Modelos
32openai/gpt-4o-minisrc/lib/chat.ts:23gobernadometa-llama/Llama-3.1-8Bmodels/local.ggufshadowanthropic/claude-3-7-sonnetapps/agent/index.ts:11gobernado
Escáner AI-BOM
Encuentra cada IA en tu código.Antes que tu auditor.
Un escaneo, sin cuestionario. Cada modelo, dataset, prompt, agente, servidor MCP y guardrail catalogado. El paquete de evidencia Anexo IV del EU AI Act aterriza en tus artefactos de build.
6tipos de activos
Annex IVpaquete de evidencia
CycloneDXformato de exportación
Lo que aterriza en el inventarioSAMPLE
- ModelosOpenAI · Anthropic · HuggingFace · local GGUF0
- Datasetstraining, fine-tune, eval, RAG corpora0
- Promptsversioned system + user templates0
- AgentesReAct · LangChain · LlamaIndex · CrewAI0
- Servidores MCPtools the agents call out to0
- GuardrailsLlama Guard · Guardrails AI · NeMo0
cybedefend ai-bom · scan complete
Cada rastro, cada procedencia.
Seis categorías, cada elemento anclado a archivo y línea. Un estado señala los componentes sin model card, sin licencia, sin alcance, sin versión.
Datasets
11wikipedia-en-2024notebooks/finetune.ipynbgobernadocustomer_chats_v2data/training.parquetshadowhf://glaive/code-instructscripts/data.py:8gobernado
Prompts
47chat-system@v3prompts/system.mdgobernadoextract-piilib/pii.ts:17derivatriage-flow@v7agents/triage.yamlgobernado
Agentes
9LangChain ReActapps/agent/main.pygobernadoLlamaIndex query engineapps/rag/server.tsshadowCustom MCP hostservices/mcp-host/gobernado
Servidores MCP
6mcp://github.local:7001agents/.mcp.jsongobernadomcp://internal-tools.cybeapps/agent/mcp.tomlgobernadomcp://prod-postgresinfra/mcp.ts:42shadow
Guardrails
3Llama Guard 3 8Binfra/guardrails.ts:9gobernadoGuardrails AI · OutputParserlib/safety.ts:14gobernado(none)apps/legacy-agent/ausente
Evidencia Anexo IV EU AI Act. Un escaneo para entregarla.
Cada escaneo emite un informe de conformidad completo mapeado al Reglamento (UE) 2024/1689. Entrégalo a legal, a tu auditor o al cuestionario de seguridad de tu cliente.
CYBEDEFEND
EU AI Act · Informe de conformidad
Resumen ejecutivoAcción requerida
Uno o más componentes prohibidos o de alto riesgo detectados. Revisar §4 — acción requerida antes del despliegue.
Componentes totales171
Componentes GPAI104
Riesgo sistémico3
EstadoAcción requerida
Por categoría de riesgo (Art. 5/6/50)
§1 — Descripción general del sistema de IA (Anexo IV §1)171 componentes IA detectados, ordenados por severidad.
| Componente | Tipo | Riesgo |
|---|---|---|
acme/behavioral-social-scor-v2 | Modelo ML | Prohibido |
acme/credit-scorer-v2 | Modelo ML | Alto |
acme/customer-chatbot-v4 | Modelo ML | Limitado |
openai/gpt-4o-mini | Modelo ML | Mínimo |
anthropic/claude-sonnet-4-5 | Modelo ML | Mínimo |
+166 componentes más en el informe completo
Ejecútalo donde despliegas. GitHub Actions, GitLab CI, Jenkins, Tekton.
Añade la cybedefend-action a tu workflow de GitHub, o llama a la CybeDefend CLI desde cualquier otro pipeline. El escaneo AI-BOM corre en cada push y el build falla cuando un nuevo componente prohibido o de alto riesgo aterriza sin documentación de gobernanza.
.github/workflows/ai-bom.yml
- name: CybeDefend Security Scan
uses: CybeDefend/cybedefend-action@v2
with:
pat: ${{ secrets.CYBEDEFEND_PAT }}
project_id: ${{ secrets.CYBEDEFEND_PROJECT_ID }}
branch: ${{ github.ref_name }}
break_on_severity: highEl EU AI Act entra en vigor. Las auditorías llegan sin avisar.
Tres razones para poner AI-BOM al inicio del proceso de gobernanza, no al final.
Descubrimiento primero
Cada modelo, dataset, prompt, agente, servidor MCP y guardrail localizado automáticamente. Sin cuestionario, sin hoja de cálculo, sin ronda de entrevistas por equipo.
EU AI Act Anexo IV nativo
Cada sección del Anexo IV tiene su regla de emisión. La documentación del Artículo 11 pasa de proyecto trimestral a artefacto de CI.
NIST AI RMF alineado
Cada componente está etiquetado contra Govern / Map / Measure / Manage. El informe de mapping se exporta junto al SBOM.
FAQ
Lo que AI-BOM detecta, lo que no hace.
What exactly does AI-BOM detect?
Models referenced by name (HuggingFace IDs, OpenAI / Anthropic / Google model strings, local .gguf / .onnx weights), datasets referenced in code or config, versioned prompts shipped in the repo, MCP server URLs consumed by your agents, LangChain and LlamaIndex graphs, agent orchestration frameworks (Semantic Kernel, AutoGen, CrewAI, custom ReAct), and guardrails libraries in use (Llama Guard, NeMo, Guardrails AI). Each item lands in the inventory with its source location, version pin, and a heuristic classification.
Is AI-BOM required by the EU AI Act?
Article 11 and Annex IV of the EU AI Act require a technical documentation pack for high-risk AI systems before they enter the EU market. That pack enumerates models, training data sources, intended use, performance metrics, and risk-management measures. AI-BOM produces the evidence in machine-readable form, so the documentation step becomes an export instead of a quarterly project.
¿Cómo se integra en CI/CD?
Añade la cybedefend-action a tu workflow de GitHub, o llama a la CybeDefend CLI desde cualquier otro pipeline (GitLab CI, Jenkinsfile, Tekton). El escaneo corre en cada push, el informe se publica como artefacto de build, y la gate sale en no-cero cuando un nuevo componente prohibido o de alto riesgo aterriza sin documentación de gobernanza.
What is the difference between AI-BOM and SBOM?
SBOM lists software components and CVEs. AI-BOM lists AI components and their AI-specific governance facets: training data origin, fine-tune lineage, prompt versions, agent capability scope, guardrails coverage, residual risk. They are complementary; CybeDefend produces both, and the AI-BOM output is also exportable as CycloneDX so it slots into your existing SBOM tooling.
¿AI-BOM se entrena con nuestro código?
No. El escaneo lee tu repositorio y produce un inventario estructurado; el código fuente no sale de tu entorno. El dashboard opcional recibe solo metadatos (nombres de componentes, versiones, clasificación de riesgo), nunca código bruto ni contenido de prompts.
De shadow AI a gobernado
Lanza el escaneo. Tu inventario IA en 4 segundos.
Primer escaneo gratis. Sin tarjeta. El paquete de evidencia aterriza en ./.ai-bom/ antes de que termine tu café.