AI-BOM：企业应对影子AI安全威胁的新防线

曾经困扰企业的"影子IT"问题，如今已演变为更难掌控的"影子AI"。在AI应用与智能体深度融入企业供应链的背景下，传统的软件物料清单（SBOM）已无法提供完整的环境组件清单，AI物料清单（AI-BOM）正在填补这一空白。

什么是AI-BOM

传统SBOM涵盖企业中所有软件包及其依赖关系，而AI-BOM则进一步扩展了可见性范围，涵盖所有模型、数据集、SDK库、MCP服务器、机器学习框架、智能体、智能体技能、提示词及其他AI工具，以及这些AI组件之间的交互方式和与工作流的连接关系。

Palo Alto Networks AI安全副总裁Ian Swanson在接受采访时打了一个生动的比喻："想象一下，AI就像是房间中央的一块生日蛋糕，但你不知道它是怎么来的，不知道配方，不知道食材，也不知道是谁烤的。你敢吃这块蛋糕吗？"

然而，现实是很多企业正在不假思索地"吃着这块蛋糕"。

影子AI的隐患

除了企业官方认可的AI工具，"影子AI"问题同样不容忽视——员工私自使用的各类氛围编程平台、个人搭建的智能体，以及在工作设备上使用的外部聊天机器人，都可能将敏感的企业数据暴露在外。

Cisco AI威胁情报与安全研究负责人Amy Chang表示："很多企业正在努力厘清AI安全问题。AI物料清单是识别环境中AI资产的有效起点，能帮助企业更好地了解自身的AI现状。"

Cisco此前已将其AI-BOM工具开源，支持对代码库、容器镜像和云环境进行扫描，自动生成AI物料清单。近期，该公司还发布了开源的模型溯源工具包（Model Provenance Kit），用于追踪模型来源，其功能类似于AI模型的"DNA检测"。

该工具支持两种模式：比对模式（Compare）可对任意两个模型在元数据、分词器结构及权重级信号等维度进行相似性分析，并给出综合评分；扫描模式（Scan）则以单个模型为起点，与数据库进行匹配，识别最近的模型谱系候选项。为支持扫描模式，Cisco还发布了一个模型指纹数据库，收录了约150个基础模型，涵盖超过45个模型家族和20余家发布机构。

Chang进一步说明，该工具会执行两个维度的检测：首先在元数据层面，比对基础模型与微调版本之间的溯源关系，例如判断某模型是否派生自Meta Llama 4或阿里Qwen3；其次在权重信号层面，提供可验证、可重复的证明方式，确保实际部署的模型确实是企业应当使用、且符合其风险容忍范围的模型。

模型来源的合规风险

Chang以Cursor的Composer 2为例，该产品部分基于Kimi 2.5构建，而Kimi 2.5是一款中国开源模型。她指出，企业在使用此类模型时，可能面临合规或监管方面的风险。

欧盟《AI法案》明确要求企业针对"高风险系统"记录训练数据、训练方法特征及风险评估报告，这正是AI-BOM所能支撑的工作内容之一。

Google旗下的Wiz在其AI-BOM方案中，进一步纳入了开发者工作站（如笔记本电脑或集成开发环境）中用于构建AI应用的各类工具。

Wiz技术产品营销经理Ziad Ghalleb表示："很多人对BOM的理解局限于最终制品中的内容，但我们将AI-BOM的定义延伸至构建AI应用所用的AI工具本身。此外，与这些AI工作负载绑定的身份信息同样至关重要——所有智能体、模型、工具等都与环境中的特定身份相关联，需要关注这些非人类身份及其对应的权限集合。"

AI-BOM如何增强防御能力

Swanson强调，一切的前提是可见性："如果看不见这些工作负载，就无从谈及保护。"

攻击者同样在利用AI提升效率，涵盖对目标系统的侦察、攻击基础设施的搭建与管理等环节。在Palo Alto Networks参与处置的一起真实安全事件中，某犯罪团伙借助AI定位了受害企业暴露的端点。攻击者获取了AI工作负载的系统提示词（即告知AI可以做什么、不能做什么的指令），并对其进行篡改，迫使AI执行数据窃取操作，将敏感信息发送至外部邮件账户。

Swanson指出，如果企业拥有AI-BOM，便能追踪AI系统在特定时间节点的配置与依赖状态，并感知任何变化："如果你了解系统的当前状态及其变化情况，就能从AI物料清单中找到相关信息，发现系统提示词已发生改变，从而及时介入排查。"

此外，模型投毒、技能投毒等供应链攻击也凸显了掌握AI工具清单的重要性。Swanson解释说，与各类编程助手配合使用的"技能"组件极易被篡改，确保这些组件没有被恶意植入额外行为（如凭证窃取或密钥泄露）至关重要。

针对近期频发的恶意npm和PyPI包投毒事件，以及早前的Shai-Hulud凭证窃取蠕虫攻击——两类攻击均针对常被集成进AI应用的代码——Ghalleb表示，即便相关恶意包尚未获得CVE编号，AI-BOM也能让用户查询相关库或包，识别并移除恶意版本，遏制威胁扩散。

Q&A

Q1：AI-BOM和SBOM有什么区别？

A：SBOM（软件物料清单）涵盖企业中所有软件包及其依赖关系，而AI-BOM（AI物料清单）在此基础上进一步扩展，涵盖AI模型、数据集、SDK库、MCP服务器、机器学习框架、智能体、提示词等AI特有资产，以及这些组件之间的交互关系。简单来说，AI-BOM是专门为AI环境设计的、更全面的资产清单工具。

Q2：Cisco的模型溯源工具包（Model Provenance Kit）是怎么工作的？

A：该工具支持两种模式：比对模式（Compare）可分析任意两个模型在元数据、分词器结构和权重信号上的相似性，给出综合评分；扫描模式（Scan）则将单个模型与数据库进行匹配，找出最近的模型谱系来源。Cisco还配套发布了一个涵盖约150个基础模型、超过45个模型家族的指纹数据库，帮助企业追踪模型的真实来源。

Q3：AI-BOM如何帮助企业应对供应链攻击？

A：AI-BOM可以记录AI系统在某一时间点的配置与依赖状态，并检测任何状态变化。一旦系统提示词被篡改、恶意模型被植入或技能组件遭到投毒，AI-BOM能及时发出警报。此外，即使恶意软件包尚未有CVE编号，AI-BOM也能帮助用户查询相关依赖并移除恶意版本，快速遏制威胁扩散。