de materiales de IA (AIBOM)?
Lista de materiales de IA (AIBOM)Inventario legible por máquina de cada componente que entra en un sistema de IA —datasets, modelos base, datos de fine-tuning, librerías, prompts y artefactos de evaluación— usado para seguridad, cumplimiento y rendición de cuentas.
Un AIBOM extiende el concepto de SBOM al ámbito de la IA. Iniciativas como el grupo AIBOM de CISA, el perfil AI de SPDX 3, CycloneDX ML-BOM y los requisitos de documentación técnica del Reglamento europeo definen los metadatos: procedencia y licencias de datasets, identificadores y versiones del modelo base, recetas de fine-tuning, hiperparámetros, resultados de evaluación y limitaciones conocidas. El AIBOM ayuda a rastrear el impacto de un dataset envenenado o de un modelo base con backdoor, demostrar cumplimiento, gestionar el riesgo de cadena de suministro de IA, apoyar retiradas de modelos y alimentar bases de vulnerabilidades (OSV-AI, MITRE ATLAS). Los programas MLSecOps maduros generan AIBOMs automáticamente desde los pipelines y los almacenan junto al artefacto del modelo firmado.
● Ejemplos
- 01
Un archivo CycloneDX ML-BOM adjunto a una release del modelo que lista modelo base, datasets y datos de fine-tuning con sus hashes.
- 02
Un AIBOM utilizado durante la respuesta a un incidente para identificar todos los productos afectados por un modelo de embeddings vulnerable.
● Preguntas frecuentes
¿Qué es Lista de materiales de IA (AIBOM)?
Inventario legible por máquina de cada componente que entra en un sistema de IA —datasets, modelos base, datos de fine-tuning, librerías, prompts y artefactos de evaluación— usado para seguridad, cumplimiento y rendición de cuentas. Pertenece a la categoría de Seguridad de IA y ML en ciberseguridad.
¿Qué significa Lista de materiales de IA (AIBOM)?
Inventario legible por máquina de cada componente que entra en un sistema de IA —datasets, modelos base, datos de fine-tuning, librerías, prompts y artefactos de evaluación— usado para seguridad, cumplimiento y rendición de cuentas.
¿Cómo funciona Lista de materiales de IA (AIBOM)?
Un AIBOM extiende el concepto de SBOM al ámbito de la IA. Iniciativas como el grupo AIBOM de CISA, el perfil AI de SPDX 3, CycloneDX ML-BOM y los requisitos de documentación técnica del Reglamento europeo definen los metadatos: procedencia y licencias de datasets, identificadores y versiones del modelo base, recetas de fine-tuning, hiperparámetros, resultados de evaluación y limitaciones conocidas. El AIBOM ayuda a rastrear el impacto de un dataset envenenado o de un modelo base con backdoor, demostrar cumplimiento, gestionar el riesgo de cadena de suministro de IA, apoyar retiradas de modelos y alimentar bases de vulnerabilidades (OSV-AI, MITRE ATLAS). Los programas MLSecOps maduros generan AIBOMs automáticamente desde los pipelines y los almacenan junto al artefacto del modelo firmado.
¿Cómo defenderse de Lista de materiales de IA (AIBOM)?
Las defensas contra Lista de materiales de IA (AIBOM) combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Lista de materiales de IA (AIBOM)?
Nombres alternativos comunes: AIBOM, ML-BOM.
● Términos relacionados
- appsec№ 1068
Software Bill of Materials (SBOM)
Inventario formal y legible por máquina de los componentes, bibliotecas y dependencias que componen un software, junto con sus versiones y relaciones.
- ai-security№ 034
Riesgo de cadena de suministro de IA
Conjunto de amenazas derivadas de los datasets, modelos base, librerías, plug-ins e infraestructuras de terceros que las organizaciones combinan para construir y desplegar sistemas de IA.
- ai-security№ 691
MLSecOps
Disciplina que integra controles de seguridad y riesgo en todo el ciclo de vida del aprendizaje automático, desde la obtención de datos hasta el entrenamiento, despliegue, monitoreo y retiro.
- ai-security№ 027
Gobernanza de IA
Conjunto de políticas, procesos, roles y controles con los que organizaciones y reguladores garantizan que los sistemas de IA se desarrollan, despliegan y operan de forma responsable y legal.
- ai-security№ 029
Respuesta a incidentes de IA
Conjunto de procesos, roles y playbooks que una organización utiliza para detectar, contener, investigar, comunicar y recuperarse de incidentes relacionados con sistemas de IA.
- ai-security№ 281
Envenenamiento de datos
Ataque a un sistema de aprendizaje automático en el que el adversario inyecta, altera o reetiqueta datos de entrenamiento para que el modelo se comporte de forma incorrecta o contenga puertas traseras ocultas.
● Véase también
- № 081Ataque de puerta trasera (ML)
- № 035Marca de agua de IA
- № 1026Shadow AI
- № 391Reglamento Europeo de IA