Especialistas pediram maior transparência nas cadeias de suprimentos de IA à medida que a adoção da IA generativa (GenAI) continua a crescer, trazendo consigo mais desafios de conformidade de segurança e privacidade de dados para as empresas.
Uma solução proposta que está ganhando força é a AI Bill of Materials (AIBOM), uma estrutura projetada para documentar os componentes, fontes de dados e metodologias de treinamento por trás dos sistemas de IA para mitigar riscos e melhorar a responsabilidade.
O conceito baseia-se em Listas de materiais de software (SBOMs), que são inventários estruturados e legíveis por máquina que listam todos os componentes, bibliotecas e dependências usados em um aplicativo de software para aumentar a transparência e a segurança.
Crescente adoção de SBOM em meio a desafios persistentes
Durante o Software Supply Chain Security Summit organizado pela Lineaje, um evento pré-Black Hat realizado em 5 de agosto em Las Vegas, Nick Mistry, CISO da empresa de segurança da cadeia de suprimentos de software, destacou que o aumento da adoção do SBOM pelas equipes de segurança aumentou a transparência do software.
Ele argumentou que essa transparência é um primeiro passo crítico para proteger melhor o software de código aberto e proprietário do qual as organizações dependem.
De acordo com um Grupo de Estratégia Empresarial (ESG) estudar, aproximadamente 22% das organizações estão usando atualmente um SBOM e 4% planejam fazê-lo no futuro.
Embora esse número possa parecer relativamente baixo, Melinda Marks, diretora de prática de segurança cibernética do ESG, afirmou que está crescendo – em parte graças à adoção de formatos SBOM comuns, como Software Package Data Exchange (SPDX), introduzido pela Linux Foundation, e CycloneDX, proposto pela OWASP Foundation.
“No entanto, 79% dos entrevistados ainda acham difícil gerar um SBOM, principalmente porque uma variedade de ferramentas pode ser usada para fazê-lo, incluindo soluções de segurança da cadeia de suprimentos de software, SCAs, recursos CSP, soluções de segurança de aplicativos, ferramentas SBOM dedicadas ou até mesmo processos manuais”, disse ela durante o Software Supply Chain Security Summit.
BOMs de IA já estão na agenda global
O conceito do AI BOM já chegou às mesas dos líderes mundiais de mais alto nível, de acordo com Allan Friedman, pioneiro e um dos defensores mais vocais dos SBOMs.
Friedman, que deixou seu cargo de consultor sênior e estrategista da Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) em julho, explicou que o Grupo de Trabalho de Segurança Cibernética do G7 concordou em maio em desenvolver uma visão conjunta focada na segurança da IA, incluindo a criação de AIBOMs, até sua segunda reunião no final de 2025.
“O G7 é formado por diplomatas que representam os sete países mais ricos do planeta. Agora, eu amo meus amigos que trabalham no Departamento de Estado, mas não vou me apoiar neles para o futuro da segurança da infraestrutura crítica, as preocupações com a segurança nacional e a defesa contra ataques de estados-nação”, observou Friedman.
“Então, esta é uma área que nós, [cybersecurity professionals,] precisarão ser um pouco mais explícitos sobre como vamos construí-lo e como vamos construí-lo de forma colaborativa”, acrescentou.
No geral, ele concordou que, onde o software se beneficiou da transparência, a IA também se beneficiaria porque “IA é software”.
“O desafio que temos é que a transparência precisa ser semanticamente relevante para quem está olhando para ela. Minha preocupação com as BOMs de IA é que vamos implementá-las antes de sabermos o que é”, acrescentou.
Esforços de padronização de BOM de IA
Várias organizações de segurança cibernética começaram a trabalhar para padronizar as BOMs de IA.
Alguns, como Sajeeb Lohani, TISO global e diretor sênior de segurança cibernética da Bugcrowd, acham que as dependências de software de IA devem ser incluídas em SBOMs e não em BOMs de IA independentes.
A Linux Foundation, por exemplo, publicou um relatório explicando como implementar BOMs de IA com seu formato SBOM mais recente, SPDX 3.0.
Da mesma forma, em julho, o ex-empregador de Allan Friedman, CISA, introduziu um grupo de trabalho AI SBOM, que construiu um recurso voltado para a comunidade no GitHub para ajudar as organizações a aplicar práticas de SBOM a sistemas de IA.
Helen Oakley, uma das fundadoras do grupo de trabalho, também é autora um papel para o Instituto Nacional de Padrões e Tecnologia dos EUA (NIST) em setembro de 2024, intitulado “Protegendo ecossistemas de IA: o papel crítico das listas de materiais de IA (AIBOM) na mitigação dos riscos da cadeia de suprimentos de software.”
Outros ainda estão investigando a melhor forma de se posicionarRDoS de IA, como a OWASP Foundation, que criou seus próprios Grupo de trabalho de BOM de IA e pretende lançar o “Guia de Operacionalização de BOM de IA e Objetivo do Guia de Melhores Práticas”, guia abrangente detalhando a operacionalização de AIBOM e suas melhores práticas para sistemas de IA generativos seguros e confiáveis, em outubro de 2025.