Modèles
32openai/gpt-4o-minisrc/lib/chat.ts:23gouvernémeta-llama/Llama-3.1-8Bmodels/local.ggufshadowanthropic/claude-3-7-sonnetapps/agent/index.ts:11gouverné
Scanner AI-BOM
Trouvez chaque IA dans votre code.Avant votre auditeur.
Un scan, sans questionnaire. Chaque modèle, jeu de données, prompt, agent, serveur MCP et guardrail catalogué. Le dossier de preuves Annexe IV atterrit dans vos artefacts de build.
6types d'actifs
Annexe IVdossier de preuves
CycloneDXformat d'export
Ce qui atterrit dans l'inventaireSAMPLE
- ModèlesOpenAI · Anthropic · HuggingFace · GGUF local0
- Datasetstraining, fine-tune, eval, corpus RAG0
- Promptstemplates système + utilisateur versionnés0
- AgentsReAct · LangChain · LlamaIndex · CrewAI0
- Serveurs MCPoutils que les agents appellent0
- GuardrailsLlama Guard · Guardrails AI · NeMo0
cybedefend ai-bom · scan complete
Chaque trace, chaque provenance.
Six catégories, chaque élément ancré à un fichier et une ligne. Un statut signale les composants sans model card, sans licence, sans scope, sans version.
Datasets
11wikipedia-en-2024notebooks/finetune.ipynbgouvernécustomer_chats_v2data/training.parquetshadowhf://glaive/code-instructscripts/data.py:8gouverné
Prompts
47chat-system@v3prompts/system.mdgouvernéextract-piilib/pii.ts:17dérivetriage-flow@v7agents/triage.yamlgouverné
Agents
9LangChain ReActapps/agent/main.pygouvernéLlamaIndex query engineapps/rag/server.tsshadowHôte MCP customservices/mcp-host/gouverné
Serveurs MCP
6mcp://github.local:7001agents/.mcp.jsongouvernémcp://internal-tools.cybeapps/agent/mcp.tomlgouvernémcp://prod-postgresinfra/mcp.ts:42shadow
Guardrails
3Llama Guard 3 8Binfra/guardrails.ts:9gouvernéGuardrails AI · OutputParserlib/safety.ts:14gouverné(aucun)apps/legacy-agent/absent
Preuves Annexe IV EU AI Act. Un scan pour les livrer.
Chaque scan émet un rapport de conformité complet mappé au Règlement (UE) 2024/1689. À remettre au juridique, à l'auditeur ou au questionnaire sécurité de votre client.
CYBEDEFEND
EU AI Act · Rapport de conformité
Résumé exécutifAction requise
Un ou plusieurs composants interdits ou à haut risque détectés. Revoir §4 — action requise avant déploiement.
Total composants171
Composants GPAI104
Risque systémique3
StatutAction requise
Par catégorie de risque (Art. 5/6/50)
§1 — Description générale du système (Annexe IV §1)171 composants IA détectés, triés par sévérité.
| Composant | Type | Risque |
|---|---|---|
acme/behavioral-social-scor-v2 | Modèle ML | Interdit |
acme/credit-scorer-v2 | Modèle ML | Haut |
acme/customer-chatbot-v4 | Modèle ML | Limité |
openai/gpt-4o-mini | Modèle ML | Minimal |
anthropic/claude-sonnet-4-5 | Modèle ML | Minimal |
+166 autres composants dans le rapport complet
Faites-le tourner où vous livrez. GitHub Actions, GitLab CI, Jenkins, Tekton.
Ajoutez la cybedefend-action à votre workflow GitHub, ou appelez la CybeDefend CLI depuis n'importe quel autre pipeline. Le scan AI-BOM tourne à chaque push, et le build échoue si un nouveau composant interdit ou à haut risque arrive sans documentation de gouvernance.
.github/workflows/ai-bom.yml
- name: CybeDefend Security Scan
uses: CybeDefend/cybedefend-action@v2
with:
pat: ${{ secrets.CYBEDEFEND_PAT }}
project_id: ${{ secrets.CYBEDEFEND_PROJECT_ID }}
branch: ${{ github.ref_name }}
break_on_severity: highL'EU AI Act entre en vigueur. Les audits arrivent sans prévenir.
Trois raisons de poser AI-BOM comme outil d'entrée plutôt qu'en bout de chaîne.
Découverte d'abord
Chaque modèle, dataset, prompt, agent, serveur MCP et guardrail remonté automatiquement. Pas de questionnaire, pas de tableur, pas de tour des équipes.
EU AI Act Annexe IV natif
Chaque section de l'Annexe IV a sa règle d'émission. L'Article 11 passe d'un projet trimestriel à un artefact de CI.
NIST AI RMF aligné
Chaque composant est étiqueté Govern / Map / Measure / Manage. Le rapport de mapping s'exporte à côté du SBOM.
FAQ
Ce qu'AI-BOM attrape, ce qu'il ne fait pas.
Que détecte exactement AI-BOM ?
Les modèles référencés par nom (IDs HuggingFace, noms OpenAI / Anthropic / Google, fichiers locaux .gguf / .onnx), les datasets référencés dans le code ou la config, les prompts versionnés livrés dans le dépôt, les URLs de serveurs MCP consommés par vos agents, les graphes LangChain et LlamaIndex, les frameworks d'orchestration d'agents (Semantic Kernel, AutoGen, CrewAI, ReAct custom) et les bibliothèques de guardrails (Llama Guard, NeMo, Guardrails AI). Chaque entrée atterrit dans l'inventaire avec sa source, sa version et une classification heuristique.
AI-BOM est-il imposé par l'EU AI Act ?
L'Article 11 et l'Annexe IV de l'EU AI Act exigent un dossier de documentation technique pour les systèmes d'IA à haut risque avant la mise sur le marché européen. Ce dossier énumère les modèles, les sources de données d'entraînement, l'usage prévu, les métriques de performance et les mesures de gestion du risque. AI-BOM produit ces preuves en format lisible par la machine, donc l'étape documentation devient un export plutôt qu'un projet trimestriel.
Comment ça s'intègre dans le CI/CD ?
Ajoutez la cybedefend-action à votre workflow GitHub, ou appelez la CybeDefend CLI depuis n'importe quel autre pipeline (GitLab CI, Jenkinsfile, Tekton). Le scan tourne à chaque push, le rapport est publié comme artefact de build, et la gate sort en non-zéro quand un nouveau composant interdit ou à haut risque atterrit sans documentation de gouvernance.
Quelle est la différence entre AI-BOM et SBOM ?
Le SBOM liste les composants logiciels et leurs CVE. L'AI-BOM liste les composants IA et leurs facettes de gouvernance propres : origine des données d'entraînement, lignée de fine-tune, versions de prompts, scope des agents, couverture des guardrails, risque résiduel. Les deux sont complémentaires ; CybeDefend produit les deux, et la sortie AI-BOM est exportable en CycloneDX pour se brancher dans votre outillage SBOM existant.
AI-BOM s'entraîne-t-il sur notre code ?
Non. Le scan lit votre dépôt et produit un inventaire structuré ; le code source ne quitte pas votre environnement. Le dashboard optionnel ne reçoit que des métadonnées (noms de composants, versions, classification de risque), jamais le code brut ni le contenu des prompts.
De shadow AI à gouverné
Lancez le scan. Votre inventaire IA en 4 secondes.
Premier scan gratuit. Sans carte bancaire. Le dossier de preuves atterrit dans ./.ai-bom/ avant la fin de votre café.