Modelos
32openai/gpt-4o-minisrc/lib/chat.ts:23gobernadometa-llama/Llama-3.1-8Bmodels/local.ggufshadowanthropic/claude-3-7-sonnetapps/agent/index.ts:11gobernado
Un solo escaneo, sin cuestionarios. Cada modelo, dataset, prompt, agente, servidor MCP y guardrail, catalogado. La evidencia del Anexo IV del EU AI Act queda en los artefactos de tu build.
Seis categorías, con cada elemento anclado a su archivo y su línea. El estado marca todo componente sin model card, sin licencia, sin alcance o sin versión.
openai/gpt-4o-minisrc/lib/chat.ts:23gobernadometa-llama/Llama-3.1-8Bmodels/local.ggufshadowanthropic/claude-3-7-sonnetapps/agent/index.ts:11gobernadowikipedia-en-2024notebooks/finetune.ipynbgobernadocustomer_chats_v2data/training.parquetshadowhf://glaive/code-instructscripts/data.py:8gobernadochat-system@v3prompts/system.mdgobernadoextract-piilib/pii.ts:17derivatriage-flow@v7agents/triage.yamlgobernadoLangChain ReActapps/agent/main.pygobernadoLlamaIndex query engineapps/rag/server.tsshadowCustom MCP hostservices/mcp-host/gobernadomcp://github.local:7001agents/.mcp.jsongobernadomcp://internal-tools.cybeapps/agent/mcp.tomlgobernadomcp://prod-postgresinfra/mcp.ts:42shadowLlama Guard 3 8Binfra/guardrails.ts:9gobernadoGuardrails AI · OutputParserlib/safety.ts:14gobernado(none)apps/legacy-agent/ausenteCada escaneo emite un informe de conformidad completo, mapeado al Reglamento (UE) 2024/1689. Entrégalo a legal, a tu auditor o al cuestionario de seguridad de tu cliente.
Se detectaron uno o más componentes prohibidos o de alto riesgo. Revisa la §4: requieren acción antes del despliegue.
| Componente | Tipo | Riesgo |
|---|---|---|
acme/behavioral-social-scor-v2 | Modelo ML | Prohibido |
acme/credit-scorer-v2 | Modelo ML | Alto |
acme/customer-chatbot-v4 | Modelo ML | Limitado |
openai/gpt-4o-mini | Modelo ML | Mínimo |
anthropic/claude-sonnet-4-5 | Modelo ML | Mínimo |
+166 componentes más en el informe completo
Añade la cybedefend-action a tu workflow de GitHub, o llama a la CybeDefend CLI desde cualquier otro pipeline. El escaneo AI-BOM se ejecuta en cada push y el build falla cuando entra un componente nuevo, prohibido o de alto riesgo, sin documentación de gobernanza.
- name: CybeDefend Security Scan
uses: CybeDefend/cybedefend-action@v2
with:
pat: ${{ secrets.CYBEDEFEND_PAT }}
project_id: ${{ secrets.CYBEDEFEND_PROJECT_ID }}
branch: ${{ github.ref_name }}
break_on_severity: highTres razones por las que AI-BOM es la herramienta con la que arranca la gobernanza, no un añadido de última hora.
Cada modelo, dataset, prompt, agente, servidor MCP y guardrail sale a la luz de forma automática. Sin cuestionarios, sin hojas de cálculo, sin una ronda de entrevistas con cada equipo.
Cada sección del Anexo IV tiene su propia regla de emisión. La documentación del Artículo 11 deja de ser un proyecto trimestral y pasa a ser un artefacto de CI.
Cada componente se etiqueta según las funciones Govern / Map / Measure / Manage. El informe de mapeo se exporta junto al SBOM.
Modelos referenciados por nombre (IDs de HuggingFace, cadenas de modelo de OpenAI / Anthropic / Google, pesos locales .gguf / .onnx), datasets referenciados en el código o la configuración, prompts versionados incluidos en el repo, URLs de servidores MCP que consumen tus agentes, grafos de LangChain y LlamaIndex, frameworks de orquestación de agentes (Semantic Kernel, AutoGen, CrewAI, ReAct propio) y las librerías de guardrails en uso (Llama Guard, NeMo, Guardrails AI). Cada elemento entra en el inventario con su ubicación en el código, su versión fijada y una clasificación heurística.
El Artículo 11 y el Anexo IV del EU AI Act exigen un paquete de documentación técnica para los sistemas de IA de alto riesgo antes de que entren en el mercado de la UE. Ese paquete enumera los modelos, las fuentes de datos de entrenamiento, el uso previsto, las métricas de rendimiento y las medidas de gestión de riesgos. AI-BOM genera esa evidencia en formato legible por máquina, de modo que documentar deja de ser un proyecto trimestral y se convierte en una exportación.
Añade la cybedefend-action a tu workflow de GitHub, o llama a la CybeDefend CLI desde cualquier otro pipeline (GitLab CI, Jenkinsfile, Tekton). El escaneo se ejecuta en cada push, el informe se publica como artefacto de build y la gate falla cuando un componente nuevo, prohibido o de alto riesgo, entra sin documentación de gobernanza.
El SBOM lista los componentes de software y sus CVE. El AI-BOM lista los componentes de IA y sus facetas de gobernanza específicas: origen de los datos de entrenamiento, linaje del fine-tuning, versiones de los prompts, alcance de las capacidades del agente, cobertura de guardrails y riesgo residual. Son complementarios: CybeDefend genera ambos, y la salida del AI-BOM también se puede exportar como CycloneDX para encajar en tu tooling de SBOM actual.
No. El escaneo lee tu repositorio y genera un inventario estructurado; el código fuente no sale de tu entorno. El dashboard opcional recibe solo metadatos (nombres de componentes, versiones, clasificación de riesgo), nunca el código en bruto ni el contenido de los prompts.
Primer escaneo gratis. Sin tarjeta. El paquete de evidencia estará en ./.ai-bom/ antes de que te acabes el café.