Modelli
32openai/gpt-4o-minisrc/lib/chat.ts:23governatometa-llama/Llama-3.1-8Bmodels/local.ggufshadowanthropic/claude-3-7-sonnetapps/agent/index.ts:11governato
Scanner AI-BOM
Trova ogni IA nel tuo codice.Prima del tuo auditor.
Una scansione, senza questionario. Ogni modello, dataset, prompt, agente, server MCP e guardrail catalogato. Il pacchetto di evidenze Allegato IV dell'EU AI Act atterra nei tuoi artefatti di build.
6tipi di asset
Annex IVpacchetto di evidenze
CycloneDXformato di export
Cosa atterra nell'inventarioSAMPLE
- ModelliOpenAI · Anthropic · HuggingFace · local GGUF0
- Datasettraining, fine-tune, eval, RAG corpora0
- Promptversioned system + user templates0
- AgentiReAct · LangChain · LlamaIndex · CrewAI0
- Server MCPtools the agents call out to0
- GuardrailsLlama Guard · Guardrails AI · NeMo0
cybedefend ai-bom · scan complete
Ogni traccia, ogni provenienza.
Sei categorie, ogni elemento ancorato a file e riga. Uno stato segnala i componenti senza model card, senza licenza, senza scope, senza versione.
Dataset
11wikipedia-en-2024notebooks/finetune.ipynbgovernatocustomer_chats_v2data/training.parquetshadowhf://glaive/code-instructscripts/data.py:8governato
Prompt
47chat-system@v3prompts/system.mdgovernatoextract-piilib/pii.ts:17derivatriage-flow@v7agents/triage.yamlgovernato
Agenti
9LangChain ReActapps/agent/main.pygovernatoLlamaIndex query engineapps/rag/server.tsshadowCustom MCP hostservices/mcp-host/governato
Server MCP
6mcp://github.local:7001agents/.mcp.jsongovernatomcp://internal-tools.cybeapps/agent/mcp.tomlgovernatomcp://prod-postgresinfra/mcp.ts:42shadow
Guardrails
3Llama Guard 3 8Binfra/guardrails.ts:9governatoGuardrails AI · OutputParserlib/safety.ts:14governato(none)apps/legacy-agent/assente
Evidenze Allegato IV EU AI Act. Una scansione per spedirle.
Ogni scansione emette un report di conformità completo mappato al Regolamento (UE) 2024/1689. Consegnalo al legale, al tuo auditor o al questionario di sicurezza del tuo cliente.
CYBEDEFEND
EU AI Act · Report di conformità
Riepilogo esecutivoAzione richiesta
Uno o più componenti vietati o ad alto rischio rilevati. Rivedere §4 — azione richiesta prima del deployment.
Componenti totali171
Componenti GPAI104
Rischio sistemico3
StatoAzione richiesta
Per categoria di rischio (Art. 5/6/50)
§1 — Descrizione generale del sistema IA (Allegato IV §1)171 componenti IA rilevati, ordinati per severità.
| Componente | Tipo | Rischio |
|---|---|---|
acme/behavioral-social-scor-v2 | Modello ML | Vietato |
acme/credit-scorer-v2 | Modello ML | Alto |
acme/customer-chatbot-v4 | Modello ML | Limitato |
openai/gpt-4o-mini | Modello ML | Minimo |
anthropic/claude-sonnet-4-5 | Modello ML | Minimo |
+166 altri componenti nel report completo
Eseguilo dove spedisci. GitHub Actions, GitLab CI, Jenkins, Tekton.
Aggiungi la cybedefend-action al tuo workflow GitHub, oppure chiama la CybeDefend CLI da qualsiasi altra pipeline. La scansione AI-BOM gira ad ogni push e il build fallisce quando un nuovo componente vietato o ad alto rischio atterra senza documentazione di governance.
.github/workflows/ai-bom.yml
- name: CybeDefend Security Scan
uses: CybeDefend/cybedefend-action@v2
with:
pat: ${{ secrets.CYBEDEFEND_PAT }}
project_id: ${{ secrets.CYBEDEFEND_PROJECT_ID }}
branch: ${{ github.ref_name }}
break_on_severity: highL'EU AI Act entra in vigore. Gli audit arrivano senza preavviso.
Tre motivi per mettere AI-BOM all'inizio del processo di governance, non in coda.
Scoperta prima
Ogni modello, dataset, prompt, agente, server MCP e guardrail rilevato automaticamente. Niente questionario, niente foglio di calcolo, niente giro di interviste per team.
EU AI Act Allegato IV nativo
Ogni sezione dell'Allegato IV ha la sua regola di emissione. La documentazione Articolo 11 passa da progetto trimestrale ad artefatto di CI.
NIST AI RMF allineato
Ogni componente è etichettato contro Govern / Map / Measure / Manage. Il report di mapping si esporta accanto al SBOM.
FAQ
Cosa cattura AI-BOM, cosa non fa.
What exactly does AI-BOM detect?
Models referenced by name (HuggingFace IDs, OpenAI / Anthropic / Google model strings, local .gguf / .onnx weights), datasets referenced in code or config, versioned prompts shipped in the repo, MCP server URLs consumed by your agents, LangChain and LlamaIndex graphs, agent orchestration frameworks (Semantic Kernel, AutoGen, CrewAI, custom ReAct), and guardrails libraries in use (Llama Guard, NeMo, Guardrails AI). Each item lands in the inventory with its source location, version pin, and a heuristic classification.
Is AI-BOM required by the EU AI Act?
Article 11 and Annex IV of the EU AI Act require a technical documentation pack for high-risk AI systems before they enter the EU market. That pack enumerates models, training data sources, intended use, performance metrics, and risk-management measures. AI-BOM produces the evidence in machine-readable form, so the documentation step becomes an export instead of a quarterly project.
Come si integra in CI/CD?
Aggiungi la cybedefend-action al tuo workflow GitHub, oppure chiama la CybeDefend CLI da qualsiasi altra pipeline (GitLab CI, Jenkinsfile, Tekton). La scansione gira ad ogni push, il report è pubblicato come artefatto di build, e il gate esce con non-zero quando un nuovo componente vietato o ad alto rischio atterra senza documentazione di governance.
What is the difference between AI-BOM and SBOM?
SBOM lists software components and CVEs. AI-BOM lists AI components and their AI-specific governance facets: training data origin, fine-tune lineage, prompt versions, agent capability scope, guardrails coverage, residual risk. They are complementary; CybeDefend produces both, and the AI-BOM output is also exportable as CycloneDX so it slots into your existing SBOM tooling.
AI-BOM si addestra sul nostro codice?
No. La scansione legge il tuo repository e produce un inventario strutturato; il codice sorgente non lascia il tuo ambiente. Il dashboard opzionale riceve solo metadati (nomi di componenti, versioni, classificazione di rischio), mai codice grezzo o contenuto dei prompt.
Da shadow AI a governato
Avvia la scansione. Il tuo inventario IA in 4 secondi.
Prima scansione gratuita. Senza carta. Il pacchetto di evidenze atterra in ./.ai-bom/ prima che il tuo caffè sia pronto.