G7 網路安全工作小組指引 · 研究解析簡報 · 2026
AI 的軟體物料清單
SBOM for AI:最小元素
把 AI 供應鏈攤在陽光下:七大叢集、50 項最小元素,G7 七國資安機關的共識指引——這份簡報帶你完整讀懂它、評估它、並判斷能否落地
國家資通安全研究院 NICS · 內部教學用 · 共 56 頁
從「論文總覽」到「風險與總結」,六個部分循序帶你讀懂並評估這份 G7 指引
01
論文總覽與可信度
文件資料、研究問題、核心貢獻、作者機構與吸收價值分級。
02
背景與圖表索引
SBOM 基礎、SBOM→AI、關鍵術語、相關工作與閱讀地圖。
03
方法與七大叢集
七叢集架構、Figure 1、50 項最小元素逐叢集解析。
04
證據與圖表深讀
非實證框定、共識流程、Models 表深讀、公式處理。
05
近期動態與實務導入
近 30 天趨勢、適用場景、成熟度階梯、PoC 與治理控制。
06
風險與總結
風險矩陣、可重現性、最值得學五件事與下一步。
00使用說明
如何閱讀這份簡報:四種來源、逐頁標示
每一頁的資訊都標明來源層級,請依標籤判斷可信度與引用方式
論文內容直接出自本指引 PDF 的文字、清單、圖表,含頁碼/Figure 編號
補充資料外部來源(標準、工具、法規、新聞),含日期與出處,已於 2026-06 檢索
分析推論本簡報基於論文與外部資料的判讀與評估,非原文主張
實務建議針對機關/技術團隊導入的操作建議,屬 NICS 觀點,非論文要求
操作:← / → 或滑動換頁,N 顯示/隱藏講者備註。資料圖表皆為 SVG/HTML 手繪或論文原圖引用,未使用 AI 生成圖
一句話總結
「AI 也是軟體;在傳統 SBOM 之上,補齊模型、資料集、基礎設施、安全與 KPI 的最小資訊,讓 AI 供應鏈可被追溯與管理」
A
吸收價值:A 級(政策/治理面)權威性高、與機關職責高度相關、可直接作為導入基礎。但須注意:它是共識型指引,非實證研究——無實驗、無資料集、無 benchmark
01
論文總覽與可信度
這份指引在講什麼、核心貢獻、作者機構,以及是否值得深入吸收的分級
這是「第一份 G7 SBOM for AI 指引」,由七國資安機關+歐盟共同背書
| 標題 | Software Bill of Materials for AI — Minimum Elements |
| 類型 | G7 共識型技術指引(guidance,非標準/非法規/非強制) |
| 共同發布機關 | 德國 BSI、義大利 ACN、法國 ANSSI、加拿大 CSE、美國 CISA、英國 NCSC、日本 NCO,並與歐盟執委會合作 |
| 工作流主導 | 「Artificial Intelligence: SBOM for AI」工作流,由義大利 ACN 與德國 BSI 共同主導 |
| 產出期間 | 2025 年 8 月 – 2026 年 2 月(G7 網路安全工作小組);主席國 加拿大(2025)、法國(2026) |
| 對外發布 | 2026 年 5 月經 CISA 與 G7 夥伴釋出(外部查證:2026-06) |
| 篇幅 / 版本 | 26 頁 A4,PDF v1.7;母本為《Shared G7 Vision on SBOM for AI》(2025-06) |
| 同儕審查 | 否——屬政府機關共識文件,非期刊/會議論文 |
AI 供應鏈不透明——不知道一個 AI 系統「裡面有什麼」,就無法管理它的弱點與風險
問題
AI 系統由模型、資料集、框架、第三方元件層層堆疊,組成資訊散落且常未揭露,難以盤點。
過去為何難解
傳統 SBOM 只描述軟體相依,無法表達模型權重、訓練資料來源、微調血緣等 AI 特有資訊。
為何現在變重要
生成式/代理式 AI 爆發、開放權重模型普及、法規(EU AI Act)逼近,供應鏈攻擊面急速擴大。
若這個問題解得好——組織就能像查食品成分表一樣,盤點 AI 系統的「成分」,據以做弱點管理、事件應變與採購把關
SBOM for AI 的目標:以透明度與可追溯性,降低 AI 供應鏈的網路安全風險
透明度
讓利害關係人知道 AI 系統由哪些元件與相依構成,建立可盤點的清單。
可追溯性
追蹤模型、資料、依賴的來源與血緣,支援依賴關係圖與影響分析。
弱點管理
把元件對應到已知弱點資料庫,據以判斷是否在特定情境部署。
風險治理
作為採購把關、事件應變與 AI 治理的共同資料基礎。
文中明言:SBOM 本身不足以保護供應鏈,必須串接弱點掃描/管理工具、安全公告等,才能發揮實效
最大貢獻不是「發明新技術」,而是「把 G7 共識收斂成一份可操作的最小元素清單」
| 核心貢獻 | 主張 | 證據型態 | 實務價值 / 可信度 |
|---|
| 七大叢集架構 | 把 AI SBOM 拆成 Metadata 等七類叢集 | 專家共識;Figure 1 | 高|給出可落地的盤點骨架 |
| 50 項最小元素 | 逐叢集列出元素+定義+範例 | 共識決策;§2.1–2.7 表格 | 高|可直接對應 SPDX/CDX 欄位 |
| AI 特有 vs 傳統 | AI 元素是「附加於」傳統 SBOM | 明確論述(p.3) | 高|避免重造輪子 |
| 非強制立場 | 不創設標準/法規/實作細節 | 反覆聲明 | 中|降低採用阻力,但也無強制力 |
| 留白與展望 | 自主性/代理式 AI 暫不列為元素 | Discussion | 中|誠實但留下治理缺口 |
讀完本文,請至少記住這五點
1 · AI 也是軟體傳統 SBOM 對 AI 仍有效,AI 最小元素是「附加」而非「取代」。
2 · 七大叢集Metadata(描述 SBOM 自身)+ 其餘六類同等重要。
3 · 50 項最小元素逐欄位定義,是最小集合、非窮舉,開放擴充。
4 · 自願、不綁格式只說「要記什麼」,不指定 SPDX/CycloneDX 等格式。
5 · 須搭配工具SBOM 要連接弱點掃描/管理工具才有實效。
章節 2作者 / 機構 / 脈絡
誰寫的:七國資安機關+歐盟
作者群是各國「國家級資安主管機關」,這是本文最強的可信度來源
DE · BSI
德國聯邦資訊安全辦公室(共同主導)
| 項目 | 觀察結果 | 對可信度的影響 |
|---|
| 作者 / 團隊 | G7 網路安全工作小組(多國資安專家) | 正向 集體共識、跨國校準 |
| 所屬機構 | 七國國家級資安機關+歐盟 | 正向 權威性極高 |
| 發表平台 / 版本 | 政府官網(CISA/BSI)PDF v1.7 | 中性 非期刊,但官方正式 |
| 同儕審查 | 否(共識文件,非學術論文) | 中性 以共識取代 peer-review |
| 相關研究經驗 | 承接 2025 G7 Shared Vision、各國 SBOM 政策 | 正向 脈絡延續 |
| 程式碼/資料/模型 | 無(指引文件,本就不含) | 中性 不適用 |
| 外部引用/討論 | SecurityWeek、Industrial Cyber 等報導 | 正向 業界關注度高 |
| 可能立場/利益 | 政策推動、促進產業採用 SBOM | 留意 政策倡議性質 |
章節 2吸收價值判定
是否值得深入吸收:A / B / C / D
A
A 級(政策 / 治理面)值得完整精讀,可作為機關 AI 供應鏈治理與採購把關的基礎文件。
| A 值得完整精讀 | 本文(政策/治理) |
| B 值得快速吸收 | 掌握架構/方法即可的延伸標準 |
| C 參考但需查證 | 單一廠商工具白皮書 |
| D 僅供觀察 | 未經驗證的個別宣稱 |
但須加註:以「實證研究」標準看,本文無實驗、無 benchmark、無可重現性——它的價值在權威共識與可操作性,不在實證強度
02
背景知識與圖表索引
什麼是 SBOM、為何 AI 需要加版、關鍵術語、相關工作,以及論文圖表的閱讀地圖
SBOM 是軟體的「成分清單」——記錄一個軟體由哪些元件與相依構成
傳統 SBOM
列出軟體中的套件、版本、授權與相依關係,讓組織能對應已知漏洞(CVE)、做弱點管理。源自美國 NTIA「最小元素」與行政命令脈絡。
為什麼 AI 需要「加版」
AI 系統還包含模型權重、訓練資料來源、微調血緣、推論基礎設施——這些是傳統 SBOM 表達不了的,必須補上 AI 特有元素。
關鍵原則(本文反覆強調):AI 最小元素是「附加」於傳統 SBOM 最小元素,不是取代。兩者並存
章節 3對照
從傳統 SBOM 到 SBOM for AI
同樣的「盤點哲學」,延伸到 AI 特有的成分
傳統 SBOM
軟體的相依清單
套件名稱、版本、雜湊、授權、相依關係。對映 CVE、做漏洞管理。格式:SPDX / CycloneDX。
SBOM for AI(=傳統+AI 元素)
軟體相依+模型/資料/基礎設施
另加:模型身分與血緣、訓練方式、資料集來源與敏感度、推論基礎設施、AI 特有安全控制、安全/營運 KPI。
| 術語 | 白話解釋 | 在文中的作用 | 實務意義 |
|---|
| Cluster 叢集 | 一組同類的資訊欄位 | 七大分類骨架 | 盤點與問卷的分章依據 |
| Element 元素 | 叢集內的單一欄位 | 共 50 項最小欄位 | 對映 SBOM 格式欄位 |
| Provenance 來源溯源 | 資料/模型「從哪來、怎麼來」 | 資料集叢集核心 | 判斷版權/偏誤/可信 |
| Lineage 血緣 | 模型的前身與衍生關係 | Model description | 微調鏈追溯 |
| Hash 雜湊 | 檔案的數位指紋 | 驗證完整性 | 確認權重未被竄改 |
| HBOM | 硬體物料清單 | 基礎設施叢集連結 | 涵蓋專用 AI 硬體 |
| SPDX / CycloneDX | 兩大機器可讀 SBOM 格式 | 文中不指定(中立) | 實作時須擇一 |
| VEX | 弱點適用性說明 | 連接弱點管理 | 判斷漏洞是否真受影響 |
本文是「G7 Shared Vision (2025)」的落地續作,並與既有 SBOM/安全 AI 指引接軌
G7 Shared Vision (2025-06)定義 SBOM for AI 的概念與高階叢集,本文是其細化。
NTIA SBOM 最小元素傳統 SBOM 的最小元素母本。
NCSC Secure AI 開發指引安全 AI 系統開發的英方指引。
NCSC:SBOM 與盤點重要性部落格,強調 inventory 的價值。
SPDX 3.0 / CycloneDX兩大格式已各自加上 AI/ML 擴充。
CPE / PURL / SWHID / OmniBOR本文建議採用的軟體識別子標準。
本文視覺證據極少:僅 1 張概念圖+7 組元素定義表,無資料圖表
| 圖表 | 頁碼 | 原始用途 | 重要性 | 簡報處理 | 說明 |
|---|
| Figure 1 | p.5 | 七大叢集總覽 | 高 | 重製+原圖引用 | 裝飾性(G7 國旗環),重製為 NICS 教學圖,另頁保留原圖 |
| Table §2.1 | p.6–8 | Metadata 10 元素 | 高 | 重製為元素卡 | 原為文字表,重排為清單 |
| Table §2.2 | p.9–11 | SLP 9 元素 | 高 | 重製 | 含範例欄 |
| Table §2.3 | p.12–17 | Models 13 元素 | 高 | 重製+深讀 | 最大叢集,另設深讀頁 |
| Table §2.4 | p.18–19 | Datasets 10 元素 | 高 | 重製 | 含敏感度/溯源 |
| Table §2.5–2.7 | p.20–22 | Infra/SP/KPI | 中 | 重製 | 較短,合併呈現 |
| 公式 | — | 無 | — | 不適用 | 本文無數學公式 |
章節 4閱讀地圖
26 頁怎麼讀:哪些是理解必要的
時間有限就讀三段:Executive Summary、Figure 1、Models 叢集
必讀(10 分鐘)
p.1 摘要+p.3 Introduction+Figure 1(七叢集)。掌握「為什麼+是什麼」。
技術團隊精讀
§2.3 Models(13 元素)、§2.4 Datasets(10 元素)——對映格式欄位的重點。
治理單位重點
§2.6 Security、§3 Discussion——控制點與「SBOM 不足以…」的限制聲明。
03
方法與七大叢集
七叢集架構與 50 項最小元素逐一解析,含 Figure 1 重製與原圖引用
章節 5方法與架構
七大叢集總覽 Figure 1 · 重製
Metadata 描述「SBOM 自身」;其餘六叢集描述「AI 系統的成分」,地位同等重要
章節 5原圖引用
Figure 1 原圖(視覺證據保留)
Figure 1 · p.5 · 原圖擷取(未變形、未裁切標註)
簡報版解讀框
- 它要回答:一個 AI SBOM 該包含哪幾類資訊。
- 作者想證明:七叢集架構是完整且互補的盤點骨架。
- 符號意義:中央 G7 國旗環=七國共識來源;外圈七標籤=七叢集。
- 最重要觀察:Metadata 與其餘叢集並列,但性質不同(描述 SBOM 自身)。
- 可能誤讀:國旗環是「來源象徵」非技術內容,不要當成架構元件。
- 實務啟發:可直接當盤點問卷的七大分章。
章節 5架構邏輯
為什麼是這七類:Metadata 與其餘六叢集
一條軸線:先說「這份清單是誰、何時、用什麼工具做的」,再說「系統裡有什麼」
Metadata(關於文件自身)
誰做的、版本、格式、簽章、工具、產生階段、時戳、相依關係——讓 SBOM 本身可被信任與比對。文中刻意先列。
其餘六叢集(關於 AI 系統)
SLP 看整體系統、Models 看模型、Datasets 看資料、Infrastructure 看軟硬體、Security 看防護、KPI 看安全/營運表現。彼此無先後,同等重要。
設計意圖:把「文件可信度」與「系統成分」分開——你要先相信這份清單本身,才能用它管系統
叢集 ①Metadata Cluster
Metadata:關於 SBOM 自身 10 元素
確保「這份清單是誰做的、何時做的、可否被信任」
SBOM author產生 SBOM 的實體(與 Producer 區分)
SBOM version版本,建議 SemVer,首版 major=1
Data format name資料格式名稱(機器可讀)
Data format version格式版本,棄用版不可用
Author signature數位簽章,須用核可演算法
Tool name產生 SBOM 的工具名稱
Tool version工具版本,未知須註明
Generation context產生階段:before/build/after build
Timestamp最近更新時戳(RFC 9557)
Dependency relationshipincludes / derived-from,可建相依圖
叢集 ②System Level Properties
SLP:把 AI 系統當「整體」看 9 元素
針對由多個 AI 元件(分類器、LLM、代理)組成的系統,描述其整體行為與資料流
System name系統名稱(可多名)
System components含模型、資料庫、其他工具
System producer建立系統的實體
System version系統版本
System timestamp最近更新(含模型更新)
System data flow元件間資料流、外部 API、多代理協定
System data usage資料如何被處理/取用
Input/output properties模態、tokenizer、I/O 型態
Intended application area應用領域(醫療/金融/資安…)
叢集 ③Models Cluster(最大叢集)
Models:模型的身分、血緣與特性 13 元素
最大叢集——描述每個模型「是什麼、誰做的、怎麼訓練、可否驗證完整性」
Model name / identifier名稱+識別子(CPE/PURL/UUID/SWHID)
Model version / timestamp版本與更新/發布時間
Model producer預訓練/後訓練/微調的實體
Model description能力、限制、血緣(前身/衍生)
Model hash value / algorithm權重雜湊+演算法(NIST 核可)
Model properties架構、參數量、超參數
Input-output propertiescontext length、模態、前處理
Model training properties訓練方式(SFT/RLHF/DPO…)
Model license授權,是否 open weight/data
Model external referencesmodel card、研究論文連結
叢集 ④Datasets Properties
Datasets:資料的身分與來源溯源 10 元素
涵蓋模型全生命週期用到的資料集——來源溯源與敏感度是最難也最關鍵的欄位
Dataset name資料集名稱
Dataset description用途(預訓練/微調/評估)、公開或私有
Dataset content內容類型與格式(影像/音訊/文字…)
Dataset identifierURL/URI 唯一識別
Dataset hash資料集雜湊
Dataset provenance來源、蒐集/清洗/標註方法、合成資料方式
Statistical properties均值/變異/中位數等統計特徵
Dataset sensitivityPII/版權/敏感/國安資料
Dependency relationship由哪些資料集/工具衍生
Dataset license資料集授權文件連結
叢集 ⑤Infrastructure Cluster
Infrastructure:跑這個系統的軟硬體 2 元素
運作 AI 系統所需的軟硬體相依,並以連結方式涵蓋專用 AI 硬體
Infrastructure software
交付與執行 AI 系統所需的軟體相依:韌體、套件管理器、第三方函式庫、框架、執行環境、系統使用的工具。
Infrastructure hardware
以連結方式指向既有 HBOM(硬體物料清單),涵蓋系統部署所在的硬體元件與專用 AI 硬體。
設計巧思:硬體不重造清單,而是連結到 HBOM——體現「附加而非重造」的一貫原則
叢集 ⑥Security Properties
Security:AI 與一般資安控制 4 元素
把已實施的資安控制、合規、政策與弱點參照都記進清單
Security controls一般控制(加密、存取控制、API 認證、異常偵測)+AI 特有(對抗訓練、prompt injection 防護、I/O 過濾、訓練資料控管)
Security compliance已取得的資安認證/標準/框架
Cybersecurity policy連結到 producer 公布的 security.txt
Vulnerability referencing連結到弱點資料庫,協助判斷是否在高風險情境部署
叢集 ⑦Key Performance Indicators
KPI:安全與營運表現指標 2 元素
記錄系統的安全與營運表現,作為生命週期的健康指標
Security metrics
評估 AI 模型/系統安全特性的指標,例如強健性(抵抗第三方操弄的能力)等安全相關 benchmark 與量測。
Operational performance KPIs
營運狀態與威脅指標:系統正常運行時間、事件解決時間、系統延遲、請求吞吐量、負載平衡。
這讓 SBOM 不只是「靜態成分表」,也帶有可監測的健康訊號,呼應 NICS「強化監測」的治理語言
章節 5資料視覺化(手繪 SVG)
七叢集元素數量分布 合計 50 元素
Models(13)與 Datasets(10)最重,反映 AI 特有資訊集中在「模型與資料」
04
證據型態與圖表深讀
為何它不是實證研究、G7 共識決策流程、Models 表深讀與公式處理
章節 6證據型態(取代「實驗與結果」)
誠實框定:本文「不是」實證研究
沒有資料集、沒有 baseline、沒有 benchmark——它的「證據」是 G7 專家共識
它沒有的(不要期待)
實驗 · 資料集 · 評估指標
無模型訓練、無消融實驗、無 human evaluation、無統計顯著性、無可重現的程式碼。
它有的(價值所在)
多邊共識 · 可操作清單
七國資安機關歷時半年、經虛擬與混合會議達成的共識決策,產出可逐欄位實作的最小元素。
章節 6論證證據鏈
它如何形成:G7 共識決策流程
本文的「方法論」=跨國共識決策,而非實驗
2025-06Shared Vision
G7 發布 SBOM for AI 共同願景,提出高階叢集。
2025-08專家工作
G7 網路安全工作小組啟動細化作業。
2025–26共識決策
虛擬/混合會議;叢集經調整、新增與移除。
2026-02→05定稿發布
產出最小元素清單並對外發布。
值得注意:叢集清單是「演化」出來的——文中明說「有些叢集被調整、有些新增、有些移除」,顯示經過實質辯論
章節 7重要 Table 深度解讀
深讀:Models 叢集元素表(最豐富的表)
挑四個最關鍵元素,說明它們「要回答什麼、為何重要、易誤讀處」
| 元素 | 要回答什麼 | 為何重要 | 易誤讀 / 注意 |
|---|
| Model hash value | 權重檔的數位指紋是什麼 | 驗證模型未被竄改/投毒 | 無法取得權重時須註「unknown」,非省略 |
| Model description(血緣) | 它從哪個前身微調而來 | 追溯微調鏈、衍生模型 | 易只記微調、漏記基礎模型 |
| Model training properties | 用了哪些訓練方式 | 判斷對齊/偏好優化(RLHF/DPO) | 多以連結 model card,深度不一 |
| Model license | 授權與開放程度 | 判斷可否商用/再訓練 | open weight≠open data,須分清 |
章節 7白話解讀
三個最該懂的元素:給主管的白話版
Dataset sensitivity
白話:這份訓練資料裡有沒有個資、版權、敏感或國安資料?
為何在意:直接關係法遵與隱私風險。
Dependency relationship
白話:這個元件包含/衍生自哪個元件?
為何在意:能畫相依圖,元件爆漏洞可快速影響分析。
Generation context
白話:這份清單是建置前、中還是後產生的?
為何在意:決定清單完整度與可信度。
這三個跨叢集元素,是「可治理性」的支點:敏感度→法遵、相依→影響分析、產生階段→清單可信
這是規範性指引,全文無數學式;唯一的「技術機制」是雜湊驗證與相依關係圖
| 項目 | 頁碼 | 用途 | 放入正文? | 白話解釋 |
|---|
| (無公式) | — | 本文不含任何數學公式 | 不適用 | — |
| 雜湊驗證(概念) | p.14–15, 18 | 對權重/資料檔做雜湊以驗完整性 | 否(已於叢集說明) | 檔案指紋,比對是否被改 |
| 相依關係圖(概念) | p.8 | includes/derived-from 建依賴圖 | 否(已圖解) | 誰包含誰,畫成關係圖 |
因此本簡報不設「公式白話頁」於正文;相關概念已併入 Models/Datasets/Metadata 叢集說明
05
近期動態與實務導入
近 30 天趨勢、工具生態、適用場景、成熟度階梯、PoC 與治理控制點
章節 8近期動態(2026-06 檢索)
近 30 天與關鍵背景趨勢
標準與工具其實已就緒,真正落後的是「採用」與「自動化生成」
標準
SPDX 3.0、CycloneDX 1.7 皆已具 AI/ML 能力,本文刻意不綁格式。
工具
OWASP AI BOM Generator、Cycode、Manifest、JFrog 陸續推出。
法規
EU AI Act(2026-08-02)、FY26 NDAA 推動 AI BOM 由自願走向要求。
缺口
資料來源溯源最難;ML-BOM 採用率仍偏低。
註:以下項目多為 6–12 個月關鍵背景;本文發布(2026-05)落在近 30 天內。各項已於 2026-06 檢索,部分精確日期以「補充資料」標示,未逐筆獨立查核。
| 案例 / 技術 | 時間 | 與本文關聯 | 可學習重點 | 風險 / 限制 |
|---|
| 本指引發布 | 2026-05 | 即本文 | 首份 G7 AI SBOM 指引 | 自願、不綁格式 |
| EU AI Act 第11條/Annex IV | 2026-08-02 生效 | 技術文件要求高度對映 AI BOM | 合規驅動採用 | 僅限高風險 AI |
| SPDX 3.0 AI/Dataset profile | 2024-04→ISO | 可承載本文元素的格式 | 模型/資料溯源欄位 | 工具鏈待補 |
| CycloneDX 1.7 (ML-BOM) | 2025 | 另一承載格式(ECMA-424) | 資料溯源/加密透明 | 生成自動化未成熟 |
| OpenSSF model-signing | 2025 | 補強模型完整性(對應 hash) | Google/NVIDIA 參與 | 採用待推廣 |
| arXiv 2510.07070 AIBOM | 2025-10 | 開放 AIBOM 標準學術探討 | 標準落地實證 | 學術非官方 |
| nullifAI 投毒模型 | 2025 | 佐證「為何要溯源」 | SBOM=鑑識而非防火牆 | 事後鑑識 |
指引只說「記什麼」,要靠這些格式與工具把它變成可執行的清單
格式
SPDX 3.0 / CycloneDX 1.7
兩大機器可讀格式,皆已具 AI/Dataset/ML-BOM 能力;CycloneDX 為 ECMA-424。
開源工具
OWASP AI BOM Generator
首個從 Hugging Face 模型自動產生 CycloneDX 格式 AIBOM 的開源工具。
商用
Cycode / Manifest / JFrog
AI/ML 盤點與 AI BOM 生成;JFrog 2026-03 推出 Universal MCP Registry。
完整性
OpenSSF model-signing · SLSA
模型簽章與來源證明,與 SBOM 互補,正研議調和。
指引留白之處,正是社群仍在辯論的地方
格式之爭
SPDX vs CycloneDX 如何對映 AI 元素、如何表達託管模型/prompt/代理工具,尚無共識。
資料溯源
多數模型訓練資料未揭露;微調鏈常漏記基礎模型資料——被視為最難的一塊。
採用落差
標準存在多年但採用落後(Lineaje 2025-06 調查:48% 自承落後);ML-BOM 更低。
另一隱憂:CISA 2026 年人事縮編,恐影響後續維護動能(外部報導,待觀察)
先從「高風險、碰個資、做決策」的 AI 系統開始,別一次全面鋪開
適合優先導入
高風險 / 對外 / 採購引進的 AI
碰民眾個資、做關鍵決策、外購或開源引進的模型;EU AI Act 高風險類別;關鍵基礎設施 AI。
暫不適合 / 成本不划算
低風險 / 內部實驗 / 短命 PoC
純內部、不碰敏感資料、生命週期極短的實驗性模型——全套 SBOM 成本可能高於效益。
從手動盤點高風險模型,逐步走向自動生成與採購端整合
章節 9PoC 與驗收
導入前 PoC 設計與驗收指標
| PoC 項目 | 設計方式 | 驗收指標 | 負責角色 |
|---|
| 對象選擇 | 挑 1–2 個高風險/對外模型 | 涵蓋七叢集 ≥80% 元素 | 資安+AI 團隊 |
| 格式落地 | 產出 SPDX 3.0 或 CycloneDX | 機器可讀、可被工具解析 | 工程團隊 |
| 完整性驗證 | 對權重做雜湊+簽章 | 雜湊可重算一致 | 工程+維運 |
| 弱點對應 | 元件對映弱點資料庫 | 能列出受影響元件 | 資安團隊 |
| 資料溯源 | 記錄來源/敏感度 | 標出 PII/版權風險 | 法遵+資料治理 |
| 人工覆核 | 抽查自動產出正確性 | 錯誤率<可接受門檻 | 稽核 |
把 SBOM 接進既有的採購、上線、監測與事件流程,而非另立孤島
採購把關
招標/採購要求供應商提供 AI SBOM,列入契約條款。
資料治理
檢視 Dataset sensitivity,把關個資/版權/國安。
06
風險、可重現性與總結
限制與風險矩陣、可重現性檢查、最值得學五件事與導入前的下一步
| 風險 / 限制 | 影響 | 可能性 | 對導入的影響 | 建議對策 |
|---|
| 資料來源溯源難落實 | 高 | 高 | 關鍵欄位常缺漏 | 分級要求、容許 unknown 並追蹤 |
| 自願、無強制力 | 中 | 高 | 供應商可不提供 | 以採購契約補強 |
| 不綁格式→互通性 | 中 | 中 | 不同格式難整合 | 機關內統一 SPDX/CDX |
| 生成工具未成熟 | 中 | 高 | 多需手動、成本高 | 先半自動+人工覆核 |
| 微調鏈漏記基礎模型 | 高 | 中 | 血緣不完整 | 要求揭露上游血緣 |
| SBOM≠安全本身 | 高 | 中 | 易誤以為已防護 | 務必串接弱點管理工具 |
本文是指引非實驗,傳統「可重現性」不適用;改檢視「可實作性」
| 檢查項目 | 狀態 | 影響 | 建議 |
|---|
| 程式碼公開 | 不適用(指引) | 無實驗可重現 | 改看格式工具是否開源 |
| 資料集公開 | 不適用 | — | — |
| 模型/權重 | 不適用 | — | — |
| 元素定義清晰 | 是 | 可逐欄位實作 | 可直接對映格式欄位 |
| 格式可實作 | 是(SPDX/CDX) | 有現成容器 | 選定機關標準格式 |
| 一般團隊可導入 | 部分 | 生成自動化未成熟 | 先半自動+人工覆核 |
| 機關導入障礙 | 中 | 供應商配合、溯源缺漏 | 採購契約+分級要求 |
作者自己承認
非窮舉 · 不足以單獨保護
最小元素非完整清單;自主性/代理式 AI 暫不列為元素;SBOM 須搭配其他資安工具才有效。
未明講但應注意
執行落差 · 互通性 · 維護
無強制力與驗證機制;不綁格式造成互通成本;供應商配合度未解;長期維護動能(如 CISA 縮編)存疑。
1 · 盤點哲學可遷移「成分表」思維從軟體延伸到 AI,附加而非取代。
2 · 七叢集是好骨架可直接當盤點問卷與採購清單的母版。
3 · 模型與資料最重AI 特有複雜度集中在 Models(13)+Datasets(10)。
4 · 來源溯源是命門Provenance/Sensitivity 最難也最有治理價值。
5 · 清單要配工具SBOM 接弱點管理才有實效,否則只是文件。
| 導入前必問 | 下一步行動 |
|---|
| 1. 我們有哪些高風險/對外 AI 系統? | 盤點清單,排優先序(前 20%) |
| 2. 機關要統一用哪個格式? | 選定 SPDX 3.0 或 CycloneDX,訂內規 |
| 3. 供應商願意提供 AI SBOM 嗎? | 把要求寫進採購/契約範本 |
| 4. 誰負責資料溯源與敏感度? | 指派法遵+資料治理權責 |
| 5. SBOM 接到哪個弱點管理流程? | 串接弱點掃描與告警機制 |
建議下一步:對 1–2 個高風險模型啟動 PoC(見第 40 頁),3 個月內驗證可行性與成本
一頁式總結
G7《SBOM for AI》=七叢集 · 50 元素 的 AI 供應鏈成分表;權威共識(A 級)但非實證、自願、不綁格式;落地關鍵在資料溯源與串接弱點管理
主來源G7《SBOM for AI: Minimum Elements》PDF(本文,CISA/BSI 發布)
母本Shared G7 Vision on SBOM for AI (2025-06, ACN)
NCSCGuidelines for Secure AI System Development;SBOMs and the importance of inventory
格式SPDX 3.0 (spdx.dev);CycloneDX 1.7 / ECMA-424 (cyclonedx.org)
法規EU AI Act Art.11 / Annex IV(2026-08-02);FY26 NDAA;NIST SSDF
完整性OpenSSF model-signing (2025);SLSA
學術/案例arXiv 2510.07070 AIBOM;ReversingLabs nullifAI;Lineaje 2025-06 調查
報導SecurityWeek、Industrial Cyber、TechInformed、Dark Reading、VentureBeat(2026-06 檢索)
結語
先讓 AI 供應鏈可被看見,才談得上治理
SBOM for AI 不是終點,而是把模型、資料與相依攤在陽光下的起點——透明、可追溯,才有後續的弱點管理與韌性
國家資通安全研究院 NICS · 內部教學 · 資料截至 2026-06
資安院 NICSNational Institute of Cyber Security
內部教學 · INTERNAL
1 / 56
← / → · 滑動 · N 備註