ما الذي سيجعل AI BOMs حقيقة؟

تعمل هيئات المعايير والمشاريع مفتوحة المصدر والبائعون التجاريون على بناء زخم كبير لتحقيق وعد AI BOM.

ما الذي سيجعل AI BOMs حقيقة؟

تعمل هيئات المعايير، والمشاريع مفتوحة المصدر، والبائعون التجاريون على بناء زخم كبير لتحقيق وعد AI BOM.

المبادرات والمعايير

أصدرت OWASP، مع معيار CycloneDX SBOM، ومؤسسة Linux، مع معيار SPDX، امتدادات خاصة بالذكاء الاصطناعي. تعقد مبادرة OWASP AI SBOM اجتماعات مفتوحة أسبوعية وقد طورت أداة OWASP AI BOM Generator، وهي أول أداة مفتوحة المصدر لتوليد AIBOMs تلقائيًا من نماذج Hugging Face بتنسيق CycloneDX. كما أضاف معيار SPDX ملفات تعريف مخصصة للذكاء الاصطناعي ومجموعات البيانات في الإصدار 3.0، مما يوفر خرائط حقل لتدريب النماذج وأصول البيانات. في الوقت نفسه، قامت مجموعة العمل AI/ML التابعة لـ OpenSSF بتحديد مواصفات توقيع النموذج في عام 2025، بمساهمات من Google وHiddenLayer وNVIDIA. بالإضافة إلى ذلك، نشرت مجموعة Tiger Team الخاصة بـ CISA إرشادات أساسية في عام 2025، على الرغم من أن تخفيضات الموظفين الكبيرة في الوكالة هذا العام قد أثارت الشكوك حول العديد من مبادراتها المستمرة.

التقدم التجاري

على الجانب التجاري، يقوم البائعون بإضافة قدرات AI BOM إلى منصاتهم. أصدرت Manifest Cyber منتج أمان سلسلة التوريد AI في صيف عام 2025، تم تطويره بالشراكة مع شركات تكنولوجيا المعلومات والدفاع والسيارات الكبرى، وقد كانت تعمل على مولد AIBOM لمدة تزيد عن 18 شهرًا. أطلقت Cycode إدارة المخزون AI & ML وتوليد AI BOM في أكتوبر 2025 كجزء من منصة إدارة موقف أمان التطبيقات. يقوم JFrog بتوسيع منصته لإدارة نماذج الذكاء الاصطناعي بنفس صرامة إدارة العناصر البرمجية، كاشفًا عن سجل MCP العالمي في مارس 2026. بينما تقوم Apiiro وآخرون ببناء تكاملات مماثلة. كما يتقدم العمل الأكاديمي أيضًا – حيث قدمت ورقة في يناير 2026 AIBoMGen، وهي منصة إثبات المفهوم لتوليد AIBOMs الموقعة تشفيرياً أثناء تدريب النموذج.

الضغط التنظيمي

يضيف الضغط التنظيمي أيضًا شعورًا بالعجلة. سيدخل قانون الذكاء الاصطناعي في الاتحاد الأوروبي حيز التنفيذ بالكامل في أغسطس 2026، مع متطلبات توثيق تتماشى مباشرة مع محتوى AI BOM. يجب على المنظمات التي تنشر أنظمة الذكاء الاصطناعي عالية المخاطر إكمال تقييمات التوافق، وإنهاء الوثائق الفنية، والتسجيل في قاعدة بيانات الاتحاد الأوروبي بحلول ذلك التاريخ. يتطلب القانون تحديد قدرات تسجيل تغطي الحالات التي قد يمثل فيها النظام خطرًا، وبيانات للمراقبة بعد السوق، ومراقبة تشغيلية من قبل الناشرين، وكلها تتماشى مع توثيق الأصول والتتبع الذي تم تصميم AI BOMs لالتقاطه.

تحركات الولايات المتحدة

تتحرك الجهات التنظيمية الأمريكية أيضًا. يتطلب النص الجديد في قانون تفويض الدفاع الوطني FY26 من البائعين الذين يبيعون البرمجيات إلى وزارة الدفاع الأمريكية حساب مكونات الذكاء الاصطناعي في SBOMs الخاصة بهم – مما يفرض فعليًا AI BOMs على مقاولي الدفاع. بالإضافة إلى ذلك، حددت لجنة الأوراق المالية والبورصات AI governance كأولوية فحص لعام 2026، ويطرح الفاحصون أسئلة دقيقة حول سياسات الذكاء الاصطناعي والحكم حتى بدون قواعد جديدة مخصصة.

تأثير التأمين السيبراني

علاوة على ذلك، يتبع مُؤمّنو المعلومات نفس الاستراتيجية التي استخدموها بعد أن أعادت الفدية تشكيل التأمين في عام 2021. بدأت الشركات في ربط التغطية بوثائق حوكمة الذكاء الاصطناعي، معاملة غياب جرد النموذج كإشارة خطر بدلاً من مجرد إغفال. توصي نشرة التهديد العالمية لشركة CyberCube في أبريل 2026 بأن يقيم المُؤمِّنون “حوكمة وكلاء الذكاء الاصطناعي، بما في ذلك الأذونات، والتحكم في نطاق API، والتسجيل، وفصل المهام.” هذه هي أنواع الضوابط التي يمكن أن تساعد AI BOMs المستعدة على توثيقها وإظهارها للمنظمات.

التحديات المستقبلية

لا يزال اعتماد AI BOM في الغالب طموحًا حيث تتسابق الصناعة لتعريف المعايير وبناء أدوات عملية قبل أن تضرب المواعيد النهائية التنظيمية. اقرأ هل سيكون عام 2026 هو العام الذي تصبح فيه فواتير المواد AI حقيقة؟ لمعرفة كيف يتعامل قادة الأمان مع التحديات الحالية للرؤية.

لا يزال اعتماد AI BOM في الغالب طموحًا حيث تتسابق الصناعة لتعريف المعايير وبناء أدوات عملية قبل أن تضرب المواعيد النهائية التنظيمية.