Eine AI Bill of Materials (AI BOM) ist ein detailliertes, strukturiertes Inventar, das jede Komponente eines KI-Systems dokumentiert, von Trainingsdaten und Modellarchitekturen bis hin zu Softwarebibliotheken, APIs und Hardwareabhängigkeiten. Analog zu einer Software Bill of Materials (SBOM) in herkömmlicher Software schafft eine AI BOM Transparenz über die KI-Lieferkette.
Eine AI BOM umfasst in der Regel: Modellinformationen (Architektur, Version, Anbieter, Trainingsmethodik), Quellen der Trainingsdaten (verwendete Datensätze, Datenherkunft, Lizenzbedingungen), Softwareabhängigkeiten (Frameworks, Bibliotheken und deren Versionen, z. B. PyTorch, TensorFlow, Hugging Face), APIs und Dienste von Drittanbietern (in das System integrierte externe KI-Dienste), Hardwareanforderungen (GPU/TPU-Spezifikationen, Cloud-Infrastruktur), Evaluierungsdatensätze und Benchmarks (wie die Modellleistung validiert wurde), bekannte Grenzen und Verzerrungen (dokumentierte Schwächen und Grenzfälle) sowie Informationen zu Lizenzen und geistigem Eigentum.
Die AI BOM erfüllt kritische Governance-Funktionen: Schwachstellenmanagement (verfolgen, welche KI-Komponenten bekannte Sicherheitsprobleme aufweisen), Compliance-Dokumentation (die gebotene Sorgfalt für regulatorische Anforderungen nachweisen), Risikobewertung (die gesamte Abhängigkeitskette von KI-Systemen verstehen), Incident-Response (betroffene Systeme schnell identifizieren, wenn eine Komponente kompromittiert ist) und Lieferantenmanagement (Transparenz über KI-Abhängigkeiten von Drittanbietern bewahren).
Mit der Reifung der KI-Regulierung werden AI BOMs zu einer bewährten Praxis, die von Rahmenwerken wie dem NIST AI RMF empfohlen und unter Vorschriften wie dem EU AI Act für Hochrisiko-KI-Systeme erwartet wird.