AIBOM (AI Bill of Materials)
En AIBOM (AI Bill of Materials) er et struktureret, maskinlæsbart inventar over alle de komponenter, der indgår i et AI-system. Det omfatter modeller, træningsdata, softwareafhængigheder, frameworks og den infrastruktur, systemet kører på. Tænk på det som en ingrediensliste for AI: en fuldstændig oversigt over, hvad der er brugt til at bygge, træne og drifte en given AI-løsning.
Konceptet er inspireret af Software Bill of Materials (SBOM), som i årevis har været standard inden for softwaresikkerhed. Men hvor en SBOM dokumenterer kodebiblioteker og licenser, dækker en AIBOM også datasæt, modelvægte, fine-tuning-historik og promptkonfigurationer. Det gør den langt mere kompleks og langt mere nødvendig i en tid, hvor AI-systemer træffer beslutninger med reel forretningspåvirkning.
Med EU AI Act og tilsvarende regulering globalt er AIBOM ved at gå fra et teknisk nice-to-have til et compliance-krav. Virksomheder, der anvender AI i produktion, har brug for fuld gennemsigtighed i deres AI-forsyningskæde.
Hvad indeholder en AIBOM?
En AIBOM dokumenterer typisk fem lag af et AI-system. Først selve modellen: hvilken arkitektur der er brugt, hvilken version, og om den er open-source eller proprietær. Dernæst træningsdata: hvilke datasæt modellen er trænet eller fine-tunet på, hvorfra de stammer, og hvilke licenser der gælder.
Det tredje lag er softwareafhængigheder. Her registreres de frameworks (f.eks. PyTorch, TensorFlow), biblioteker og runtime-miljøer, som AI-pipelinen afhænger af. Det fjerde lag er infrastruktur: GPU-typer, containeropsætning, cloud-udbyder og API-konfigurationer. Det femte lag handler om kontrol og konfiguration: guardrails, promptskabeloner, temperaturindstillinger og andre parametre, der styrer systemets adfærd.
Til forskel fra et statisk dokument er en AIBOM tænkt som et levende, maskinlæsbart artefakt. Den opdateres løbende, når modeller genoptrænes, datasæt ændres, eller afhængigheder opdateres. OWASP har udviklet en open source AIBOM Generator, der automatiserer dele af processen.
Det afgørende er, at en AIBOM skaber sporbarhed. Når en sårbarhed opdages i et datasæt eller en softwarekomponent, kan sikkerhedsteamet hurtigt identificere, hvilke AI-systemer der er berørt, og handle målrettet.
Consile hjælper virksomheder med at etablere AIBOM-praksis og AI governance-frameworks, der sikrer gennemsigtighed, compliance og kontrol over jeres AI-systemer. Kontakt os for en uforpligtende drøftelse af jeres behov.
AIBOM i erhvervslivet
For virksomheder, der anvender AI i produktion, løser en AIBOM flere konkrete udfordringer. Den vigtigste er compliance. EU AI Act kræver teknisk dokumentation, datasporing og gennemsigtighed for højrisiko AI-systemer. En veldokumenteret AIBOM gør det markant lettere at opfylde disse krav og stå klar til en audit.
Dernæst er der risikostyring. Ifølge Cycodes 2026-rapport har kun 19% af organisationer fuldt overblik over, hvor og hvordan AI anvendes internt. En AIBOM giver CIO'er og sikkerhedschefer det overblik, de mangler: en central oversigt over alle AI-aktiver, deres afhængigheder og de risici, de introducerer.
Tredjepartsrisiko er et andet vigtigt område. Når virksomheder integrerer AI-modeller fra eksterne leverandører, arver de samtidig leverandørens datakvalitet, licensvilkår og sikkerhedsrisici. En AIBOM gør det muligt at vurdere disse risici systematisk, på samme måde som en SBOM bruges i software-supply-chain-sikkerhed.
Endelig understøtter en AIBOM operationel effektivitet. Når et model drift-problem opstår, eller en afhængighed har en sikkerhedsbrist, kan teamet hurtigt navigere til den præcise komponent i stedet for at lede i blinde.
Hvad en AIBOM ikke er
En AIBOM er ikke en erstatning for AI governance. Den er et værktøj inden for governance, men den definerer ikke, hvem der har ansvar, eller hvilke politikker der gælder. En AIBOM dokumenterer hvad der er i et AI-system, men ikke om det bør være der. Governance-rammerne og de organisatoriske beslutninger kommer ovenpå.
En AIBOM er heller ikke det samme som et Model Card, selvom de to koncepter overlapper. Et Model Card beskriver en enkelt models kapabiliteter, begrænsninger og intenderede brug. En AIBOM dækker hele AI-systemet: model, data, software, infrastruktur og konfiguration. De komplementerer hinanden, men en AIBOM er bredere i sit scope.
Det er også vigtigt at forstå, at en AIBOM ikke i sig selv gør et AI-system sikkert eller compliant. Den skaber gennemsigtighed og sporbarhed, som er forudsætninger for sikkerhed og compliance, men ikke garantier. Værdien opstår, når organisationen handler på den indsigt, AIBOM'en giver.
Relaterede termer
AI Governance er den organisatoriske ramme for ansvarlig AI-brug. Forstå hvad det indebærer og hvorfor det er afgørende for din virksomhed.
EU AI Act er den første omfattende AI-lovgivning i verden. Forstå kravene, risikokategorierne og hvad det betyder for danske virksomheder.
AI Risk Management handler om at identificere, vurdere og håndtere risici ved AI-systemer. Lær frameworks, best practices og krav fra EU AI Act.
Shadow AI er uautoriseret brug af AI-værktøjer i virksomheden. Forstå risikoen og hvordan du håndterer det.
Model drift er den gradvise forringelse af en AI-models præcision over tid. Forstå årsager, typer og hvordan din virksomhed opdager og håndterer drift.
Guardrails er de tekniske og proceduremæssige kontroller, der holder AI-systemer inden for acceptable grænser. Lær hvordan guardrails beskytter din virksomhed.
Ofte stillede spørgsmål om AIBOM
Hvad er forskellen på en AIBOM og en SBOM?+
En SBOM (Software Bill of Materials) dokumenterer softwarekomponenter og licenser i en applikation. En AIBOM udvider dette koncept til AI-systemer og inkluderer også modeller, træningsdata, fine-tuning-historik, promptkonfigurationer og infrastruktur. De to formater supplerer hinanden, og mange organisationer bruger begge.
Er en AIBOM et lovkrav?+
EU AI Act kræver teknisk dokumentation og datasporbarhed for højrisiko AI-systemer, og en AIBOM er den mest strukturerede måde at opfylde disse krav på. Selvom loven ikke eksplicit nævner termen AIBOM, svarer kravene i praksis til det, en AIBOM leverer. Consile hjælper virksomheder med at implementere AIBOM-praksis som del af deres AI compliance-strategi.
Hvordan kommer vi i gang med AIBOM i vores organisation?+
Start med at kortlægge jeres eksisterende AI-systemer og deres komponenter. Brug et standardiseret format som OWASPs AIBOM Generator til at strukturere dokumentationen. Integrér AIBOM-opdatering i jeres CI/CD-pipeline, så den opdateres automatisk. Det vigtigste første skridt er at etablere overblikket.