Scanner AI-BOM

Trova ogni IA nel tuo codice.Prima del tuo auditor.

Una scansione, senza questionario. Ogni modello, dataset, prompt, agente, server MCP e guardrail catalogato. Il pacchetto di evidenze Allegato IV dell'EU AI Act finisce direttamente nei tuoi artefatti di build.

Parla con i fondatori
6tipi di asset
Annex IVpacchetto di evidenze
CycloneDXformato di export
Cosa finisce nell'inventarioSAMPLE
  • ModelliOpenAI · Anthropic · HuggingFace · local GGUF0
  • Datasettraining, fine-tune, eval, RAG corpora0
  • Prompttemplate di sistema e utente versionati0
  • AgentiReAct · LangChain · LlamaIndex · CrewAI0
  • Server MCPi tool che gli agenti richiamano0
  • GuardrailsLlama Guard · Guardrails AI · NeMo0
cybedefend ai-bom · scan complete
Inventario

Ogni traccia, ogni provenienza.

Sei categorie, ogni elemento ancorato a file e riga. Uno stato segnala i componenti senza model card, senza licenza, senza scope, senza versione.

Modelli

32
  • openai/gpt-4o-minisrc/lib/chat.ts:23governato
  • meta-llama/Llama-3.1-8Bmodels/local.ggufshadow
  • anthropic/claude-3-7-sonnetapps/agent/index.ts:11governato

Dataset

11
  • wikipedia-en-2024notebooks/finetune.ipynbgovernato
  • customer_chats_v2data/training.parquetshadow
  • hf://glaive/code-instructscripts/data.py:8governato

Prompt

47
  • chat-system@v3prompts/system.mdgovernato
  • extract-piilib/pii.ts:17deriva
  • triage-flow@v7agents/triage.yamlgovernato

Agenti

9
  • LangChain ReActapps/agent/main.pygovernato
  • LlamaIndex query engineapps/rag/server.tsshadow
  • Custom MCP hostservices/mcp-host/governato

Server MCP

6
  • mcp://github.local:7001agents/.mcp.jsongovernato
  • mcp://internal-tools.cybeapps/agent/mcp.tomlgovernato
  • mcp://prod-postgresinfra/mcp.ts:42shadow

Guardrails

3
  • Llama Guard 3 8Binfra/guardrails.ts:9governato
  • Guardrails AI · OutputParserlib/safety.ts:14governato
  • (none)apps/legacy-agent/assente
Il report di conformità

Evidenze Allegato IV EU AI Act. Una scansione per spedirle.

Ogni scansione emette un report di conformità completo mappato al Regolamento (UE) 2024/1689. Consegnalo al legale, al tuo auditor o al questionario di sicurezza del tuo cliente.

CYBEDEFEND

EU AI Act · Report di conformità

Progetto
4c61150d-ee1f-4a7f-b40f-49902ceab318
Framework: eu-ai-act v1.0
Riferimento legale: Regolamento (UE) 2024/1689
Data scansione: 2026-05-21
Riepilogo esecutivoAzione richiesta

Uno o più componenti vietati o ad alto rischio rilevati. Rivedere §4: azione richiesta prima del deployment.

Componenti totali171
Componenti GPAI104
Rischio sistemico3
StatoAzione richiesta
Vietato11
Alto7
Limitato12
Minimo141
171 componenti IA rilevati, ordinati per severità.
ComponenteTipoRischio
acme/behavioral-social-scor-v2Modello MLVietato
acme/credit-scorer-v2Modello MLAlto
acme/customer-chatbot-v4Modello MLLimitato
openai/gpt-4o-miniModello MLMinimo
anthropic/claude-sonnet-4-5Modello MLMinimo

+166 altri componenti nel report completo

Evidenze Allegato IV + mapping NIST AI RMF inclusi in ogni scansione.
Inseriscilo nella tua pipeline

Eseguilo dove spedisci. GitHub Actions, GitLab CI, Jenkins, Tekton.

Aggiungi la cybedefend-action al tuo workflow GitHub, oppure chiama la CybeDefend CLI da qualsiasi altra pipeline. La scansione AI-BOM gira ad ogni push e la build fallisce quando un nuovo componente vietato o ad alto rischio entra senza documentazione di governance.

.github/workflows/ai-bom.yml
- name: CybeDefend Security Scan
  uses: CybeDefend/cybedefend-action@v2
  with:
    pat: ${{ secrets.CYBEDEFEND_PAT }}
    project_id: ${{ secrets.CYBEDEFEND_PROJECT_ID }}
    branch: ${{ github.ref_name }}
    break_on_severity: high
Perché AI-BOM

Non governi l’IA che non vedi. Lo shadow AI è già nei tuoi repo.

Tre motivi per mettere AI-BOM all'inizio del processo di governance, non in coda.

Scoperta prima

Ogni modello, dataset, prompt, agente, server MCP e guardrail rilevato automaticamente. Niente questionario, niente foglio di calcolo, niente giro di interviste per team.

EU AI Act Allegato IV nativo

Ogni sezione dell'Allegato IV ha la sua regola di emissione. La documentazione Articolo 11 passa da progetto trimestrale ad artefatto di CI.

NIST AI RMF allineato

Ogni componente è etichettato contro Govern / Map / Measure / Manage. Il report di mapping si esporta accanto al SBOM.

FAQ

Cosa cattura AI-BOM, cosa non fa.

Cosa rileva esattamente AI-BOM?

Modelli richiamati per nome (ID HuggingFace, stringhe modello OpenAI / Anthropic / Google, pesi locali .gguf / .onnx), dataset citati nel codice o nella configurazione, prompt versionati presenti nel repo, URL di server MCP usati dai tuoi agenti, grafi LangChain e LlamaIndex, framework di orchestrazione di agenti (Semantic Kernel, AutoGen, CrewAI, ReAct custom) e librerie di guardrail in uso (Llama Guard, NeMo, Guardrails AI). Ogni elemento entra nell'inventario con la sua posizione nel codice sorgente, la versione fissata e una classificazione euristica.

AI-BOM è richiesto dall'EU AI Act?

L'Articolo 11 e l'Allegato IV dell'EU AI Act richiedono un pacchetto di documentazione tecnica per i sistemi IA ad alto rischio prima che entrino nel mercato UE. Quel pacchetto elenca modelli, fonti dei dati di addestramento, uso previsto, metriche di performance e misure di gestione del rischio. AI-BOM produce le evidenze in formato leggibile da macchina, così la fase di documentazione diventa un export invece di un progetto trimestrale.

Come si integra in CI/CD?

Aggiungi la cybedefend-action al tuo workflow GitHub, oppure chiama la CybeDefend CLI da qualsiasi altra pipeline (GitLab CI, Jenkinsfile, Tekton). La scansione gira ad ogni push, il report viene pubblicato come artefatto di build e il gate esce con codice non-zero quando un nuovo componente vietato o ad alto rischio entra senza documentazione di governance.

Qual è la differenza tra AI-BOM e SBOM?

Lo SBOM elenca componenti software e CVE. AI-BOM elenca i componenti IA e i loro aspetti di governance specifici dell'IA: origine dei dati di addestramento, lineage del fine-tuning, versioni dei prompt, ambito delle capacità degli agenti, copertura dei guardrail, rischio residuo. Sono complementari: CybeDefend produce entrambi, e l'output AI-BOM è esportabile anche in CycloneDX così da inserirsi nei tuoi strumenti SBOM esistenti.

AI-BOM si addestra sul nostro codice?

No. La scansione legge il tuo repository e produce un inventario strutturato; il codice sorgente non lascia il tuo ambiente. Il dashboard opzionale riceve solo metadati (nomi di componenti, versioni, classificazione di rischio), mai codice grezzo o contenuto dei prompt.

Da shadow AI a governato

Avvia la scansione. Il tuo inventario IA in 4 secondi.

Prima scansione gratuita. Senza carta. Il pacchetto di evidenze compare in ./.ai-bom/ prima che il tuo caffè sia pronto.

Parla con i fondatori