事件经过
G7网络安全工作组于2026年5月12日发布了《人工智能软件物料清单(SBOM)——最小要素》,该指导文件由CISA(美国)、BSI(德国)、ANSSI(法国)、ACN(意大利)、CSE(加拿大)、NCSC(英国)、NCO(日本)和EU Commission联合制定。该指导定义了AI供应链元数据的七个集群:元数据、系统级属性、模型、数据集属性、关键性能指标、基础设施和安全属性。
影响分析
这是首个针对AI特定供应链透明度的多政府协调基线。虽然非强制性,但它代表了国际社会在AI系统属性必须记录和共享方面的趋同。组织应预期采购团队将这些集群作为AI系统采购和部署治理的基线要求,类似于传统软件SBOM。这与新兴的EU AI Act透明度义务保持一致,并为基于风险的AI采购决策提供了具体框架。
建议行动
将AI SBOM清单控制扩展至采购、模型部署和第三方AI接入工作流程。在合同模板和接入问卷中添加AI特定SBOM字段(模型属性、数据集来源、基础设施要求、安全控制)。审查现有SBOM工具是否能够输出AI相关的元数据集群。