Modelos
32openai/gpt-4o-minisrc/lib/chat.ts:23governadometa-llama/Llama-3.1-8Bmodels/local.ggufshadowanthropic/claude-3-7-sonnetapps/agent/index.ts:11governado
Scanner AI-BOM
Encontre cada IA no seu código.Antes do seu auditor.
Uma análise, sem questionário. Cada modelo, dataset, prompt, agente, servidor MCP e guardrail catalogado. O pacote de evidência Anexo IV do EU AI Act aterra nos seus artefactos de build.
6tipos de ativos
Annex IVpacote de evidência
CycloneDXformato de exportação
O que aterra no inventárioSAMPLE
- ModelosOpenAI · Anthropic · HuggingFace · local GGUF0
- Datasetstraining, fine-tune, eval, RAG corpora0
- Promptsversioned system + user templates0
- AgentesReAct · LangChain · LlamaIndex · CrewAI0
- Servidores MCPtools the agents call out to0
- GuardrailsLlama Guard · Guardrails AI · NeMo0
cybedefend ai-bom · scan complete
Cada rasto, cada proveniência.
Seis categorias, cada item ancorado a ficheiro e linha. Um estado assinala os componentes sem model card, sem licença, sem âmbito, sem versão.
Datasets
11wikipedia-en-2024notebooks/finetune.ipynbgovernadocustomer_chats_v2data/training.parquetshadowhf://glaive/code-instructscripts/data.py:8governado
Prompts
47chat-system@v3prompts/system.mdgovernadoextract-piilib/pii.ts:17derivatriage-flow@v7agents/triage.yamlgovernado
Agentes
9LangChain ReActapps/agent/main.pygovernadoLlamaIndex query engineapps/rag/server.tsshadowCustom MCP hostservices/mcp-host/governado
Servidores MCP
6mcp://github.local:7001agents/.mcp.jsongovernadomcp://internal-tools.cybeapps/agent/mcp.tomlgovernadomcp://prod-postgresinfra/mcp.ts:42shadow
Guardrails
3Llama Guard 3 8Binfra/guardrails.ts:9governadoGuardrails AI · OutputParserlib/safety.ts:14governado(none)apps/legacy-agent/ausente
Evidência Anexo IV EU AI Act. Uma análise para a entregar.
Cada análise emite um relatório de conformidade completo mapeado ao Regulamento (UE) 2024/1689. Entregue-o ao jurídico, ao seu auditor ou ao questionário de segurança do seu cliente.
CYBEDEFEND
EU AI Act · Relatório de conformidade
Resumo executivoAção necessária
Um ou mais componentes proibidos ou de alto risco detetados. Rever §4 — ação necessária antes do deployment.
Componentes totais171
Componentes GPAI104
Risco sistémico3
EstadoAção necessária
Por categoria de risco (Art. 5/6/50)
§1 — Descrição geral do sistema IA (Anexo IV §1)171 componentes IA detetados, ordenados por severidade.
| Componente | Tipo | Risco |
|---|---|---|
acme/behavioral-social-scor-v2 | Modelo ML | Proibido |
acme/credit-scorer-v2 | Modelo ML | Alto |
acme/customer-chatbot-v4 | Modelo ML | Limitado |
openai/gpt-4o-mini | Modelo ML | Mínimo |
anthropic/claude-sonnet-4-5 | Modelo ML | Mínimo |
+166 mais componentes no relatório completo
Execute onde faz deploy. GitHub Actions, GitLab CI, Jenkins, Tekton.
Adicione a cybedefend-action ao seu workflow do GitHub, ou chame a CybeDefend CLI a partir de qualquer outro pipeline. A análise AI-BOM corre em cada push e o build falha quando um novo componente proibido ou de alto risco aterra sem documentação de governança.
.github/workflows/ai-bom.yml
- name: CybeDefend Security Scan
uses: CybeDefend/cybedefend-action@v2
with:
pat: ${{ secrets.CYBEDEFEND_PAT }}
project_id: ${{ secrets.CYBEDEFEND_PROJECT_ID }}
branch: ${{ github.ref_name }}
break_on_severity: highO EU AI Act entra em vigor. As auditorias chegam sem aviso.
Três razões para pôr o AI-BOM no início do processo de governança, não no fim.
Descoberta primeiro
Cada modelo, dataset, prompt, agente, servidor MCP e guardrail descoberto automaticamente. Sem questionário, sem folha de cálculo, sem ronda de entrevistas por equipa.
EU AI Act Anexo IV nativo
Cada secção do Anexo IV tem a sua regra de emissão. A documentação do Artigo 11 passa de projeto trimestral a artefacto de CI.
NIST AI RMF alinhado
Cada componente é etiquetado contra Govern / Map / Measure / Manage. O relatório de mapping é exportado ao lado do SBOM.
FAQ
O que o AI-BOM apanha, o que não faz.
What exactly does AI-BOM detect?
Models referenced by name (HuggingFace IDs, OpenAI / Anthropic / Google model strings, local .gguf / .onnx weights), datasets referenced in code or config, versioned prompts shipped in the repo, MCP server URLs consumed by your agents, LangChain and LlamaIndex graphs, agent orchestration frameworks (Semantic Kernel, AutoGen, CrewAI, custom ReAct), and guardrails libraries in use (Llama Guard, NeMo, Guardrails AI). Each item lands in the inventory with its source location, version pin, and a heuristic classification.
Is AI-BOM required by the EU AI Act?
Article 11 and Annex IV of the EU AI Act require a technical documentation pack for high-risk AI systems before they enter the EU market. That pack enumerates models, training data sources, intended use, performance metrics, and risk-management measures. AI-BOM produces the evidence in machine-readable form, so the documentation step becomes an export instead of a quarterly project.
Como se integra no CI/CD?
Adicione a cybedefend-action ao seu workflow do GitHub, ou chame a CybeDefend CLI a partir de qualquer outro pipeline (GitLab CI, Jenkinsfile, Tekton). A análise corre em cada push, o relatório é publicado como artefacto de build, e o gate sai com não-zero quando um novo componente proibido ou de alto risco aterra sem documentação de governança.
What is the difference between AI-BOM and SBOM?
SBOM lists software components and CVEs. AI-BOM lists AI components and their AI-specific governance facets: training data origin, fine-tune lineage, prompt versions, agent capability scope, guardrails coverage, residual risk. They are complementary; CybeDefend produces both, and the AI-BOM output is also exportable as CycloneDX so it slots into your existing SBOM tooling.
O AI-BOM treina no nosso código?
Não. A análise lê o seu repositório e produz um inventário estruturado; o código-fonte não sai do seu ambiente. O dashboard opcional recebe apenas metadados (nomes de componentes, versões, classificação de risco), nunca código bruto nem conteúdo de prompts.
De shadow AI a governado
Lance a análise. O seu inventário IA em 4 segundos.
Primeira análise gratuita. Sem cartão. O pacote de evidência aterra em ./.ai-bom/ antes do seu café acabar.