AI Bill of Materials (AIBOM)
Qu'est-ce que AI Bill of Materials (AIBOM) ?
AI Bill of Materials (AIBOM)Inventaire lisible par la machine de chaque composant entrant dans un système d'IA — datasets, modèles de base, données de fine-tuning, bibliothèques, prompts, artefacts d'évaluation — utilisé pour la sécurité, la conformité et la responsabilité.
L'AIBOM étend la notion de SBOM à l'IA. Des initiatives comme le groupe AIBOM de la CISA, le profil AI de SPDX 3, CycloneDX ML-BOM et les exigences de documentation technique de l'AI Act européen prescrivent les métadonnées : provenance et licences des datasets, identifiants et versions du modèle de base, recettes de fine-tuning, hyperparamètres, résultats d'évaluation et limitations connues. Un AIBOM aide à tracer l'impact d'un dataset empoisonné ou d'un modèle de base avec backdoor, à démontrer la conformité, à gérer la chaîne d'approvisionnement IA, à supporter les rappels de modèles et à alimenter les bases de vulnérabilités (OSV-AI, MITRE ATLAS). Les programmes MLSecOps matures génèrent les AIBOMs automatiquement depuis les pipelines et les stockent aux côtés d'artefacts signés.
● Exemples
- 01
Un fichier CycloneDX ML-BOM joint à une release de modèle listant le modèle de base, les datasets et les données de fine-tuning avec leurs hachages.
- 02
Un AIBOM utilisé pendant une réponse à incident pour identifier chaque produit impacté par un modèle d'embeddings vulnérable.
● Questions fréquentes
Qu'est-ce que AI Bill of Materials (AIBOM) ?
Inventaire lisible par la machine de chaque composant entrant dans un système d'IA — datasets, modèles de base, données de fine-tuning, bibliothèques, prompts, artefacts d'évaluation — utilisé pour la sécurité, la conformité et la responsabilité. Cette notion relève de la catégorie Sécurité de l'IA et du ML en cybersécurité.
Que signifie AI Bill of Materials (AIBOM) ?
Inventaire lisible par la machine de chaque composant entrant dans un système d'IA — datasets, modèles de base, données de fine-tuning, bibliothèques, prompts, artefacts d'évaluation — utilisé pour la sécurité, la conformité et la responsabilité.
Comment fonctionne AI Bill of Materials (AIBOM) ?
L'AIBOM étend la notion de SBOM à l'IA. Des initiatives comme le groupe AIBOM de la CISA, le profil AI de SPDX 3, CycloneDX ML-BOM et les exigences de documentation technique de l'AI Act européen prescrivent les métadonnées : provenance et licences des datasets, identifiants et versions du modèle de base, recettes de fine-tuning, hyperparamètres, résultats d'évaluation et limitations connues. Un AIBOM aide à tracer l'impact d'un dataset empoisonné ou d'un modèle de base avec backdoor, à démontrer la conformité, à gérer la chaîne d'approvisionnement IA, à supporter les rappels de modèles et à alimenter les bases de vulnérabilités (OSV-AI, MITRE ATLAS). Les programmes MLSecOps matures génèrent les AIBOMs automatiquement depuis les pipelines et les stockent aux côtés d'artefacts signés.
Comment se défendre contre AI Bill of Materials (AIBOM) ?
Les défenses contre AI Bill of Materials (AIBOM) combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de AI Bill of Materials (AIBOM) ?
Noms alternatifs courants : AIBOM, ML-BOM.
● Termes liés
- appsec№ 1068
Software Bill of Materials (SBOM)
Inventaire formel, lisible par machine, des composants, bibliothèques et dépendances qui composent un logiciel, avec leurs versions et relations.
- ai-security№ 034
Risque de chaîne d'approvisionnement IA
Ensemble de menaces issues des datasets, modèles de base, bibliothèques, plug-ins et infrastructures tiers que les organisations combinent pour construire et déployer des systèmes d'IA.
- ai-security№ 691
MLSecOps
Discipline qui intègre des contrôles de sécurité et de risque sur tout le cycle de vie du machine learning, depuis la collecte des données jusqu'à l'entraînement, le déploiement, la supervision et le retrait.
- ai-security№ 027
Gouvernance de l'IA
Ensemble de politiques, processus, rôles et contrôles qu'organisations et régulateurs mobilisent pour garantir un développement, un déploiement et une exploitation responsables et conformes des systèmes d'IA.
- ai-security№ 029
Réponse aux incidents IA
Ensemble de processus, rôles et playbooks qu'une organisation utilise pour détecter, contenir, enquêter, communiquer et se remettre d'incidents impliquant des systèmes d'IA.
- ai-security№ 281
Empoisonnement de données
Attaque contre un système d'apprentissage automatique dans laquelle l'adversaire injecte, modifie ou réétiquette des données d'entraînement pour que le modèle résultant se comporte mal ou contienne des portes dérobées cachées.
● Voir aussi
- № 081Attaque par porte dérobée (ML)
- № 035Watermarking d'IA
- № 1026Shadow AI
- № 391Reglement europeen sur l'IA