AI-BOM Scanner

Finden Sie jede KI in Ihrem Code.Bevor Ihr Auditor es tut.

Ein Scan, kein Fragebogen. Jedes Modell, jeder Datensatz, jeder Prompt, jeder Agent, jeder MCP-Server und jedes Guardrail katalogisiert. Das EU AI Act Anhang IV Beweispaket landet in Ihren Build-Artefakten.

6Asset-Typen
Annex IVBeweispaket
CycloneDXExportformat
Was im Inventar landetSAMPLE
  • ModelleOpenAI · Anthropic · HuggingFace · local GGUF0
  • Datensätzetraining, fine-tune, eval, RAG corpora0
  • Promptsversioned system + user templates0
  • AgentenReAct · LangChain · LlamaIndex · CrewAI0
  • MCP-ServerTools, die die Agenten aufrufen0
  • GuardrailsLlama Guard · Guardrails AI · NeMo0
cybedefend ai-bom · scan complete
Inventar

Jede Spur, jede Herkunft.

Sechs Kategorien, jedes Element an Datei und Zeile gepinnt. Status markiert jede Komponente ohne Model Card, Lizenz, Scope oder Version.

Modelle

32
  • openai/gpt-4o-minisrc/lib/chat.ts:23reguliert
  • meta-llama/Llama-3.1-8Bmodels/local.ggufshadow
  • anthropic/claude-3-7-sonnetapps/agent/index.ts:11reguliert

Datensätze

11
  • wikipedia-en-2024notebooks/finetune.ipynbreguliert
  • customer_chats_v2data/training.parquetshadow
  • hf://glaive/code-instructscripts/data.py:8reguliert

Prompts

47
  • chat-system@v3prompts/system.mdreguliert
  • extract-piilib/pii.ts:17drift
  • triage-flow@v7agents/triage.yamlreguliert

Agenten

9
  • LangChain ReActapps/agent/main.pyreguliert
  • LlamaIndex query engineapps/rag/server.tsshadow
  • Custom MCP hostservices/mcp-host/reguliert

MCP-Server

6
  • mcp://github.local:7001agents/.mcp.jsonreguliert
  • mcp://internal-tools.cybeapps/agent/mcp.tomlreguliert
  • mcp://prod-postgresinfra/mcp.ts:42shadow

Guardrails

3
  • Llama Guard 3 8Binfra/guardrails.ts:9reguliert
  • Guardrails AI · OutputParserlib/safety.ts:14reguliert
  • (none)apps/legacy-agent/fehlt
Der Compliance-Bericht

EU AI Act Anhang IV Belege. Ein Scan zum Ausliefern.

Jeder Scan erzeugt einen vollständigen Compliance-Bericht, abgebildet auf die Verordnung (EU) 2024/1689. Übergeben Sie ihn an Legal, Ihren Auditor oder den Security-Fragebogen Ihres Kunden.

CYBEDEFEND

EU AI Act · Compliance-Bericht

Projekt
4c61150d-ee1f-4a7f-b40f-49902ceab318
Framework: eu-ai-act v1.0
Rechtsreferenz: Verordnung (EU) 2024/1689
Scan-Datum: 2026-05-21
Executive SummaryAktion erforderlich

Eine oder mehrere verbotene oder hochriskante Komponenten erkannt. §4 prüfen: Aktion vor Deployment erforderlich.

Komponenten gesamt171
GPAI-Komponenten104
Systemisches Risiko3
StatusAktion erforderlich
Verboten11
Hoch7
Begrenzt12
Minimal141
171 KI-Komponenten erkannt, sortiert nach Risiko.
KomponenteTypRisiko
acme/behavioral-social-scor-v2ML-ModellVerboten
acme/credit-scorer-v2ML-ModellHoch
acme/customer-chatbot-v4ML-ModellBegrenzt
openai/gpt-4o-miniML-ModellMinimal
anthropic/claude-sonnet-4-5ML-ModellMinimal

+166 weitere Komponenten im vollständigen Bericht

Anhang-IV-Belege + NIST AI RMF Mapping in jedem Scan enthalten.
In Ihre Pipeline einbauen

Lassen Sie es laufen, wo Sie deployen. GitHub Actions, GitLab CI, Jenkins, Tekton.

Fügen Sie die cybedefend-action zu Ihrem GitHub-Workflow hinzu oder rufen Sie die CybeDefend CLI aus jeder anderen Pipeline auf. Der AI-BOM-Scan läuft bei jedem Push, der Build bricht ab, wenn eine neue verbotene oder hochriskante Komponente ohne Governance-Dokumentation landet.

.github/workflows/ai-bom.yml
- name: CybeDefend Security Scan
  uses: CybeDefend/cybedefend-action@v2
  with:
    pat: ${{ secrets.CYBEDEFEND_PAT }}
    project_id: ${{ secrets.CYBEDEFEND_PROJECT_ID }}
    branch: ${{ github.ref_name }}
    break_on_severity: high
Warum AI-BOM

Sie können KI, die Sie nicht sehen, nicht steuern. Shadow AI steckt längst in Ihren Repos.

Drei Gründe, warum AI-BOM das Governance-Tool für den Einstieg ist und nicht der nachträgliche Gedanke.

Entdeckung zuerst

Jedes Modell, Datensatz, Prompt, Agent, MCP-Server und Guardrail automatisch erfasst. Kein Fragebogen, keine Tabelle, kein Interview pro Team.

EU AI Act Anhang IV nativ

Jeder Anhang-IV-Abschnitt hat eine Emit-Regel. Artikel-11-Dokumentation wird vom Quartalsprojekt zum CI-Artefakt.

NIST AI RMF ausgerichtet

Jede Komponente wird gegen Govern / Map / Measure / Manage getaggt. Mapping-Report exportiert neben dem SBOM.

FAQ

Was AI-BOM erfasst, was es nicht tut.

Was genau erkennt AI-BOM?

Namentlich referenzierte Modelle (HuggingFace-IDs, Modell-Strings von OpenAI, Anthropic oder Google, lokale .gguf-/.onnx-Gewichte), in Code oder Config referenzierte Datensätze, versionierte Prompts im Repository, MCP-Server-URLs, die Ihre Agenten ansprechen, LangChain- und LlamaIndex-Graphen, Agent-Orchestrierungs-Frameworks (Semantic Kernel, AutoGen, CrewAI, eigene ReAct-Implementierungen) sowie eingesetzte Guardrail-Bibliotheken (Llama Guard, NeMo, Guardrails AI). Jedes Element landet im Inventar mit Quellort, fixierter Version und einer heuristischen Klassifikation.

Schreibt der EU AI Act ein AI-BOM vor?

Artikel 11 und Anhang IV des EU AI Act verlangen für Hochrisiko-KI-Systeme eine technische Dokumentation, bevor diese auf den EU-Markt kommen. Diese Dokumentation listet Modelle, Trainingsdatenquellen, Zweckbestimmung, Leistungsmetriken und Maßnahmen zum Risikomanagement auf. AI-BOM erzeugt diese Belege maschinenlesbar, sodass der Dokumentationsschritt zum Export wird statt zum Quartalsprojekt.

Wie wird es in CI/CD integriert?

Fügen Sie die cybedefend-action zu Ihrem GitHub-Workflow hinzu oder rufen Sie die CybeDefend CLI aus jeder anderen Pipeline (GitLab CI, Jenkinsfile, Tekton) auf. Der Scan läuft bei jedem Push, der Bericht wird als Build-Artefakt veröffentlicht, und das Gate bricht ab, wenn eine neue verbotene oder hochriskante Komponente ohne Governance-Dokumentation landet.

Was ist der Unterschied zwischen AI-BOM und SBOM?

Ein SBOM listet Software-Komponenten und CVEs auf. Ein AI-BOM listet KI-Komponenten und ihre KI-spezifischen Governance-Aspekte: Herkunft der Trainingsdaten, Fine-Tune-Abstammung, Prompt-Versionen, Capability-Scope der Agenten, Guardrail-Abdeckung, Restrisiko. Beide ergänzen sich; CybeDefend erzeugt beide, und das AI-BOM lässt sich zusätzlich als CycloneDX exportieren, sodass es sich nahtlos in Ihr bestehendes SBOM-Tooling einfügt.

Trainiert AI-BOM auf unserem Code?

Nein. Der Scan liest Ihr Repository und produziert ein strukturiertes Inventar; Quellcode verlässt Ihre Umgebung nicht. Das optionale Dashboard erhält nur Metadaten (Komponentennamen, Versionen, Risikoklassifikation), niemals Rohcode oder Prompt-Inhalt.

Von Shadow AI zu reguliert

Scan starten. Ihr KI-Inventar in 4 Sekunden.

Erster Scan gratis. Keine Kreditkarte. Das Beweispaket landet in ./.ai-bom/ bevor Ihr Kaffee fertig ist.