AI-BOM：企業應對影子AI安全威脅的新防線

曾經困擾企業的"影子IT"問題，如今已演變為更難掌控的"影子AI"。在AI應用與智能體深度融入企業供應鏈的背景下，傳統的軟件物料清單（SBOM）已無法提供完整的環境組件清單，AI物料清單（AI-BOM）正在填補這一空白。

什么是AI-BOM

傳統SBOM涵蓋企業中所有軟件包及其依賴關系，而AI-BOM則進一步擴展了可見性范圍，涵蓋所有模型、數據集、SDK庫、MCP服務器、機器學習框架、智能體、智能體技能、提示詞及其他AI工具，以及這些AI組件之間的交互方式和與工作流的連接關系。

Palo Alto Networks AI安全副總裁Ian Swanson在接受采訪時打了一個生動的比喻："想象一下，AI就像是房間中央的一塊生日蛋糕，但你不知道它是怎么來的，不知道配方，不知道食材，也不知道是誰烤的。你敢吃這塊蛋糕嗎？"

然而，現實是很多企業正在不假思索地"吃著這塊蛋糕"。

影子AI的隱患

除了企業官方認可的AI工具，"影子AI"問題同樣不容忽視——員工私自使用的各類氛圍編程平臺、個人搭建的智能體，以及在工作設備上使用的外部聊天機器人，都可能將敏感的企業數據暴露在外。

Cisco AI威脅情報與安全研究負責人Amy Chang表示："很多企業正在努力厘清AI安全問題。AI物料清單是識別環境中AI資產的有效起點，能幫助企業更好地了解自身的AI現狀。"

Cisco此前已將其AI-BOM工具開源，支持對代碼庫、容器鏡像和云環境進行掃描，自動生成AI物料清單。近期，該公司還發布了開源的模型溯源工具包（Model Provenance Kit），用于追蹤模型來源，其功能類似于AI模型的"DNA檢測"。

該工具支持兩種模式：比對模式（Compare）可對任意兩個模型在元數據、分詞器結構及權重級信號等維度進行相似性分析，并給出綜合評分；掃描模式（Scan）則以單個模型為起點，與數據庫進行匹配，識別最近的模型譜系候選項。為支持掃描模式，Cisco還發布了一個模型指紋數據庫，收錄了約150個基礎模型，涵蓋超過45個模型家族和20余家發布機構。

Chang進一步說明，該工具會執行兩個維度的檢測：首先在元數據層面，比對基礎模型與微調版本之間的溯源關系，例如判斷某模型是否派生自Meta Llama 4或阿里Qwen3；其次在權重信號層面，提供可驗證、可重復的證明方式，確保實際部署的模型確實是企業應當使用、且符合其風險容忍范圍的模型。

模型來源的合規風險

Chang以Cursor的Composer 2為例，該產品部分基于Kimi 2.5構建，而Kimi 2.5是一款中國開源模型。她指出，企業在使用此類模型時，可能面臨合規或監管方面的風險。

歐盟《AI法案》明確要求企業針對"高風險系統"記錄訓練數據、訓練方法特征及風險評估報告，這正是AI-BOM所能支撐的工作內容之一。

Google旗下的Wiz在其AI-BOM方案中，進一步納入了開發者工作站（如筆記本電腦或集成開發環境）中用于構建AI應用的各類工具。

Wiz技術產品營銷經理Ziad Ghalleb表示："很多人對BOM的理解局限于最終制品中的內容，但我們將AI-BOM的定義延伸至構建AI應用所用的AI工具本身。此外，與這些AI工作負載綁定的身份信息同樣至關重要——所有智能體、模型、工具等都與環境中的特定身份相關聯，需要關注這些非人類身份及其對應的權限集合。"

AI-BOM如何增強防御能力

Swanson強調，一切的前提是可見性："如果看不見這些工作負載，就無從談及保護。"

攻擊者同樣在利用AI提升效率，涵蓋對目標系統的偵察、攻擊基礎設施的搭建與管理等環節。在Palo Alto Networks參與處置的一起真實安全事件中，某犯罪團伙借助AI定位了受害企業暴露的端點。攻擊者獲取了AI工作負載的系統提示詞（即告知AI可以做什么、不能做什么的指令），并對其進行篡改，迫使AI執行數據竊取操作，將敏感信息發送至外部郵件賬戶。

Swanson指出，如果企業擁有AI-BOM，便能追蹤AI系統在特定時間節點的配置與依賴狀態，并感知任何變化："如果你了解系統的當前狀態及其變化情況，就能從AI物料清單中找到相關信息，發現系統提示詞已發生改變，從而及時介入排查。"

此外，模型投毒、技能投毒等供應鏈攻擊也凸顯了掌握AI工具清單的重要性。Swanson解釋說，與各類編程助手配合使用的"技能"組件極易被篡改，確保這些組件沒有被惡意植入額外行為（如憑證竊取或密鑰泄露）至關重要。

針對近期頻發的惡意npm和PyPI包投毒事件，以及早前的Shai-Hulud憑證竊取蠕蟲攻擊——兩類攻擊均針對常被集成進AI應用的代碼——Ghalleb表示，即便相關惡意包尚未獲得CVE編號，AI-BOM也能讓用戶查詢相關庫或包，識別并移除惡意版本，遏制威脅擴散。

Q&A

Q1：AI-BOM和SBOM有什么區別？

A：SBOM（軟件物料清單）涵蓋企業中所有軟件包及其依賴關系，而AI-BOM（AI物料清單）在此基礎上進一步擴展，涵蓋AI模型、數據集、SDK庫、MCP服務器、機器學習框架、智能體、提示詞等AI特有資產，以及這些組件之間的交互關系。簡單來說，AI-BOM是專門為AI環境設計的、更全面的資產清單工具。

Q2：Cisco的模型溯源工具包（Model Provenance Kit）是怎么工作的？

A：該工具支持兩種模式：比對模式（Compare）可分析任意兩個模型在元數據、分詞器結構和權重信號上的相似性，給出綜合評分；掃描模式（Scan）則將單個模型與數據庫進行匹配，找出最近的模型譜系來源。Cisco還配套發布了一個涵蓋約150個基礎模型、超過45個模型家族的指紋數據庫，幫助企業追蹤模型的真實來源。

Q3：AI-BOM如何幫助企業應對供應鏈攻擊？

A：AI-BOM可以記錄AI系統在某一時間點的配置與依賴狀態，并檢測任何狀態變化。一旦系統提示詞被篡改、惡意模型被植入或技能組件遭到投毒，AI-BOM能及時發出警報。此外，即使惡意軟件包尚未有CVE編號，AI-BOM也能幫助用戶查詢相關依賴并移除惡意版本，快速遏制威脅擴散。