Scanner AI-BOM

Encontra cada IA no teu código.Antes do teu auditor.

Uma análise, sem questionário. Cada modelo, dataset, prompt, agente, servidor MCP e guardrail catalogado. A evidência do Anexo IV do EU AI Act cai nos teus artefactos de build.

Falar com os fundadores
6tipos de ativos
Annex IVpacote de evidência
CycloneDXformato de exportação
O que aterra no inventárioSAMPLE
  • ModelosOpenAI · Anthropic · HuggingFace · local GGUF0
  • Datasetstraining, fine-tune, eval, RAG corpora0
  • Promptsversioned system + user templates0
  • AgentesReAct · LangChain · LlamaIndex · CrewAI0
  • Servidores MCPtools the agents call out to0
  • GuardrailsLlama Guard · Guardrails AI · NeMo0
cybedefend ai-bom · scan complete
Inventário

Cada rasto, cada proveniência.

Seis categorias, cada item fixado a um ficheiro e a uma linha. O estado assinala todos os componentes sem model card, sem licença, sem âmbito ou sem versão.

Modelos

32
  • openai/gpt-4o-minisrc/lib/chat.ts:23governado
  • meta-llama/Llama-3.1-8Bmodels/local.ggufshadow
  • anthropic/claude-3-7-sonnetapps/agent/index.ts:11governado

Datasets

11
  • wikipedia-en-2024notebooks/finetune.ipynbgovernado
  • customer_chats_v2data/training.parquetshadow
  • hf://glaive/code-instructscripts/data.py:8governado

Prompts

47
  • chat-system@v3prompts/system.mdgovernado
  • extract-piilib/pii.ts:17deriva
  • triage-flow@v7agents/triage.yamlgovernado

Agentes

9
  • LangChain ReActapps/agent/main.pygovernado
  • LlamaIndex query engineapps/rag/server.tsshadow
  • Custom MCP hostservices/mcp-host/governado

Servidores MCP

6
  • mcp://github.local:7001agents/.mcp.jsongovernado
  • mcp://internal-tools.cybeapps/agent/mcp.tomlgovernado
  • mcp://prod-postgresinfra/mcp.ts:42shadow

Guardrails

3
  • Llama Guard 3 8Binfra/guardrails.ts:9governado
  • Guardrails AI · OutputParserlib/safety.ts:14governado
  • (none)apps/legacy-agent/ausente
O relatório de conformidade

Evidência do Anexo IV do EU AI Act. Uma análise para a entregares.

Cada análise emite um relatório de conformidade completo, mapeado ao Regulamento (UE) 2024/1689. Entrega-o ao jurídico, ao teu auditor ou ao questionário de segurança do teu cliente.

CYBEDEFEND

EU AI Act · Relatório de conformidade

Projeto
4c61150d-ee1f-4a7f-b40f-49902ceab318
Framework: eu-ai-act v1.0
Referência legal: Regulamento (UE) 2024/1689
Data da análise: 2026-05-21
Resumo executivoAção necessária

Um ou mais componentes proibidos ou de alto risco detetados. Rever §4: ação necessária antes do deployment.

Componentes totais171
Componentes GPAI104
Risco sistémico3
EstadoAção necessária
Proibido11
Alto7
Limitado12
Mínimo141
171 componentes IA detetados, ordenados por severidade.
ComponenteTipoRisco
acme/behavioral-social-scor-v2Modelo MLProibido
acme/credit-scorer-v2Modelo MLAlto
acme/customer-chatbot-v4Modelo MLLimitado
openai/gpt-4o-miniModelo MLMínimo
anthropic/claude-sonnet-4-5Modelo MLMínimo

+166 mais componentes no relatório completo

Evidência Anexo IV + mapping NIST AI RMF incluídos em cada análise.
Mete-o no teu pipeline

Corre-o onde fazes deploy. GitHub Actions, GitLab CI, Jenkins, Tekton.

Adiciona a cybedefend-action ao teu workflow do GitHub, ou chama a CybeDefend CLI a partir de qualquer outro pipeline. A análise AI-BOM corre em cada push e o build falha quando um novo componente proibido ou de alto risco entra sem documentação de governação.

.github/workflows/ai-bom.yml
- name: CybeDefend Security Scan
  uses: CybeDefend/cybedefend-action@v2
  with:
    pat: ${{ secrets.CYBEDEFEND_PAT }}
    project_id: ${{ secrets.CYBEDEFEND_PROJECT_ID }}
    branch: ${{ github.ref_name }}
    break_on_severity: high
Porquê o AI-BOM

Não governas a IA que não vês. O shadow AI já está nos teus repositórios.

Três razões para pôr o AI-BOM no arranque da governação, e não no fim.

Descoberta primeiro

Cada modelo, dataset, prompt, agente, servidor MCP e guardrail descoberto automaticamente. Sem questionário, sem folha de cálculo, sem ronda de entrevistas a cada equipa.

EU AI Act Anexo IV nativo

Cada secção do Anexo IV tem a sua regra de emissão. A documentação do Artigo 11 deixa de ser um projeto trimestral e passa a artefacto de CI.

NIST AI RMF alinhado

Cada componente é etiquetado segundo as funções Govern / Map / Measure / Manage. O relatório de mapeamento é exportado ao lado do SBOM.

FAQ

O que o AI-BOM apanha, o que não faz.

O que é que o AI-BOM deteta, ao certo?

Modelos referenciados por nome (IDs do HuggingFace, strings de modelos OpenAI / Anthropic / Google, pesos locais .gguf / .onnx), datasets referenciados no código ou na config, prompts versionados que vão no repo, URLs de servidores MCP que os teus agentes consomem, grafos LangChain e LlamaIndex, frameworks de orquestração de agentes (Semantic Kernel, AutoGen, CrewAI, ReAct à medida) e bibliotecas de guardrails em uso (Llama Guard, NeMo, Guardrails AI). Cada item cai no inventário com a sua localização no código, a versão fixada e uma classificação heurística.

O AI-BOM é exigido pelo EU AI Act?

O Artigo 11 e o Anexo IV do EU AI Act exigem um pacote de documentação técnica para sistemas de IA de alto risco antes de entrarem no mercado europeu. Esse pacote enumera os modelos, as fontes de dados de treino, a utilização prevista, as métricas de desempenho e as medidas de gestão de risco. O AI-BOM produz a evidência em formato legível por máquina, por isso a etapa de documentação passa a ser uma exportação em vez de um projeto trimestral.

Como é que se integra no CI/CD?

Adiciona a cybedefend-action ao teu workflow do GitHub, ou chama a CybeDefend CLI a partir de qualquer outro pipeline (GitLab CI, Jenkinsfile, Tekton). A análise corre em cada push, o relatório é publicado como artefacto de build e o gate sai com código diferente de zero sempre que um novo componente proibido ou de alto risco entra sem documentação de governação.

Qual é a diferença entre AI-BOM e SBOM?

O SBOM lista componentes de software e CVEs. O AI-BOM lista componentes de IA e as facetas de governação próprias da IA: origem dos dados de treino, linhagem do fine-tune, versões de prompts, âmbito das capacidades do agente, cobertura de guardrails, risco residual. São complementares; a CybeDefend produz os dois, e o resultado do AI-BOM também é exportável em CycloneDX, por isso encaixa nas ferramentas de SBOM que já tens.

O AI-BOM treina com o nosso código?

Não. A análise lê o teu repositório e produz um inventário estruturado; o código-fonte nunca sai do teu ambiente. O dashboard opcional recebe apenas metadados (nomes de componentes, versões, classificação de risco), nunca código em bruto nem o conteúdo dos prompts.

De shadow AI a governado

Corre a análise. O teu inventário de IA em 4 segundos.

Primeira análise gratuita. Sem cartão. O pacote de evidência cai em ./.ai-bom/ antes de acabares o café.

Falar com os fundadores