Escáner AI-BOM

Encuentra cada IA en tu código.Antes que tu auditor.

Un solo escaneo, sin cuestionarios. Cada modelo, dataset, prompt, agente, servidor MCP y guardrail, catalogado. La evidencia del Anexo IV del EU AI Act queda en los artefactos de tu build.

Hablar con los fundadores
6tipos de activos
Annex IVpaquete de evidencia
CycloneDXformato de exportación
Lo que entra en el inventarioSAMPLE
  • ModelosOpenAI · Anthropic · HuggingFace · local GGUF0
  • Datasetstraining, fine-tune, eval, RAG corpora0
  • Promptsversioned system + user templates0
  • AgentesReAct · LangChain · LlamaIndex · CrewAI0
  • Servidores MCPtools the agents call out to0
  • GuardrailsLlama Guard · Guardrails AI · NeMo0
cybedefend ai-bom · scan complete
Inventario

Cada rastro, cada procedencia.

Seis categorías, con cada elemento anclado a su archivo y su línea. El estado marca todo componente sin model card, sin licencia, sin alcance o sin versión.

Modelos

32
  • openai/gpt-4o-minisrc/lib/chat.ts:23gobernado
  • meta-llama/Llama-3.1-8Bmodels/local.ggufshadow
  • anthropic/claude-3-7-sonnetapps/agent/index.ts:11gobernado

Datasets

11
  • wikipedia-en-2024notebooks/finetune.ipynbgobernado
  • customer_chats_v2data/training.parquetshadow
  • hf://glaive/code-instructscripts/data.py:8gobernado

Prompts

47
  • chat-system@v3prompts/system.mdgobernado
  • extract-piilib/pii.ts:17deriva
  • triage-flow@v7agents/triage.yamlgobernado

Agentes

9
  • LangChain ReActapps/agent/main.pygobernado
  • LlamaIndex query engineapps/rag/server.tsshadow
  • Custom MCP hostservices/mcp-host/gobernado

Servidores MCP

6
  • mcp://github.local:7001agents/.mcp.jsongobernado
  • mcp://internal-tools.cybeapps/agent/mcp.tomlgobernado
  • mcp://prod-postgresinfra/mcp.ts:42shadow

Guardrails

3
  • Llama Guard 3 8Binfra/guardrails.ts:9gobernado
  • Guardrails AI · OutputParserlib/safety.ts:14gobernado
  • (none)apps/legacy-agent/ausente
El informe de conformidad

Evidencia del Anexo IV del EU AI Act. Un escaneo para tenerla lista.

Cada escaneo emite un informe de conformidad completo, mapeado al Reglamento (UE) 2024/1689. Entrégalo a legal, a tu auditor o al cuestionario de seguridad de tu cliente.

CYBEDEFEND

EU AI Act · Informe de conformidad

Proyecto
4c61150d-ee1f-4a7f-b40f-49902ceab318
Framework: eu-ai-act v1.0
Referencia legal: Reglamento (UE) 2024/1689
Fecha del escaneo: 2026-05-21
Resumen ejecutivoAcción requerida

Se detectaron uno o más componentes prohibidos o de alto riesgo. Revisa la §4: requieren acción antes del despliegue.

Componentes totales171
Componentes GPAI104
Riesgo sistémico3
EstadoAcción requerida
Prohibido11
Alto7
Limitado12
Mínimo141
171 componentes de IA detectados, ordenados por severidad del riesgo.
ComponenteTipoRiesgo
acme/behavioral-social-scor-v2Modelo MLProhibido
acme/credit-scorer-v2Modelo MLAlto
acme/customer-chatbot-v4Modelo MLLimitado
openai/gpt-4o-miniModelo MLMínimo
anthropic/claude-sonnet-4-5Modelo MLMínimo

+166 componentes más en el informe completo

Evidencia del Anexo IV + mapeo NIST AI RMF incluidos en cada escaneo.
Intégralo en tu pipeline

Ejecútalo donde despliegas. GitHub Actions, GitLab CI, Jenkins, Tekton.

Añade la cybedefend-action a tu workflow de GitHub, o llama a la CybeDefend CLI desde cualquier otro pipeline. El escaneo AI-BOM se ejecuta en cada push y el build falla cuando entra un componente nuevo, prohibido o de alto riesgo, sin documentación de gobernanza.

.github/workflows/ai-bom.yml
- name: CybeDefend Security Scan
  uses: CybeDefend/cybedefend-action@v2
  with:
    pat: ${{ secrets.CYBEDEFEND_PAT }}
    project_id: ${{ secrets.CYBEDEFEND_PROJECT_ID }}
    branch: ${{ github.ref_name }}
    break_on_severity: high
Por qué AI-BOM

No puedes gobernar la IA que no ves. El shadow AI ya está en tus repos.

Tres razones por las que AI-BOM es la herramienta con la que arranca la gobernanza, no un añadido de última hora.

Primero, descubrir

Cada modelo, dataset, prompt, agente, servidor MCP y guardrail sale a la luz de forma automática. Sin cuestionarios, sin hojas de cálculo, sin una ronda de entrevistas con cada equipo.

Anexo IV del EU AI Act, de forma nativa

Cada sección del Anexo IV tiene su propia regla de emisión. La documentación del Artículo 11 deja de ser un proyecto trimestral y pasa a ser un artefacto de CI.

Alineado con NIST AI RMF

Cada componente se etiqueta según las funciones Govern / Map / Measure / Manage. El informe de mapeo se exporta junto al SBOM.

FAQ

Lo que AI-BOM detecta, y lo que no.

¿Qué detecta exactamente AI-BOM?

Modelos referenciados por nombre (IDs de HuggingFace, cadenas de modelo de OpenAI / Anthropic / Google, pesos locales .gguf / .onnx), datasets referenciados en el código o la configuración, prompts versionados incluidos en el repo, URLs de servidores MCP que consumen tus agentes, grafos de LangChain y LlamaIndex, frameworks de orquestación de agentes (Semantic Kernel, AutoGen, CrewAI, ReAct propio) y las librerías de guardrails en uso (Llama Guard, NeMo, Guardrails AI). Cada elemento entra en el inventario con su ubicación en el código, su versión fijada y una clasificación heurística.

¿Exige el EU AI Act un AI-BOM?

El Artículo 11 y el Anexo IV del EU AI Act exigen un paquete de documentación técnica para los sistemas de IA de alto riesgo antes de que entren en el mercado de la UE. Ese paquete enumera los modelos, las fuentes de datos de entrenamiento, el uso previsto, las métricas de rendimiento y las medidas de gestión de riesgos. AI-BOM genera esa evidencia en formato legible por máquina, de modo que documentar deja de ser un proyecto trimestral y se convierte en una exportación.

¿Cómo se integra en CI/CD?

Añade la cybedefend-action a tu workflow de GitHub, o llama a la CybeDefend CLI desde cualquier otro pipeline (GitLab CI, Jenkinsfile, Tekton). El escaneo se ejecuta en cada push, el informe se publica como artefacto de build y la gate falla cuando un componente nuevo, prohibido o de alto riesgo, entra sin documentación de gobernanza.

¿Cuál es la diferencia entre AI-BOM y SBOM?

El SBOM lista los componentes de software y sus CVE. El AI-BOM lista los componentes de IA y sus facetas de gobernanza específicas: origen de los datos de entrenamiento, linaje del fine-tuning, versiones de los prompts, alcance de las capacidades del agente, cobertura de guardrails y riesgo residual. Son complementarios: CybeDefend genera ambos, y la salida del AI-BOM también se puede exportar como CycloneDX para encajar en tu tooling de SBOM actual.

¿AI-BOM se entrena con nuestro código?

No. El escaneo lee tu repositorio y genera un inventario estructurado; el código fuente no sale de tu entorno. El dashboard opcional recibe solo metadatos (nombres de componentes, versiones, clasificación de riesgo), nunca el código en bruto ni el contenido de los prompts.

De shadow AI a gobernado

Lanza el escaneo. Tu inventario de IA en 4 segundos.

Primer escaneo gratis. Sin tarjeta. El paquete de evidencia estará en ./.ai-bom/ antes de que te acabes el café.

Hablar con los fundadores