Une AI Bill of Materials (AI BOM) est un inventaire détaillé et structuré qui documente chaque composant d’un système d’IA, des données d’entraînement et des architectures de modèles aux bibliothèques logicielles, aux API et aux dépendances matérielles. Analogue à une Software Bill of Materials (SBOM) dans le logiciel traditionnel, une AI BOM apporte de la transparence sur la chaîne d’approvisionnement de l’IA.
Une AI BOM comprend généralement : les informations sur le modèle (architecture, version, fournisseur, méthodologie d’entraînement), les sources de données d’entraînement (jeux de données utilisés, provenance des données, conditions de licence), les dépendances logicielles (frameworks, bibliothèques et leurs versions, par exemple PyTorch, TensorFlow, Hugging Face), les API et services tiers (services d’IA externes intégrés au système), les exigences matérielles (spécifications GPU/TPU, infrastructure cloud), les jeux de données et bancs d’essai d’évaluation (comment les performances du modèle ont été validées), les limites et biais connus (faiblesses et cas limites documentés) et les informations relatives aux licences et à la propriété intellectuelle.
L’AI BOM remplit des fonctions de gouvernance essentielles : la gestion des vulnérabilités (suivre quels composants d’IA présentent des problèmes de sécurité connus), la documentation de conformité (démontrer la diligence requise pour les exigences réglementaires), l’évaluation des risques (comprendre toute la chaîne de dépendances des systèmes d’IA), la réponse aux incidents (identifier rapidement les systèmes affectés lorsqu’un composant est compromis) et la gestion des fournisseurs (maintenir une visibilité sur les dépendances d’IA tierces).
À mesure que la réglementation de l’IA mûrit, les AI BOM deviennent une bonne pratique recommandée par des cadres tels que le NIST AI RMF et attendue au titre de réglementations comme l’EU AI Act pour les systèmes d’IA à haut risque.