S0098中等

SBOM 缺失導致漏洞盲區

設計與開發

風險描述

缺乏完整的 AI 軟體物料清單(AI-BOM),導致無法追蹤模型依賴的所有元件版本及已知漏洞。一個 AI 系統可能依賴數十個模型、數百個 Python 套件、特定版本的 CUDA 和 cuDNN。當任一元件發布安全公告時,若沒有 AI-BOM 就無法快速判斷自身是否受影響。EU AI Act 第 17 條要求高風險 AI 系統維護技術文件。

框架對照

iso 23894R2
eu ai actArticle 17
tw principle問責
tw principle透明與可解釋
tw risk type技術設計缺陷(Technical Design Flaw)

控制措施

  • 軟體物料清單維護
  • 漏洞追蹤自動化

處理步驟

  1. 建立並維護完整的 AI-BOM(涵蓋模型、數據集、框架、依賴套件)
  2. 將 AI-BOM 整合到 CI/CD pipeline 自動更新
  3. 訂閱所有元件的安全公告並自動比對 AI-BOM
  4. 使用 SBOM 工具(如 CycloneDX)生成標準化格式