Modelos
32openai/gpt-4o-minisrc/lib/chat.ts:23governadometa-llama/Llama-3.1-8Bmodels/local.ggufshadowanthropic/claude-3-7-sonnetapps/agent/index.ts:11governado
Uma análise, sem questionário. Cada modelo, dataset, prompt, agente, servidor MCP e guardrail catalogado. A evidência do Anexo IV do EU AI Act cai nos teus artefactos de build.
Seis categorias, cada item fixado a um ficheiro e a uma linha. O estado assinala todos os componentes sem model card, sem licença, sem âmbito ou sem versão.
openai/gpt-4o-minisrc/lib/chat.ts:23governadometa-llama/Llama-3.1-8Bmodels/local.ggufshadowanthropic/claude-3-7-sonnetapps/agent/index.ts:11governadowikipedia-en-2024notebooks/finetune.ipynbgovernadocustomer_chats_v2data/training.parquetshadowhf://glaive/code-instructscripts/data.py:8governadochat-system@v3prompts/system.mdgovernadoextract-piilib/pii.ts:17derivatriage-flow@v7agents/triage.yamlgovernadoLangChain ReActapps/agent/main.pygovernadoLlamaIndex query engineapps/rag/server.tsshadowCustom MCP hostservices/mcp-host/governadomcp://github.local:7001agents/.mcp.jsongovernadomcp://internal-tools.cybeapps/agent/mcp.tomlgovernadomcp://prod-postgresinfra/mcp.ts:42shadowLlama Guard 3 8Binfra/guardrails.ts:9governadoGuardrails AI · OutputParserlib/safety.ts:14governado(none)apps/legacy-agent/ausenteCada análise emite um relatório de conformidade completo, mapeado ao Regulamento (UE) 2024/1689. Entrega-o ao jurídico, ao teu auditor ou ao questionário de segurança do teu cliente.
Um ou mais componentes proibidos ou de alto risco detetados. Rever §4: ação necessária antes do deployment.
| Componente | Tipo | Risco |
|---|---|---|
acme/behavioral-social-scor-v2 | Modelo ML | Proibido |
acme/credit-scorer-v2 | Modelo ML | Alto |
acme/customer-chatbot-v4 | Modelo ML | Limitado |
openai/gpt-4o-mini | Modelo ML | Mínimo |
anthropic/claude-sonnet-4-5 | Modelo ML | Mínimo |
+166 mais componentes no relatório completo
Adiciona a cybedefend-action ao teu workflow do GitHub, ou chama a CybeDefend CLI a partir de qualquer outro pipeline. A análise AI-BOM corre em cada push e o build falha quando um novo componente proibido ou de alto risco entra sem documentação de governação.
- name: CybeDefend Security Scan
uses: CybeDefend/cybedefend-action@v2
with:
pat: ${{ secrets.CYBEDEFEND_PAT }}
project_id: ${{ secrets.CYBEDEFEND_PROJECT_ID }}
branch: ${{ github.ref_name }}
break_on_severity: highTrês razões para pôr o AI-BOM no arranque da governação, e não no fim.
Cada modelo, dataset, prompt, agente, servidor MCP e guardrail descoberto automaticamente. Sem questionário, sem folha de cálculo, sem ronda de entrevistas a cada equipa.
Cada secção do Anexo IV tem a sua regra de emissão. A documentação do Artigo 11 deixa de ser um projeto trimestral e passa a artefacto de CI.
Cada componente é etiquetado segundo as funções Govern / Map / Measure / Manage. O relatório de mapeamento é exportado ao lado do SBOM.
Modelos referenciados por nome (IDs do HuggingFace, strings de modelos OpenAI / Anthropic / Google, pesos locais .gguf / .onnx), datasets referenciados no código ou na config, prompts versionados que vão no repo, URLs de servidores MCP que os teus agentes consomem, grafos LangChain e LlamaIndex, frameworks de orquestração de agentes (Semantic Kernel, AutoGen, CrewAI, ReAct à medida) e bibliotecas de guardrails em uso (Llama Guard, NeMo, Guardrails AI). Cada item cai no inventário com a sua localização no código, a versão fixada e uma classificação heurística.
O Artigo 11 e o Anexo IV do EU AI Act exigem um pacote de documentação técnica para sistemas de IA de alto risco antes de entrarem no mercado europeu. Esse pacote enumera os modelos, as fontes de dados de treino, a utilização prevista, as métricas de desempenho e as medidas de gestão de risco. O AI-BOM produz a evidência em formato legível por máquina, por isso a etapa de documentação passa a ser uma exportação em vez de um projeto trimestral.
Adiciona a cybedefend-action ao teu workflow do GitHub, ou chama a CybeDefend CLI a partir de qualquer outro pipeline (GitLab CI, Jenkinsfile, Tekton). A análise corre em cada push, o relatório é publicado como artefacto de build e o gate sai com código diferente de zero sempre que um novo componente proibido ou de alto risco entra sem documentação de governação.
O SBOM lista componentes de software e CVEs. O AI-BOM lista componentes de IA e as facetas de governação próprias da IA: origem dos dados de treino, linhagem do fine-tune, versões de prompts, âmbito das capacidades do agente, cobertura de guardrails, risco residual. São complementares; a CybeDefend produz os dois, e o resultado do AI-BOM também é exportável em CycloneDX, por isso encaixa nas ferramentas de SBOM que já tens.
Não. A análise lê o teu repositório e produz um inventário estruturado; o código-fonte nunca sai do teu ambiente. O dashboard opcional recebe apenas metadados (nomes de componentes, versões, classificação de risco), nunca código em bruto nem o conteúdo dos prompts.
Primeira análise gratuita. Sem cartão. O pacote de evidência cai em ./.ai-bom/ antes de acabares o café.