AIBOM-Generator wechselt zu OWASP: Neuer Standard für KI-Transparenz in der Software-Lieferkette

Das während der RSAC 2025 vorgestellte Open-Source-Tool zur Generierung von KI-Software-Stücklisten findet ein neues Zuhause bei OWASP. Der AIBOM-Generator (AI Software Bill of Materials) ermöglicht erstmals die automatisierte Extraktion von Metadaten aus KI-Modellen und schließt damit eine zentrale Lücke in der Transparenz künstlicher Intelligenz-Systeme.

Vom Pilotprojekt zur Community-Initiative

Bei der Präsentation auf der RSAC 2025 Anfang des Jahres markierte der AIBOM-Generator einen Wendepunkt: Erstmals stand der Fachwelt ein quelloffenes Werkzeug zur Verfügung, das automatisch Software-Stücklisten für KI-Modelle auf Hugging Face erzeugen kann. Die Resonanz aus den Bereichen IT-Sicherheit, künstliche Intelligenz und Software-Entwicklung zeigte deutlich den Bedarf an praktikablen Lösungen für mehr Nachvollziehbarkeit bei KI-Systemen.

Inzwischen hat das Werkzeug erhebliche Fortschritte gemacht. Es ist mittlerweile im CycloneDX Tool Center verzeichnet und gilt als Referenzimplementierung für Transparenz in der KI-Lieferkette. Das Tool demonstriert konkret, welche Metadaten relevant sind und wie sich diese extrahieren, strukturieren und im großen Umfang auswerten lassen.

Praktische Anwendung statt theoretischer Konzepte

Die Entwickler verfolgten von Beginn an ein klares Ziel: Der Fachgemeinschaft sollte ein Instrument zur Verfügung stehen, mit dem sich zentrale Metadaten von KI-Modellen automatisch erfassen und eine standardkonforme AIBOM im CycloneDX-Format generieren lässt. Das Werkzeug verschafft Entwicklungsteams Klarheit über mehrere zentrale Aspekte:

• Welche Komponenten ein Modell beinhaltet
• Die Herkunft des Modells
• Welche Datensätze, Konfigurationen und Parameter das Modell geformt haben
• Der Grad der Vollständigkeit und Verlässlichkeit der vorhandenen Dokumentation

Die Entwicklung erfolgte zeitgleich mit frühen Branchendiskussionen über AIBOMs, einschließlich der Anwendungsfälle des AI SBOM Tiger Teams der CISA SBOM-Arbeitsgruppen. Während diese Initiativen die theoretischen Anforderungen an KI-Lieferkettentransparenz formulierten, übersetzte der AIBOM-Generator diese Konzepte in ein funktionsfähiges Werkzeug.

Noch vor der Etablierung verbindlicher Standards bot das Tool einen handfesten Ausgangspunkt – eine Basis zum Testen von Hypothesen, zur Erprobung von Umsetzungsstrategien und zum Einholen von Rückmeldungen aus der Praxis. Diese Rückmeldungen ergaben ein eindeutiges Bild: Die Fachgemeinschaft wünschte sich eine Plattform, auf der diese Entwicklung offen und gemeinschaftlich vorangetrieben werden kann.

Übergang zur OWASP-Foundation

Mit zunehmender Reife des AIBOM-Generators kristallisierte sich heraus, dass die weitere Entwicklung von der gesamten KI- und Sicherheits-Community getragen werden sollte. Die OWASP-Foundation erwies sich aufgrund ihrer weltweiten Präsenz, ihrer offenen Governance-Strukturen und ihrer etablierten Position bei der Verwaltung von Sicherheitsstandards als ideale Institution für die nächste Entwicklungsphase.

Der AIBOM-Generator wurde offiziell dem OWASP GenAI Security Project übereignet und firmiert nun unter der Bezeichnung OWASP AIBOM Generator. Die Integration erfolgt in Abstimmung mit Initiativen wie der OWASP Top 10 für LLMs und der OWASP Agentic Application Security.

Dieser Schritt ermöglicht mehrere strategische Vorteile:

• Offene Governance durch die Community
• Nachvollziehbare Weiterentwicklung der AIBOM-Feldzuordnungen und Validierungsmechanismen
• Standardkonforme Entwicklung im Zusammenspiel mit CycloneDX und SPDX
• Eine zentrale Plattform für die Zusammenarbeit zwischen Forschenden, Entwicklern und Sicherheitsverantwortlichen

Die grundlegende Zielsetzung bleibt bestehen – allerdings können Reichweite und Wirkung nun deutlich zunehmen.

Strategische Einbindung im OWASP GenAI Security Project

Als zentrale Initiative innerhalb des OWASP GenAI Security Project treibt der AIBOM Generator die praktische Umsetzung von Transparenz in der KI-Lieferkette voran. Das Projekt baut auf früheren Community-Arbeiten auf, darunter die CISA SBOM AI-Anwendungsfälle, und konzentriert sich auf die Verfeinerung KI-spezifischer Feldvalidierungen, die Optimierung von Vollständigkeitsprüfungen und die Verbesserung der automatisierten Datenextraktion für eine konsistente, skalierbare AIBOM-Erzeugung bei Modellen auf Hugging Face.

Parallel entsteht das OWASP AIBOM Generation Handbook. Dieses Handbuch dokumentiert das Werkzeug, Feldzuordnungen, die Harmonisierung von Standards sowie bewährte Verfahren für den Einsatz von AIBOMs in Governance-, Compliance- und Incident-Response-Prozessen. Gemeinsam führen diese Initiativen dazu, dass AIBOM von theoretischen Konzepten in eine wiederholbare, von der Community gepflegte Implementierung überführt wird – in Übereinstimmung mit den übergeordneten Zielen von OWASP GenAI.

Aktualität für die KI-Sicherheit

KI-Systeme entwickeln sich schneller als herkömmliche Mechanismen zur Transparenz und Absicherung Schritt halten können. AIBOMs schaffen Struktur in dieser dynamischen Landschaft.

Sie ermöglichen es Organisationen, die eingesetzten Modelle, die damit verbundenen Risiken sowie die technischen oder regulatorischen Anforderungen zu erfassen, denen sie genügen müssen. Ob für Sicherheits- und Nutzungsprüfungen, Risikobewertungen durch externe Dienstleister oder Nachforschungen nach Sicherheitsvorfällen – AIBOMs bieten einen standardisierten Ansatz zur Dokumentation von KI-Systemen über verschiedene Komponenten und Abhängigkeitsketten hinweg.

Durch die Integration des AIBOM-Generators bei OWASP ist der Weg zu einer einheitlichen, interoperablen Transparenz in der KI-Lieferkette nun deutlicher gezeichnet.

Aufruf zur Mitgestaltung

Der OWASP AIBOM-Generator ist ein laufendes Projekt mit einer Roadmap für kontinuierliche Verbesserungen und Integrationspunkte. Es handelt sich um ein Community-Werkzeug, das für fortlaufende Anpassungen konzipiert wurde, während sich KI weiterentwickelt und neue Anforderungen an die Lieferkette entstehen.

Beiträge sind willkommen aus den Bereichen:

• KI- und Machine-Learning-Engineering
• Software-Entwicklung
• IT-Sicherheit und Risikomanagement
• Standardisierung
• Regulierung und Compliance
• Wissenschaft und Forschung

Die Expertise aus der Fachgemeinschaft gestaltet die Zukunft von AIBOM mit.

Hier geht’s weiter

---

Bild/Quelle: https://depositphotos.com/de/home.html