Modelle
32openai/gpt-4o-minisrc/lib/chat.ts:23reguliertmeta-llama/Llama-3.1-8Bmodels/local.ggufshadowanthropic/claude-3-7-sonnetapps/agent/index.ts:11reguliert
Ein Scan, kein Fragebogen. Jedes Modell, jeder Datensatz, jeder Prompt, jeder Agent, jeder MCP-Server und jedes Guardrail katalogisiert. Das EU AI Act Anhang IV Beweispaket landet in Ihren Build-Artefakten.
Sechs Kategorien, jedes Element an Datei und Zeile gepinnt. Status markiert jede Komponente ohne Model Card, Lizenz, Scope oder Version.
openai/gpt-4o-minisrc/lib/chat.ts:23reguliertmeta-llama/Llama-3.1-8Bmodels/local.ggufshadowanthropic/claude-3-7-sonnetapps/agent/index.ts:11reguliertwikipedia-en-2024notebooks/finetune.ipynbreguliertcustomer_chats_v2data/training.parquetshadowhf://glaive/code-instructscripts/data.py:8reguliertchat-system@v3prompts/system.mdreguliertextract-piilib/pii.ts:17drifttriage-flow@v7agents/triage.yamlreguliertLangChain ReActapps/agent/main.pyreguliertLlamaIndex query engineapps/rag/server.tsshadowCustom MCP hostservices/mcp-host/reguliertmcp://github.local:7001agents/.mcp.jsonreguliertmcp://internal-tools.cybeapps/agent/mcp.tomlreguliertmcp://prod-postgresinfra/mcp.ts:42shadowLlama Guard 3 8Binfra/guardrails.ts:9reguliertGuardrails AI · OutputParserlib/safety.ts:14reguliert(none)apps/legacy-agent/fehltJeder Scan erzeugt einen vollständigen Compliance-Bericht, abgebildet auf die Verordnung (EU) 2024/1689. Übergeben Sie ihn an Legal, Ihren Auditor oder den Security-Fragebogen Ihres Kunden.
Eine oder mehrere verbotene oder hochriskante Komponenten erkannt. §4 prüfen: Aktion vor Deployment erforderlich.
| Komponente | Typ | Risiko |
|---|---|---|
acme/behavioral-social-scor-v2 | ML-Modell | Verboten |
acme/credit-scorer-v2 | ML-Modell | Hoch |
acme/customer-chatbot-v4 | ML-Modell | Begrenzt |
openai/gpt-4o-mini | ML-Modell | Minimal |
anthropic/claude-sonnet-4-5 | ML-Modell | Minimal |
+166 weitere Komponenten im vollständigen Bericht
Fügen Sie die cybedefend-action zu Ihrem GitHub-Workflow hinzu oder rufen Sie die CybeDefend CLI aus jeder anderen Pipeline auf. Der AI-BOM-Scan läuft bei jedem Push, der Build bricht ab, wenn eine neue verbotene oder hochriskante Komponente ohne Governance-Dokumentation landet.
- name: CybeDefend Security Scan
uses: CybeDefend/cybedefend-action@v2
with:
pat: ${{ secrets.CYBEDEFEND_PAT }}
project_id: ${{ secrets.CYBEDEFEND_PROJECT_ID }}
branch: ${{ github.ref_name }}
break_on_severity: highDrei Gründe, warum AI-BOM das Governance-Tool für den Einstieg ist und nicht der nachträgliche Gedanke.
Jedes Modell, Datensatz, Prompt, Agent, MCP-Server und Guardrail automatisch erfasst. Kein Fragebogen, keine Tabelle, kein Interview pro Team.
Jeder Anhang-IV-Abschnitt hat eine Emit-Regel. Artikel-11-Dokumentation wird vom Quartalsprojekt zum CI-Artefakt.
Jede Komponente wird gegen Govern / Map / Measure / Manage getaggt. Mapping-Report exportiert neben dem SBOM.
Namentlich referenzierte Modelle (HuggingFace-IDs, Modell-Strings von OpenAI, Anthropic oder Google, lokale .gguf-/.onnx-Gewichte), in Code oder Config referenzierte Datensätze, versionierte Prompts im Repository, MCP-Server-URLs, die Ihre Agenten ansprechen, LangChain- und LlamaIndex-Graphen, Agent-Orchestrierungs-Frameworks (Semantic Kernel, AutoGen, CrewAI, eigene ReAct-Implementierungen) sowie eingesetzte Guardrail-Bibliotheken (Llama Guard, NeMo, Guardrails AI). Jedes Element landet im Inventar mit Quellort, fixierter Version und einer heuristischen Klassifikation.
Artikel 11 und Anhang IV des EU AI Act verlangen für Hochrisiko-KI-Systeme eine technische Dokumentation, bevor diese auf den EU-Markt kommen. Diese Dokumentation listet Modelle, Trainingsdatenquellen, Zweckbestimmung, Leistungsmetriken und Maßnahmen zum Risikomanagement auf. AI-BOM erzeugt diese Belege maschinenlesbar, sodass der Dokumentationsschritt zum Export wird statt zum Quartalsprojekt.
Fügen Sie die cybedefend-action zu Ihrem GitHub-Workflow hinzu oder rufen Sie die CybeDefend CLI aus jeder anderen Pipeline (GitLab CI, Jenkinsfile, Tekton) auf. Der Scan läuft bei jedem Push, der Bericht wird als Build-Artefakt veröffentlicht, und das Gate bricht ab, wenn eine neue verbotene oder hochriskante Komponente ohne Governance-Dokumentation landet.
Ein SBOM listet Software-Komponenten und CVEs auf. Ein AI-BOM listet KI-Komponenten und ihre KI-spezifischen Governance-Aspekte: Herkunft der Trainingsdaten, Fine-Tune-Abstammung, Prompt-Versionen, Capability-Scope der Agenten, Guardrail-Abdeckung, Restrisiko. Beide ergänzen sich; CybeDefend erzeugt beide, und das AI-BOM lässt sich zusätzlich als CycloneDX exportieren, sodass es sich nahtlos in Ihr bestehendes SBOM-Tooling einfügt.
Nein. Der Scan liest Ihr Repository und produziert ein strukturiertes Inventar; Quellcode verlässt Ihre Umgebung nicht. Das optionale Dashboard erhält nur Metadaten (Komponentennamen, Versionen, Risikoklassifikation), niemals Rohcode oder Prompt-Inhalt.
Erster Scan gratis. Keine Kreditkarte. Das Beweispaket landet in ./.ai-bom/ bevor Ihr Kaffee fertig ist.