SBOM 缺失導致漏洞盲區
設計與開發
風險描述
缺乏完整的 AI 軟體物料清單(AI-BOM),導致無法追蹤模型依賴的所有元件版本及已知漏洞。一個 AI 系統可能依賴數十個模型、數百個 Python 套件、特定版本的 CUDA 和 cuDNN。當任一元件發布安全公告時,若沒有 AI-BOM 就無法快速判斷自身是否受影響。EU AI Act 第 17 條要求高風險 AI 系統維護技術文件。
框架對照
iso 23894R2
eu ai actArticle 17
tw principle問責
tw principle透明與可解釋
tw risk type技術設計缺陷(Technical Design Flaw)
控制措施
- 軟體物料清單維護
- 漏洞追蹤自動化
處理步驟
- 建立並維護完整的 AI-BOM(涵蓋模型、數據集、框架、依賴套件)
- 將 AI-BOM 整合到 CI/CD pipeline 自動更新
- 訂閱所有元件的安全公告並自動比對 AI-BOM
- 使用 SBOM 工具(如 CycloneDX)生成標準化格式