Una AI Bill of Materials (AI BOM) es un inventario detallado y estructurado que documenta cada componente de un sistema de IA, desde los datos de entrenamiento y las arquitecturas de modelos hasta las bibliotecas de software, las API y las dependencias de hardware. Análoga a una Software Bill of Materials (SBOM) en el software tradicional, una AI BOM aporta transparencia a la cadena de suministro de la IA.
Una AI BOM suele incluir: la información del modelo (arquitectura, versión, proveedor, metodología de entrenamiento), las fuentes de datos de entrenamiento (conjuntos de datos utilizados, procedencia de los datos, condiciones de licencia), las dependencias de software (frameworks, bibliotecas y sus versiones, por ejemplo, PyTorch, TensorFlow, Hugging Face), las API y servicios de terceros (servicios de IA externos integrados en el sistema), los requisitos de hardware (especificaciones de GPU/TPU, infraestructura en la nube), los conjuntos de datos y bancos de pruebas de evaluación (cómo se validó el rendimiento del modelo), las limitaciones y los sesgos conocidos (debilidades y casos límite documentados) y la información sobre licencias y propiedad intelectual.
La AI BOM cumple funciones de gobernanza esenciales: la gestión de vulnerabilidades (seguir qué componentes de IA presentan problemas de seguridad conocidos), la documentación de cumplimiento (demostrar la diligencia debida para los requisitos regulatorios), la evaluación de riesgos (comprender toda la cadena de dependencias de los sistemas de IA), la respuesta a incidentes (identificar rápidamente los sistemas afectados cuando un componente se ve comprometido) y la gestión de proveedores (mantener la visibilidad sobre las dependencias de IA de terceros).
A medida que la regulación de la IA madura, las AI BOM se están convirtiendo en una buena práctica recomendada por marcos como el NIST AI RMF y esperada en virtud de regulaciones como el EU AI Act para los sistemas de IA de alto riesgo.