AI 系统也需要一份软件物料清单:G7 发布 AI SBOM 最低要素

当企业把大模型、RAG、智能体、外部 API、插件工具和业务数据接入同一个系统时，AI SBOM 试图回答一个最基础也最关键的问题：这个 AI 系统到底由什么组成，风险来自哪里，谁应当负责，怎样持续更新。

导读

当企业开始把大模型、RAG、智能体、外部 API、插件工具和业务数据接入同一个系统时，一个现实问题会越来越尖锐：如果这个 AI 系统出了安全问题，企业到底知不知道它由哪些模型、数据集、软件组件、基础设施和安全控制组成？又能不能快速判断风险来自哪里、影响哪些业务、该找哪个供应商或内部团队处理？

这正是 AI SBOM 值得关注的原因。传统软件供应链安全已经证明，只有知道软件里“装了什么”，才谈得上漏洞响应、补丁管理、许可证合规和供应商风险管理。AI 系统同样是软件系统，但它比传统软件多了模型权重、训练和评估数据、数据来源、模型谱系、提示注入防护、输出过滤、运行指标等新变量。没有一份结构化清单，所谓 AI 治理很容易停留在原则、制度和上线审批层面，难以进入真正可验证、可审计、可持续更新的工程治理。

2026 年 5 月 12 日，德国联邦信息安全办公室（BSI）发布新闻稿称，G7 各国网络安全主管机构与欧盟委员会发布了《Software Bill of Materials (SBOM) for Artificial Intelligence – Minimum Elements》。这份指南的意义在于，它没有只讲“AI 透明度很重要”，而是进一步回答了一个更实用的问题：如果要为 AI 系统建立软件物料清单，最低限度应记录哪些字段？

文件把 AI SBOM 拆成七类信息集群：元数据、系统层面属性、模型、数据集属性、基础设施、安全属性和关键绩效指标。每个集群下列出具体要素，并说明其含义和示例。相比一般软件 SBOM，这份指南特别强调 AI 系统中特有的内容，例如模型权重、训练属性、数据集来源、数据敏感性、模型输入输出属性、提示注入控制、模型/系统安全指标等。对正在建设 AI 治理体系的企业来说，它更像是一张“从制度走向台账”的最低字段表。

译者评论

这份指南的价值，不在于立刻创造一项新的强制标准，而在于给企业搭建 AI 供应链透明度台账提供了一张“最小字段表”。它提醒企业：AI 治理不能只停留在模型上线审批、隐私评估或用户告知层面，还需要把模型、数据、基础设施、安全控制和运行指标转化为可记录、可交换、可审计的结构化信息。

对企业实务而言，AI SBOM 至少会影响三类工作。第一是供应商管理，采购或接入外部模型时，企业需要知道模型生产者、版本、许可证、训练属性、安全合规和漏洞引用。第二是内部模型治理，自研或微调模型需要记录数据来源、数据敏感性、模型谱系、哈希和更新记录。第三是安全运营，AI SBOM 应与漏洞扫描、补丁管理、安全公告、事件响应和运行监控联动，而不是成为孤立文档。

从落地顺序看，可以先不追求一次性完整实现，而是从关键 AI 系统开始建立最小清单：系统名称和版本、系统组件、模型名称和版本、模型生产者、数据集来源、许可证、安全控制、漏洞引用、运行 KPI。随后再把这些字段接入现有资产管理、第三方风险管理和安全运营流程。真正难的不是写一份清单，而是让清单随模型、数据和组件变更持续更新。

这也解释了为什么文件多次强调“机器可处理”“结构化”“工具生成”。AI 供应链的变化速度远高于传统软件文档周期。如果 AI SBOM 仍靠人工 Word 表格维护，它很快会失真。未来更可能出现的是：AI 开发平台、模型仓库、数据治理平台、安全扫描工具和采购系统共同生成并校验 AI SBOM。届时，AI 透明度会从合规文本要求，进一步变成工程治理能力。

执行摘要

获取人工智能（AI）系统供应链及其各个组件和依赖项的信息，对于加强人工智能网络安全至关重要。关于 AI 系统组成的透明度和认知，有助于促进漏洞管理，并支持网络安全风险管理。

本文为公共部门和私营部门利益相关方提供可操作指南，说明对于人工智能软件物料清单（Software Bill of Materials，SBOM for AI）可以合理期待哪些内容，并改善 AI 供应链上的透明度和网络安全。本文建立在 G7 网络安全工作组于 2025 年 6 月发布的 AI SBOM 共同愿景之上，就 AI SBOM 应包含哪些最低要素提供有用的实践建议。

因此，本文旨在覆盖由 G7 网络安全工作组专家识别并达成共识的一组最低要素。这些最低要素并非强制性要求；不创设要求、标准或立法；并且为跟上技术发展以及 G7 成员法律或政策框架的演进，仍可进一步完善。此外，在某些司法辖区，本文提出的部分要素可能已经通过法律要求和义务、现有或即将出台的标准得到处理，或预期将通过这些方式得到处理。

本文由德国联邦信息安全办公室（BSI）、意大利国家网络安全局（ACN）、法国国家网络安全局（ANSSI）、加拿大通信安全局（CSE）、美国网络安全和基础设施安全局（CISA）、英国国家网络安全中心（NCSC）和日本国家网络安全办公室（NCO）联合发布，并与欧盟委员会合作完成。

本文是在加拿大（2025 年）和法国（2026 年）担任 G7 主席国期间提供支持下撰写的，属于由意大利（ACN）和德国（BSI）共同牵头的 “Artificial Intelligence: SBOM for AI” 工作流。

目录

1. 引言
2. 集群与集群要素
   1. 元数据集群要素
   2. 系统层面属性（SLP）集群要素
   3. 模型集群要素
   4. 数据集属性（DP）集群要素
   5. 基础设施集群要素
   6. 安全属性（SP）集群要素
   7. 关键绩效指标（KPI）集群要素
3. 讨论
4. 结论
5. 参考文献

1. 引言

2025 年 6 月，G7 网络安全工作组发布了关于人工智能软件物料清单（SBOM for AI）的共同愿景，¹ 对 AI SBOM 的概念、目标、益处和属性作出界定，旨在通过提高 AI 系统组件透明度，支持 AI 供应链上的网络安全。该文件指出，AI SBOM 应界定需要捕捉的信息类型，从而使利益相关方清楚了解如何在 AI 供应链上实现透明度。该文件建议了一组高层次、示例性的最低要素，并将其列为若干集群。

该文件还建议 G7 专家开展进一步工作，以进一步界定这些集群，并明确每一集群中应包含哪些关于 AI 系统组件的详细信息。

下列指南正是该项工作的成果。这些最低要素以共同实践建议补充了 AI SBOM 共同愿景，说明 AI SBOM 应包含哪些最低要素，以便利公共部门和私营部门利益相关方采用和实施。这是 G7 关于 AI SBOM 的首份指导文件，也是 G7 网络安全工作组内网络安全和 AI 专家在 2025 年 8 月至 2026 年 2 月期间共同完成工作的成果。

AI 系统也是软件系统。因此，SBOM 对 AI 系统仍然有效。AI SBOM 中的最低要素是在一般 SBOM 最低要素之外的补充。

为什么需要 AI SBOM

借鉴既有软件物料清单（SBOM）概念，AI SBOM 由一份结构化记录构成，或者说，是构建 AI 系统所使用各类组件的详细信息和供应链关系清单。该结构化记录被划分为不同集群。每个集群包含若干“要素”，即用于捕捉 AI 系统组件独特特征的信息。

AI SBOM 的目标，是通过组件和依赖项的透明度与可追溯性，帮助保护 AI 系统和供应链安全。与 SBOM 一样，AI SBOM 充当“成分清单”，向组织提供可用于确保有效 IT 安全流程的数据。

AI SBOM 应包括什么：最低要素

本文列出的拟议最低要素是 G7 专家共识的产物，为 AI 开发者和部署者如何实施 AI SBOM 提供可操作指南，以改善供应链上的透明度和网络安全，并由此促进 AI 治理。

AI SBOM 对有助于跟踪漏洞和弱点、降低网络安全风险的信息进行结构化。

尽管拟议最低要素并非详尽无遗，并且根据行业、部门或司法辖区不同，可能需要额外集群或要素，但建议 AI SBOM 包含这些最低要素。在这一意义上，本文目的在于提供有用指导，而不创设新的要求、标准、立法或 AI SBOM 的实施细节；这些均不属于本项工作的范围。

拟议最低要素清单可进一步扩展，以跟上 AI 技术的快速发展。

AI 软件供应链安全正变得日益重要，多个国际倡议正在推进。作为这一努力的组成部分之一，AI SBOM 有助于加强 AI 供应链安全。

2. 集群与集群要素

本节列出一组 AI SBOM 的高层次最低要素，并以集群形式呈现，这些要素扩展了传统 SBOM 所使用的信息。最初提出的集群构成了讨论最低要素集合轮廓的基础（见 G7 共同愿景）。

G7 网络安全工作组一直在认真评估这一初步集群建议。最终形成的指南代表了伙伴之间历时一年的协作成果。通过线上和混合会议中的共识决策，各方共同创建了一份最低要素清单。最终，一些集群经过调整，一些被增加，一些被删除。

图 1 概述了下列小节所描述的七个集群。除名称外，每个集群要素均给出说明和示例。列出的示例应被视为说明性而非穷尽性。示例旨在帮助读者理解在并非自明的要素中可以包含哪些类型的信息。元数据集群首先列示，因为它包含关于 AI SBOM 本身的信息。其余集群不按特定顺序排列。

图 1：本节介绍的七个集群概览。除包含 AI SBOM 本身信息的元数据集群外，所有集群同等重要。

2.1 元数据集群要素

该集群用于表示与 AI SBOM 本身相关的信息，而不是与单个组件或子要素相关的信息。与 AI SBOM 单个组件或子要素相关的信息，将在专门集群中另行详细说明。

元数据集群包含以下要素：

• SBOM 作者
• SBOM 版本
• SBOM 数据格式名称
• SBOM 数据格式版本
• SBOM 作者签名
• SBOM 工具名称
• SBOM 工具版本
• SBOM 生成上下文
• SBOM 时间戳
• SBOM 依赖关系

SBOM 作者

说明：为目标组件创建 SBOM 数据的实体名称。SBOM 作者要素包含一个字符串，用于识别为目标组件生成 SBOM 的实体。该要素捕捉的是操作工具生成 SBOM 的实体，而非工具本身。该要素的输入应使用完整名称，不应使用缩写，除非该工具的官方名称包含缩写。SBOM 作者要素不同于生产者要素，后者用于识别创建目标组件的实体。如果同一实体创建了目标组件并生成了 SBOM，则 SBOM 作者和生产者要素的内容可以相同。如果由未创建目标组件的实体为目标组件生成 SBOM，则二者要素内容将不同。

SBOM 版本

说明：由 SBOM 作者指定的标识符，用于说明 SBOM 文件相较此前已识别版本发生的变更，或表明其为第一个版本。SBOM 版本要素表明其与 SBOM 早期迭代之间的关系，并表示 SBOM 作者对上一迭代作出了变更。SBOM 版本跟踪某一组件名称/组件版本组合对应的 SBOM 组件数据。SBOM 版本要素可以使用语义化版本；² 如果使用语义化版本，则依照这些最低要素发布的 SBOM 的主版本号应为 1。如果使用序列号等标识符区分 SBOM 的不同版本，该标识符的使用应符合相关标准，例如用于序列号的 RFC 9562。³ SBOM 作者应酌情使用次版本号和补丁版本号表示 SBOM 要素内容的变更。SBOM 作者在编辑关于目标组件的数据时，应更新给定组件名称-版本组合对应的 SBOM 版本。

SBOM 数据格式名称

说明：用于表示 SBOM 数据的数据格式名称。SBOM 数据格式名称要素识别 SBOM 所采用的数据格式，即机器可处理的数据格式。

SBOM 数据格式版本

说明：由 SBOM 数据格式指定的标识符，用于说明数据格式版本。SBOM 数据格式版本要素识别 SBOM 数据格式名称中所示数据格式的版本。由维护该数据格式的组织宣布已弃用的版本不应使用。

SBOM 作者签名

说明：可归属于 SBOM 作者的数字签名。SBOM 作者签名要素提供保证，证明所称签署方签署了该信息，且该信息在签名生成后未被修改。⁴ 数字签名应使用根据相关主管机关的法规或建议被批准为安全使用的签名算法，例如美国国家标准与技术研究院（NIST）数字签名标准（DSS）、国际标准化组织（ISO）/国际电工委员会（IEC）14888-4:2024，或欧盟网络安全局（ENISA）商定加密机制。

SBOM 工具名称

说明：SBOM 作者用于生成或修订 SBOM 的工具名称。SBOM 工具名称要素包含一个字符串，用于识别 SBOM 作者生成 SBOM 所使用的软件工具。该要素的输入应使用完整名称，不应使用缩写，除非该工具的官方名称包含缩写。

SBOM 工具版本

说明：SBOM 工具名称要素所识别工具的版本标识符。SBOM 工具版本要素捕捉工具版本，并使组织能够识别特定代码交付。如果没有可用版本标识符，SBOM 作者应说明该信息未知。

SBOM 生成上下文

说明：SBOM 作者生成 SBOM 时相对的软件生命周期阶段以及当时可用的数据。SBOM 生成上下文要素传达关于 SBOM 中所记录组件数据的信息。组件数据可能因 SBOM 生成所处软件生命周期阶段不同而有所不同。“构建前”“构建”“构建后”等一般软件生命周期表述，以及更具体的标识符，均可满足该要素。⁵ 例如，从源代码生成的 SBOM 可被识别为“构建前”，二进制分析工具则可以生成“构建后”的 SBOM。

SBOM 时间戳

说明：SBOM 数据最近一次更新日期和时间的记录。SBOM 时间戳要素识别 SBOM 作者最后一次以手动方式或使用软件工具更改 SBOM 数据的时间。SBOM 的每个版本均将反映新的时间戳。该要素内容应遵循 RFC 9557。⁶

SBOM 依赖关系

说明：两个软件组件之间的关系，具体说明软件 X 包含组件 Y，或组件 A 在很大程度上源自组件 B。SBOM 依赖关系要素反映给定软件组件如何被纳入目标软件。包含关系（“includes”或“included in”）支持构建依赖图的能力。除包含关系外，依赖关系还应反映给定组件可能在很大程度上源自另一软件，或是另一软件的后代。这使 SBOM 能够明确记录回移植或分叉软件。

2.2 系统层面属性（SLP）集群要素

SLP 集群包含与 AI 系统整体信息有关的要素，例如捕捉系统层面信息和 AI 系统内部运行机制，这些信息与由多个 AI 要素组成的 AI 系统相关，例如分类器、大语言模型（LLM）或 AI 代理。该集群还包括 AI 系统使用的所有软件依赖项和框架，以及关于 AI 系统组件如何交互并处理用户数据的信息。支持系统或用于部署系统的要素，纳入下文基础设施集群。

SLP 集群包含以下要素：

• 系统名称
• 系统组件
• 系统生产者
• 系统版本
• 系统时间戳
• 系统数据流
• 系统数据使用
• 系统输入/输出属性
• 预期应用领域

系统名称

说明：由系统生产者分配给 AI 系统的名称。系统名称要素以人类可读方式识别 AI 系统。系统生产者确定 AI 系统名称。实施系统名称要素的数据格式应允许多个条目，以捕捉替代名称；应使用完整名称而非缩写，除非系统官方名称包含缩写。

系统组件

说明：该要素捕捉 AI 系统中包含的组件。

示例：系统中包含的 AI 模型；数据库；其他软件工具和组件。

系统生产者

说明：用于表示创建、定义并识别 AI 系统的实体名称的标识符。

系统版本

说明：由系统生产者使用的标识符，用于说明软件组件相较此前已识别版本发生的变更，或表明其为第一个版本。系统版本要素捕捉目标组件版本，并使组织能够识别特定代码交付。如果系统生产者未提供版本，则 SBOM 作者应说明该信息未知。

系统时间戳

说明：AI 系统最近一次更新日期和时间的记录。更新可以包括模型更新，或构成系统的其他组件的软件更新。

系统数据流

说明：该要素通过链接、引用或描述，说明 AI 系统不同组件之间的数据流。

示例：输入/输出端点；从来源到目的地的数据/信息流描述；AI 系统使用的外部服务应用程序编程接口（API）；多代理通信协议；面向外部服务的双向数据流，例如网页 grounding。

系统数据使用

说明：该要素说明 AI 系统中的数据如何被处理和消耗。

示例：指向技术文档的链接/URL。此类文档可以包含关于数据是否用于提升模型性能的信息、关于用于调用系统的 API 的数据日志记录信息，以及是否从用户输入数据中派生元数据的信息。

系统输入/输出属性

说明：用于描述 AI 系统所处理输入和输出数据属性的要素。

示例：所处理输入和输出数据的类型，清楚说明输入和输出数据类型及特征之间的差异；模态，例如文本、音频、图像、视频；输入预处理，例如 LLM 场景中使用的分词器类型；指向说明对系统决策影响的 URL/文档的链接。

预期应用领域

说明：该要素说明 AI 系统部署所在的应用类型。

示例：实时或近实时应用；网络安全、医疗/健康、金融等。

2.3 模型集群要素

模型集群包括用于识别 AI 系统所使用模型的基本信息，说明每个模型的权重如何产生，并概述其属性和局限。

模型集群包含以下要素：

• 模型名称
• 模型标识符
• 模型版本
• 模型时间戳
• 模型生产者
• 模型描述
• 模型哈希值
• 模型哈希算法
• 模型属性
• 模型输入-输出属性
• 模型训练属性
• 模型许可证
• 模型外部引用

模型名称

说明：由模型生产者分配给软件组件的名称。模型名称要素以人类可读方式识别软件组件。模型生产者确定组件名称。该要素不同于模型标识符要素。实施模型名称要素的数据格式应允许多个条目，以捕捉替代名称。该要素的输入应使用完整名称，不应使用缩写，除非组件官方名称包含缩写。

模型标识符

说明：用于识别组件或作为相关数据库查找键的一个或多个标识符。模型标识符要素包含至少一个与目标组件相关的软件标识符。⁷ 机器可处理、唯一的软件标识符支持自动化分析。该要素应使用通用软件标识符，例如通用平台枚举（CPE）⁸ 和 Package-URL（PURL）。⁹ 该要素还可以包括通用唯一标识符（UUID）、组织特定标识符、提交哈希，以及 OmniBOR¹⁰ 和 SWHID¹¹ 等内在标识符。如果存在多个软件标识符，无论其属于相同标识符格式还是不同格式，SBOM 作者均应全部纳入。

模型版本

说明：由 AI 模型生产者使用的标识符，用于说明软件组件相较此前已识别版本发生的变更，或表明其为第一个版本。AI 模型版本要素捕捉目标组件版本，并使组织能够识别特定代码交付。如果 AI 模型生产者未提供版本，则 SBOM 作者应说明该信息未知。

模型时间戳

说明：AI 模型最近一次更新日期和时间的记录。

示例：该要素也可用于 AI 模型的官方生产发布日。

模型生产者

说明：用于表示创建、定义并识别 AI 模型的实体名称的标识符。模型生产者要素包含一个人类可读字符串，用于识别生产该模型的实体。模型生产者指模型的发起者或制造者。组织可以使用模型生产者要素进一步了解模型生产者。它还可以帮助识别软件安全关切事项的联系人。模型生产者要素应允许多个条目。

示例：生产者可以定义为参与模型预训练、后训练或微调的公司。

模型描述

说明：用于描述模型能力、已知局限和谱系的要素。

示例：模型被设计或开发用于的预期应用领域，以及已知弱点和局限；谱系包含模型创建信息，例如关于在其基础上进行微调的前身模型的信息，即用于蒸馏或微调的模型，或已知衍生模型；模型依赖项，例如内部或第三方包、库、模块或开发框架。

模型哈希值

说明：对可执行组件工件应用加密哈希算法后生成的输出。模型哈希值要素包含一个美国信息交换标准代码（ASCII）格式的值，该值是将可执行组件工件作为输入提供给加密哈希算法后的结果。如果 SBOM 作者无法访问可执行组件工件，则 SBOM 作者应说明该值未知。

示例：权重、模型文件或其他模型相关工件的哈希。

模型哈希算法

说明：用于计算软件组件模型哈希值的加密算法。模型哈希算法要素记录生成模型哈希值的算法，以便验证目标组件的完整性。SBOM 作者应使用互联网号码分配机构（IANA）哈希函数文本名称识别该算法。¹² 该算法应由相关主管机关批准，例如美国国家标准与技术研究院（NIST）。¹³

模型属性

说明：用于描述所考虑具体模型特征的要素，例如参数化模型场景中的模型架构。该要素可以包含若干不同子要素，提供更具体、更详细的模型信息，例如示例栏列出的信息。

示例：参数化模型，例如神经网络；非参数化模型，例如聚类或 KNN；参数数量/模型规模；模型架构，例如编码器-解码器、仅编码器、仅解码器，以及底层网络类型，例如 Transformer、卷积神经网络、决策树、循环神经网络或长短期记忆网络；常见架构，例如 ResNet、Visual Geometry Group 或生成式预训练 Transformer；模型超参数信息。

模型输入-输出属性

说明：用于描述 AI 模型输入和输出属性的要素。

示例：所处理输入和输出数据的类型，清楚说明输入和输出数据类型及特征之间的差异；上下文长度；模态，例如文本、音频、图像、视频；输入预处理，例如 LLM、视觉语言模型或多模态模型场景中使用的分词器类型。

模型训练属性

说明：该要素说明 AI 系统模型所使用的不同训练技术。这包括所有类型的训练，包括通常所称的预训练和后训练/微调/持续学习。

示例：指向文档的链接/URL，例如在存在此类信息时指向模型卡，说明学习类型，例如无监督学习、监督学习、自监督学习，以及后训练特征，例如持续学习、微调阶段、基于人类反馈的强化学习、指令微调，以及强化学习优化类型，例如直接偏好优化、近端策略优化和组相对策略优化。

模型许可证

说明：该要素说明 AI 模型的许可证类型。

示例：指向模型许可文件的链接/URL。该文件可以包含开源许可引用，例如欧盟公共许可证、通用公共许可证和 Apache，或指向 SPDX/CDX 文件中的相应字段；说明 AI 模型是否开放权重、开放架构、开放数据或开放训练。

模型外部引用

说明：指向与模型相关外部引用的链接/URL。

示例：指向编辑者提供的与模型相关的任何既有框架或系统卡的链接/URL；模型卡本身的 JSON schema，例如由既有工具提供的 schema；公开文档；研究论文。

2.4 数据集属性（DP）集群要素

DP 集群提供关于模型整个生命周期中所使用数据集的信息，包括记录数据身份和来源的基本信息。

DP 集群包含以下要素：

• 数据集名称
• 数据集描述
• 数据集内容
• 数据集标识符
• 数据集哈希
• 数据集来源
• 数据集统计属性
• 数据集敏感性
• 数据集依赖关系
• 数据集许可证

数据集名称

说明：由数据集创建者分配给数据集的名称。

示例：用于公开识别数据集的字符串；等同于组件名称。

数据集描述

说明：用于描述数据集的要素，例如其相对于 AI 模型训练的主要预期用途，如微调、基准测试、上下文扩展。

示例：用于预训练、微调或模型/系统评估的数据集；可以包括数据集是私有还是公开。

数据集内容

说明：用于描述数据集内容的要素。

示例：数据集内容描述，例如金融数据、医疗记录数据等；数据集格式，例如数据结构、JSON 或 XML 等编码；数据格式，例如图像、音频、视频、3D。

数据集标识符

说明：允许单一明确识别数据集的信息。

示例：数据集 URL、URI 等。

数据集哈希

说明：对数据集取哈希后生成的加密值。

示例：数据集文件上的哈希。

数据集来源

说明：用于跟踪数据集来源的要素。

示例：用于捕捉以下信息的要素：来源，即向数据集要素作出贡献的来源或组织；数据收集方法，例如网页爬取或商业协议；数据后处理步骤；数据预处理/整理步骤；数据标注步骤；创建者；在合成数据场景中，用于创建合成数据的方法。

数据集统计属性

说明：用于捕捉数据集整个生命周期中相关统计特征的要素。

示例：在相关时，数据集的统计指标，例如均值、方差、中位数、众数、范围、偏度。

数据集敏感性

说明：用于表达数据集中存在的数据类型的要素，其中类型与数据敏感程度相关。

示例：该要素涵盖数据集是否包含个人身份信息（PII）数据、可自由访问数据、受版权保护数据、敏感数据（如金融或医疗记录），或与国家安全相关的数据。

数据集依赖关系

说明：用于在数据集生命周期中创建、修改和维护数据集的软件清单。依赖关系应反映给定数据集可能在很大程度上源自另一数据集。

示例：数据集管理工具、标注工具、过滤工具。

数据集许可证

说明：该要素说明数据集的许可证类型。

示例：指向数据集许可文件的链接/URL。

2.5 基础设施集群要素

基础设施集群包含对 AI 系统正常运行和支持至关重要的物理和虚拟基础设施。如已存在，该集群还包括指向硬件物料清单（HBOM）的链接，以覆盖专用 AI 硬件。

基础设施集群包含以下要素：

• 基础设施软件
• 基础设施硬件

基础设施软件

说明：该要素列出交付和运行 AI 系统所专门需要的软件组件依赖项。

示例：固件依赖项清单；包管理器；第三方库；框架；运行时环境；AI 系统使用的工具。

基础设施硬件

说明：该要素以依赖项形式链接至既有 HBOM，HBOM 包含部署 AI 系统所依赖的硬件组件。

示例：指向既有 HBOM 的链接。

2.6 安全属性（SP）集群要素

SP 集群聚焦于适用于 AI 模型和系统的网络安全措施。

SP 集群包含以下要素：

• 安全控制
• 安全合规
• 网络安全政策信息
• 漏洞引用

安全控制

说明：该要素描述已实施的 AI 特定和一般网络安全控制。该要素也可以包括指向作为实施参考的特定框架或指南的链接。

示例：已实施的技术控制，例如一般网络安全控制：加密；数据最小化；差分隐私技术；访问控制；API 认证；输入/输出异常检测系统和过滤器；物理控制；技术控制；系统层面控制，例如基于角色的访问；管理措施；指向具体适用安全指南的链接/引用。AI 特定控制：对抗鲁棒性训练；面向 LLM 或基于 LLM 的代理的提示注入控制和工具；输入/输出过滤器；用于整理训练数据的数据层面控制。

安全合规

说明：该要素描述生产者已获得的、与 AI 模型/系统相关的网络安全标准和认证。

示例：该要素可以包括 AI 模型/系统所符合的网络安全认证方案、标准或框架。

网络安全政策信息

说明：该要素提供指向 AI 模型/系统生产者已发布的 security.txt 文件相关文档的链接/URL。

漏洞引用

说明：该要素链接至提供 AI 模型/系统中已知漏洞可利用性信息的数据库/存储库。这有助于用户决定是否在存在已知风险的特定场景中部署模型。

示例：该要素可以包含指向 AI 模型系统提供者安全存储库的静态链接/URL。

2.7 关键绩效指标（KPI）集群要素

KPI 集群包含与 AI 系统及其组件的 KPI 有关的要素，包括集成在系统中的 AI 模型，并聚焦其生命周期阶段。

KPI 集群包含以下要素：

• 安全指标
• 运行绩效 KPI

安全指标

说明：用于评估集成在 AI 系统中的 AI 模型或系统本身安全特征的指标。

示例：与安全相关的基准和指标，例如鲁棒性，即抵御第三方操纵的韧性。

运行绩效 KPI

说明：与 AI 系统运行状态或其他威胁指标相关的 KPI。

示例：系统正常运行时间、事件解决时间、系统延迟、请求吞吐量和负载均衡。

3. 讨论

除上述集群外，G7 网络安全工作组还考虑了未来可能对 AI SBOM 有用的其他要素。其中一个例子是 AI 系统的决策或自主程度；由于技术快速变化，尤其是代理型 AI 相关发展，这一要素未来可能变得更加相关。将此类要素纳入 AI SBOM，可以帮助评估潜在有害攻陷所造成的影响。然而，尽管工作组认识到 AI 系统决策或自主程度对网络安全的重要性和相关性，但决定不将其明确列为单独要素。该要素在不同司法辖区可能通过不同方式处理，包括通过安全要求处理。

除处理单个要素外，作者强调，仅靠 AI SBOM 本身不足以提升供应链上的网络安全。为确保 AI 供应链得到实质性保护，有必要将 AI SBOM 连接至网络安全工具，例如漏洞扫描和管理工具、安全公告和通报，并推动适应性和演进性工具机制的发展。

4. 结论

这份由 G7 集团网络安全机构共同起草的指南，是提升 AI 模型和系统供应链透明度与安全性的第一步。尽管已有多项工作致力于这一目标，本文旨在覆盖一组最低标准，并不声称详尽无遗。相反，本文呈现了关于哪些要素能够促进透明度并提升 AI 供应链网络安全的共同理解。最终，如果与适当网络安全工具共同部署，AI SBOM 将有助于加强 AI 供应链安全。本项工作也力图为 AI 供应链上的利益相关方带来附加价值。

尾注

〔1〕 “A shared G7 vision on Software Bill of Materials for AI. Transparency and Cybersecurity along the AI Supply Chain”，下称“G7 共同愿景”。

〔2〕 Preston-Werner, T. and The SemVer Team. Semantic Versioning Specification Version 2.0.0. June 18, 2013.

〔3〕 Davis, K., Peabody, B., and P. Leach. Universally Unique IDentifiers (UUIDs), RFC 9562. DOI 10.17487/RFC9562. May 2024.

〔4〕 National Institute of Standards and Technology, Computer Security Resource Center. Projects: Digital Signatures.

〔5〕 “构建”指编译、解释或其他使源代码可执行的过程。

〔6〕 Sharma, U. and C. Bormann. Date and Time on the Internet: Timestamps with Additional Information, RFC 9557. DOI 10.17487/RFC9557. April 2024.

〔7〕 Cybersecurity and Infrastructure Security Agency. Software Identification Ecosystem Option Analysis. October 26, 2023.

〔8〕 National Institute of Standards and Technology. National Vulnerability Database, Official Common Platform Enumeration (CPE) Dictionary. August 20, 2025.

〔9〕 Ecma International. ECMA-427: Package-URL (PURL) Specification, 1st Edition. December 2025.

〔10〕 OmniBOR Specification. Version 0.1.

〔11〕 SWHID Specification. Version 1.2; International Organization for Standardization. ISO/IEC 18670:2025, Information Technology-SoftWare Hash Identifier (SWHID) Specification V1.2, Edition 1. April 2025.

〔12〕 Internet Assigned Numbers Authority. Hash Function Textual Names. December 16, 2019.

〔13〕 National Institute of Science and Technology, Computer Security Resource Center. Projects: Hash Functions. September 9, 2024.

参考文献

• A shared G7 vision on Software Bill of Materials for AI. Transparency and Cybersecurity along the AI Supply Chain. https://www.acn.gov.it/portale/documents/d/guest/paper_sbom-for-ai_19may2025_-clean-2
• NCSC Guidelines for Secure AI System Development. https://www.ncsc.gov.uk/collection/guidelines-secure-ai-system-development
• SBOMs and the importance of inventory. https://www.ncsc.gov.uk/blog-post/sboms-and-the-importance-of-inventory