Birçok ülkenin siber güvenlik ajansı, yapay zeka (YZ) sistemlerinde şeffaflığı artırmak ve tedarik zinciri risklerini azaltmak amacıyla yeni bir kaynak yayınladı. "Yapay Zeka İçin Yazılım Malzeme Listesi (SBOM) - Minimum Unsurlar" başlıklı belge, G7 Siber Güvenlik Çalışma Grubu tarafından hazırlandı ve 12 Mayıs'ta yayımlandı. Kılavuz, kamu ve özel sektör paydaşlarının yapay zeka sistemlerindeki ve tedarik zincirlerindeki şeffaflığı artırmasına yardımcı olmayı hedefliyor. Belge, çalışma grubunun Haziran 2025'te yayınladığı yapay zeka için SBOM'lar konusundaki ortak vizyonunu temel alıyor.
Kılavuzun temelini oluşturan yaklaşım, yapay zeka için SBOM'ların yedi "küme" halinde yapılandırılmasıdır. Bu kümeler, yapay zeka sistemlerinin üreticileri ve kullanıcıları tarafından kullanılabilecek potansiyel unsurları içeriyor. Yedi küme şunlardan oluşuyor: Üst Veri (Metadata), Sistem Düzeyi Özellikleri (SLP), Modeller, Veri Kümesi Özellikleri (DP), Temel Performans Göstergeleri (KPI), Altyapı ve Güvenlik Özellikleri (SP). Üst Veri kümesi, yapay zeka için SBOM'un kendisiyle ilgili bilgileri içerirken, diğer tüm kümeler eşit öneme sahip.
Belgede, bu kümelerin zorunlu olmadığı ve daha fazla iyileştirmeye açık olduğu vurgulanıyor. CISA'nın SBOM çalışmalarına liderlik eden Allan Friedman, kümelerin birçoğunu beğendiğini ancak bazılarının "ölçülmesi veya belirli, kurumlar arası bir şekilde tanımlanmasının zor" olduğunu belirtti. Ayrıca belge, yapay zeka için SBOM'un tek başına tedarik zinciri boyunca siber güvenliği artırmak için "yeterli olmadığını" ifade ediyor. Yazarlar, yapay zeka tedarik zincirinin önemli ölçüde korunması için SBOM'un güvenlik açığı tarama ve yönetim araçları, güvenlik uyarıları ve bültenleri gibi siber güvenlik araçlarına bağlanması gerektiğini savunuyor.
Kılavuz, Almanya Federal Bilgi Güvenliği Ofisi (BSI), İtalya Ulusal Siber Güvenlik Ajansı (ACN), Fransa Ulusal Siber Güvenlik Ajansı (ANSSI), Kanada İletişim Güvenliği Kurumu (CSE), ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), İngiltere Ulusal Siber Güvenlik Merkezi (NCSC) ve Japonya Ulusal Siber Güvenlik Ofisi (NCO) tarafından AB Komisyonu iş birliğiyle ortaklaşa yayımlandı. Belgede, "Doğru siber güvenlik araçlarıyla birlikte kullanıldığında, yapay zeka için SBOM nihayetinde yapay zeka tedarik zincirinin güvenliğini güçlendirmeye yardımcı olacaktır" ifadelerine yer verildi.