Modelle
32openai/gpt-4o-minisrc/lib/chat.ts:23reguliertmeta-llama/Llama-3.1-8Bmodels/local.ggufshadowanthropic/claude-3-7-sonnetapps/agent/index.ts:11reguliert
AI-BOM Scanner
Finden Sie jede KI in Ihrem Code.Bevor Ihr Auditor es tut.
Ein Scan, kein Fragebogen. Jedes Modell, jeder Datensatz, jeder Prompt, jeder Agent, jeder MCP-Server und jedes Guardrail katalogisiert. Das EU AI Act Anhang IV Beweispaket landet in Ihren Build-Artefakten.
6Asset-Typen
Annex IVBeweispaket
CycloneDXExportformat
Was im Inventar landetSAMPLE
- ModelleOpenAI · Anthropic · HuggingFace · local GGUF0
- Datensätzetraining, fine-tune, eval, RAG corpora0
- Promptsversioned system + user templates0
- AgentenReAct · LangChain · LlamaIndex · CrewAI0
- MCP-Servertools the agents call out to0
- GuardrailsLlama Guard · Guardrails AI · NeMo0
cybedefend ai-bom · scan complete
Jede Spur, jede Herkunft.
Sechs Kategorien, jedes Element an Datei und Zeile gepinnt. Status markiert jede Komponente ohne Model Card, Lizenz, Scope oder Version.
Datensätze
11wikipedia-en-2024notebooks/finetune.ipynbreguliertcustomer_chats_v2data/training.parquetshadowhf://glaive/code-instructscripts/data.py:8reguliert
Prompts
47chat-system@v3prompts/system.mdreguliertextract-piilib/pii.ts:17drifttriage-flow@v7agents/triage.yamlreguliert
Agenten
9LangChain ReActapps/agent/main.pyreguliertLlamaIndex query engineapps/rag/server.tsshadowCustom MCP hostservices/mcp-host/reguliert
MCP-Server
6mcp://github.local:7001agents/.mcp.jsonreguliertmcp://internal-tools.cybeapps/agent/mcp.tomlreguliertmcp://prod-postgresinfra/mcp.ts:42shadow
Guardrails
3Llama Guard 3 8Binfra/guardrails.ts:9reguliertGuardrails AI · OutputParserlib/safety.ts:14reguliert(none)apps/legacy-agent/fehlt
EU AI Act Anhang IV Belege. Ein Scan zum Ausliefern.
Jeder Scan emittiert einen vollständigen Compliance-Bericht, gemappt auf die Verordnung (EU) 2024/1689. Übergeben Sie ihn an Legal, Ihren Auditor oder den Security-Fragebogen Ihres Kunden.
CYBEDEFEND
EU AI Act · Compliance-Bericht
Executive SummaryAktion erforderlich
Eine oder mehrere verbotene oder hochriskante Komponenten erkannt. §4 prüfen — Aktion vor Deployment erforderlich.
Komponenten gesamt171
GPAI-Komponenten104
Systemisches Risiko3
StatusAktion erforderlich
Nach Risikokategorie (Art. 5/6/50)
§1 — Allgemeine Beschreibung des KI-Systems (Anhang IV §1)171 KI-Komponenten erkannt, sortiert nach Risiko.
| Komponente | Typ | Risiko |
|---|---|---|
acme/behavioral-social-scor-v2 | ML-Modell | Verboten |
acme/credit-scorer-v2 | ML-Modell | Hoch |
acme/customer-chatbot-v4 | ML-Modell | Begrenzt |
openai/gpt-4o-mini | ML-Modell | Minimal |
anthropic/claude-sonnet-4-5 | ML-Modell | Minimal |
+166 weitere Komponenten im vollständigen Bericht
Lassen Sie es laufen, wo Sie deployen. GitHub Actions, GitLab CI, Jenkins, Tekton.
Fügen Sie die cybedefend-action zu Ihrem GitHub-Workflow hinzu oder rufen Sie die CybeDefend CLI aus jeder anderen Pipeline auf. Der AI-BOM-Scan läuft bei jedem Push, der Build bricht ab, wenn eine neue verbotene oder hochriskante Komponente ohne Governance-Dokumentation landet.
.github/workflows/ai-bom.yml
- name: CybeDefend Security Scan
uses: CybeDefend/cybedefend-action@v2
with:
pat: ${{ secrets.CYBEDEFEND_PAT }}
project_id: ${{ secrets.CYBEDEFEND_PROJECT_ID }}
branch: ${{ github.ref_name }}
break_on_severity: highDer EU AI Act ist in Kraft. Audits kommen ohne Vorwarnung.
Drei Gründe, warum AI-BOM Ihr Einstiegspunkt für KI-Governance ist, nicht nachträglich.
Entdeckung zuerst
Jedes Modell, Datensatz, Prompt, Agent, MCP-Server und Guardrail automatisch erfasst. Kein Fragebogen, keine Tabelle, kein Interview pro Team.
EU AI Act Anhang IV nativ
Jeder Anhang-IV-Abschnitt hat eine Emit-Regel. Artikel-11-Dokumentation wird vom Quartalsprojekt zum CI-Artefakt.
NIST AI RMF ausgerichtet
Jede Komponente wird gegen Govern / Map / Measure / Manage getaggt. Mapping-Report exportiert neben dem SBOM.
FAQ
Was AI-BOM erfasst, was es nicht tut.
What exactly does AI-BOM detect?
Models referenced by name (HuggingFace IDs, OpenAI / Anthropic / Google model strings, local .gguf / .onnx weights), datasets referenced in code or config, versioned prompts shipped in the repo, MCP server URLs consumed by your agents, LangChain and LlamaIndex graphs, agent orchestration frameworks (Semantic Kernel, AutoGen, CrewAI, custom ReAct), and guardrails libraries in use (Llama Guard, NeMo, Guardrails AI). Each item lands in the inventory with its source location, version pin, and a heuristic classification.
Is AI-BOM required by the EU AI Act?
Article 11 and Annex IV of the EU AI Act require a technical documentation pack for high-risk AI systems before they enter the EU market. That pack enumerates models, training data sources, intended use, performance metrics, and risk-management measures. AI-BOM produces the evidence in machine-readable form, so the documentation step becomes an export instead of a quarterly project.
Wie wird es in CI/CD integriert?
Fügen Sie die cybedefend-action zu Ihrem GitHub-Workflow hinzu oder rufen Sie die CybeDefend CLI aus jeder anderen Pipeline (GitLab CI, Jenkinsfile, Tekton) auf. Der Scan läuft bei jedem Push, der Bericht wird als Build-Artefakt veröffentlicht, und das Gate bricht ab, wenn eine neue verbotene oder hochriskante Komponente ohne Governance-Dokumentation landet.
What is the difference between AI-BOM and SBOM?
SBOM lists software components and CVEs. AI-BOM lists AI components and their AI-specific governance facets: training data origin, fine-tune lineage, prompt versions, agent capability scope, guardrails coverage, residual risk. They are complementary; CybeDefend produces both, and the AI-BOM output is also exportable as CycloneDX so it slots into your existing SBOM tooling.
Trainiert AI-BOM auf unserem Code?
Nein. Der Scan liest Ihr Repository und produziert ein strukturiertes Inventar; Quellcode verlässt Ihre Umgebung nicht. Das optionale Dashboard erhält nur Metadaten (Komponentennamen, Versionen, Risikoklassifikation), niemals Rohcode oder Prompt-Inhalt.
Von Shadow AI zu reguliert
Scan starten. Ihr KI-Inventar in 4 Sekunden.
Erster Scan gratis. Keine Kreditkarte. Das Beweispaket landet in ./.ai-bom/ bevor Ihr Kaffee fertig ist.