事件经过
CISA 与来自加拿大、法国、德国、意大利、日本、英国和欧盟的 G7 合作伙伴于 2026 年 6 月 16 日发布了题为《人工智能软件物料清单 – 最小要素》的联合指南。该文件为 AI SBOM 定义了七个信息"集群":元数据、系统级属性、模型、数据集属性、基础设施、安全属性和关键性能指标。它扩展了现有的 SBOM 框架(以 EO 14028/NTIA 2021 为根基),以涵盖特定于 AI 的组件:模型谱系、训练数据集来源、对抗鲁棒性控制和提示注入风险缓解。该指南是自愿性的,不会产生新的法律要求,但明确映射到欧盟人工智能法第 11 和 13 条/附件 IV 技术文档义务。
影响分析
这是第一份关于 AI SBOM 必须包含内容的 G7 共识定义。它为 AI 供应链透明度建立了事实上的国际基准,已在塑造供应商合同、采购问卷和事件响应清单。生产或采购 AI 系统的组织——特别是向政府销售或在欧盟司法管辖区运营的组织——将面临越来越大的压力来生成符合要求的 AI SBOM。该指南还省略了"自主程度"要素(被标记为待定),这表明对代理型 AI 系统的开放标准存在缺口。
建议行动
采纳建议:针对七个集群开始差距分析;优先考虑模型谱系、数据集来源和安全属性要素,因为这些相对于传统 SBOM 是新颖的。供应商风险团队应立即将 AI SBOM 认证添加到采购问卷中。