AI Bill of Materials (AI-BOM)

Wat is een AI Bill of Materials

Een AI Bill of Materials (AI-BOM) is een formeel overzicht van alle bouwstenen die samen een AI-systeem vormen. Dit omvat foundation modellen, embedding-modellen, vector databases, frameworks, datasets, third-party libraries en hun versienummers. De AI-BOM is geïnspireerd door de Software Bill of Materials uit cybersecurity.

Wat staat erin

Een goede AI-BOM bevat: gebruikte modellen (zoals GPT-4o, Claude 3.5, Llama 3 of Mistral Large), trainings- en evaluatiedata met herkomst, software-componenten zoals LangChain en LlamaIndex, vector stores zoals Pinecone of Weaviate, hosting-platform (Azure OpenAI, AWS Bedrock of private), en alle versies en updates.

Waarom belangrijk

De EU AI Act en NIS2 verplichten organisaties om bij incidenten of audits snel inzicht te kunnen geven in de samenstelling van hun AI-systemen. Een AI-BOM versnelt incident response, ondersteunt vulnerability management en biedt transparantie naar toezichthouders en klanten.

Compliance en risicobeheer

Wanneer een nieuw security-issue ontdekt wordt in een populaire library, helpt een centrale AI-BOM direct te bepalen welke systemen geraakt zijn. Hetzelfde geldt voor model-updates of veranderde gebruiksvoorwaarden van leveranciers van foundation modellen.

Implementatie

AI-BOMs worden meestal gegenereerd vanuit MLOps-pipelines en gekoppeld aan data lineage. Standaarden zoals SPDX en CycloneDX worden uitgebreid voor AI-context. Integratie met security-tooling, modelregister en CMDB zorgt dat de BOM altijd actueel blijft.

Voorbeelden

Artificial Intelligence Consultant helpt klanten bij het opzetten van geautomatiseerde AI-BOM workflows. Bij een Nederlandse zorgverzekeraar werd zo elke productie-AI traceerbaar tot op modelversie en datasetherkomst, wat audit-kosten significant verlaagde en NIS2-readiness aantoonbaar maakte conform ISO 27001-controles.