[Paper] AIBoMGen：生成用于安全、透明和合规模型训练的 AI Bill of Materials

Source: arXiv - 2601.05703v1

（请提供您希望翻译的具体文本内容，我将按照要求进行简体中文翻译并保留原有的格式。）

概述

本文介绍了 AIBoMGen，一个原型平台，能够为每一次模型训练运行自动生成加密签名的 AI 物料清单（AI Bill of Materials，简称 AIBOM）。通过记录数据集、模型超参数、代码版本以及精确的计算环境，AIBoMGen 为开发者提供了防篡改的记录，可用于证明符合新兴的 AI 法规（如欧盟 AI 法案）的合规性。

关键贡献

• AIBOM 规范 – 将广为人知的软件材料清单（SBOM）扩展至涵盖 AI 特定工件（训练数据、模型权重、预处理流水线、硬件细节）。
• 自动生成流水线 – AIBoMGen 接入训练工作流，自动生成签名的 AIBOM，无需人工干预。
• 根信任架构 – 训练平台充当中立的第三方观察者，使用加密哈希、数字签名和 in‑toto 证明来保证完整性。
• 篡改检测保证 – 证明任何训练后对模型文件、数据或环境元数据的修改都能被可靠检测。
• 几乎无开销 – 实证评估显示 < 2 % 运行时影响，使该方法在大规模训练流水线中实用。

方法论

1. Instrumentation Layer – 在训练编排器（例如 Kubernetes、Airflow）上附加一个轻量级代理。它记录：

   • 输入数据集（哈希值、来源 URL）
   • 代码仓库提交和依赖清单
   • 超参数、模型架构和训练脚本
   • 运行时环境（操作系统、驱动版本、GPU/CPU 规格）

2. Artifact Hashing & Collection – 对每个捕获的工件进行哈希（SHA‑256），并存入临时账本。

3. In‑toto Attestation – 将收集到的哈希包装成 in‑toto 声明，其中包含平台私钥的加密签名（“信任根”）。

4. AIBOM Assembly – 将声明与可读的 JSON/YAML 清单一起组成最终的 AIBOM。

5. Verification API – 下游消费者（模型注册表、审计员、CI 流水线）可以获取 AIBOM，并对签名和哈希与实际工件进行校验，确保训练后未被篡改。

整个流程会在每个训练作业启动时自动触发，数据科学家无需额外操作。

结果与发现

这些结果表明，AIBoMGen 可以在生产级机器学习流水线中部署，而不会牺牲速度，同时提供对工件篡改的强有力保障。

实际影响

• 监管合规 – 公司可以提供可审计的证据，证明其模型在经批准的数据和受控环境下进行训练，从而简化欧盟 AI 法案的报告。
• 供应链安全 – 正如 SBOM 有助于保障软件供应链安全，AIBOM 能揭示隐藏的依赖（例如第三方数据集），这些依赖可能是偏见或恶意数据投毒的来源。
• 模型市场信任 – 供应商可以为每个出售的模型附加签名的 AIBOM，让买家确信模型在交付后未被篡改。
• CI/CD 集成 – 验证 API 可以嵌入现有的 MLOps 流水线（GitHub Actions、GitLab CI、Jenkins），自动拒绝未通过 AIBOM 检查的构建。
• 事件响应 – 在发生泄露时，AIBOM 提供了用于创建受影响模型的精确取证快照，加快根本原因分析。

限制与未来工作

• 捕获工件的范围 – 当前原型侧重于静态工件；动态运行时行为（例如即时数据增强）未被完全捕获。
• 密钥管理 – 系统假设使用安全的、中心化管理的签名密钥；对于大型企业，需要采用分布式密钥轮换策略。
• 互操作性标准 – 虽然作者提出了 JSON 架构，但更广泛的行业采纳需要与新兴标准组织（如 SPDX、OpenChain）保持一致。
• 扩展到推理 – 未来工作可以生成 推理 AI 物料清单（AIBOM‑I），记录模型服务环境、请求时的预处理以及后处理步骤。

总体而言，AIBoMGen 提供了一条具体且低开销的路径，实现透明且安全的 AI 模型生命周期——随着 AI 从研究实验室走向受监管的生产环境，这是一块关键的基石。

作者

• Wiebe Vandendriessche
• Jordi Thijsman
• Laurens D’hooge
• Bruno Volckaert
• Merlijn Sebrechts

论文信息

• arXiv ID: 2601.05703v1
• 分类: cs.SE, cs.AI, cs.CR
• 出版日期: 2026年1月9日
• PDF: Download PDF