اگر شما یک مدیر امنیت (CISO) هستید و بودجههای ششرقمی برای AIBOM هزینه میکنید، احتمالاً به جای امنیت، هزینه یک نمایش ساده را میدهید. باید بدانید که اکثر ابزارهای فعلی فقط لیستهای متنی هستند و منطق واقعی هوش مصنوعی را کاملاً نادیده میگیرند.
با نزدیک شدن به بازرسیهای قانون هوش مصنوعی اتحادیه اروپا (EU AI Act) در سال ۲۰۲۶، شکاف بین «رعایت قوانین» و «امنیت واقعی» عمیقتر شده است. در واقع، بسیاری از این ابزارها فقط یک صورتحساب مواد هوش مصنوعی (AIBOM) — شبیه به لیست خرید خواربار که فقط میگوید چه چیزهایی خریدهاید اما نمیگوید با آنها چه غذایی پختهاید — ارائه میدهند. همانطور که در تحلیل قبلی ما دربارهی امنیت مدلهای بازمتن اشاره کردیم، شفافیت بدون قابلیت ردیابی، هیچ ارزشی ندارد.
به نقل از گزارش ۱۴ مه ۲۰۲۶ شرکت Cybrium، یک AIBOM واقعی باید ۹۰ درصد از سطحی را ردیابی کند که فروشندگان معمولاً نادیده میگیرند. این موارد شامل موارد زیر است:
- محیطهای اجرای خودمیزبان مانند vLLM، Ollama و Triton.
- نسخههای پرامپتهای سیستمی و تاریخچه تغییرات آنها.
- منابع تولید بازیابیافزا (RAG) — مثل دانشآموزی که قبل از جواب دادن، اول کتاب درسی را باز میکند و از آن نقل میآورد — و زمان بهروزرسانی آنها.
- فهرست ابزارها و مجوزهای فراخوانی توابع.
- نتایج تأییدشده برای دقت و استحکام مدل.

ابزار cyscan با استفاده از ۱۸۱۵ قانون در بیش از ۷۵ زبان، این قطعات پراکنده را به یک گراف اجزاء تبدیل میکند. طبق گزارش این شرکت، این روش به تیمهای امنیتی اجازه میدهد تا کل واحد تحلیل را — از کلاینت مدل زبانی بزرگ (LLM) — مثل کتابخانهداری که میلیاردها صفحه را خوانده و حالا با همان لحن جواب میدهد — تا پایگاه داده برداری و فرآیند ورود دادهها، مشاهده کنند.
این تغییر به این معناست که «AIBOMهای مستقل» دیگر محصولی کاربردی نیستند. برای شما به عنوان کاربر، این یعنی عبور از خروجیهای PDF و حرکت به سمت ایندکسهای قابل پرسوجو. اگر فروشنده شما فقط یک فایل JSON میدهد، شما یک نقطه کور امنیتی دارید. این نقاط کور دقیقاً همان جایی هستند که مهاجمان به دنبال آنها میگردند؛ موضوعی که در بررسی ما دربارهی علت بیمیلی جنایتکاران سایبری از برخی خروجیهای بیکیفیت هوش مصنوعی نیز به نوعی به آن پرداخته شد.
گام بعدی شما
- از فروشنده AIBOM خود بخواهید گردش کاری را نمایش دهد که یک خروجی استنتاج را به نسخه پرامپت و نتیجه ارزیابی آن متصل کند.
- بررسی کنید آیا ابزار شما تغییرات در پرامپتهای سیستمی را به صورت لحظهای ردیابی میکند یا خیر.
- استراتژی خود را از «لیستهای ایستا» به «گرافهای زنده» تغییر دهید.
اما داستان سختافزاری این تحول حتی شگفتانگیزتر است — به تحلیل ما دربارهی تراشههای Blackwell مراجعه کنید.




گفتگو