Un documento de política publicado el martes aboga por listas de materiales de software (SBOM) para inteligencia artificial como un mecanismo para reducir el riesgo cibernético y mejorar la transparencia, y busca brindar a los legisladores, agencias federales y otros una hoja de ruta sobre cómo proceder.

El SBOM, comúnmente descrito como un inventario de ingredientes de software, surgió en la década de 2010 y se ha expandido más allá del software para incluir hardware e inteligencia artificial.

Pero el papel del Instituto de Seguridad y Tecnología, sobre el cual CyberScoop es el primero en informar, sostiene que los AIBOMS requieren un trabajo fundamental antes de que puedan implementarse ampliamente. Esto se produce cuando algunas empresas ya ofrecen servicios de AIBOM y otras organizaciones están dando forma activamente a la política de AIBOM.

«Lo que nos preocupa es que terminemos en una situación de 'disparar, preparar, apuntar' en la que todos lo hacían, pero todos hacíamos cosas ligeramente diferentes», dijo el coautor del artículo, Allan Friedman, quien ha trabajado en SBOM en múltiples funciones del gobierno de EE. UU. «Si no tenemos una visión compartida, resulta mucho más difícil tener una política coherente. Se vuelve mucho más difícil tener herramientas comunes y datos interoperables y se vuelve mucho más difícil utilizar los datos que estamos rastreando para cumplir la promesa de transparencia de la cadena de suministro».

La idea del documento surgió de conversaciones con asesores de Hill y personal del Pentágono, dijo Friedman, y personas como ellos también son el público objetivo.

Una premisa clave es que la política de AIBOM debe explorar el tema desde dos lados.

“¿Cómo se resuelve el problema del huevo y la gallina, en el que nadie proporciona los datos, por lo que nadie los solicita, y nadie los solicita, por lo que nadie los proporciona?” Friedman dijo a CyberScoop. «La respuesta es que hay que partir tanto de la oferta como de la demanda».

Por el lado de la oferta, “un AIBOM debería capturar detalles relevantes sobre los modelos y conjuntos de datos utilizados para entrenamiento, ajuste, evaluación, validación, prueba, recuperación, conexión a tierra, aumento u otros fines operativos o de desarrollo de modelos”, sugiere el documento.

«El lado de la demanda comienza con alguna forma de función forzada o requisito de que las organizaciones comprendan lo que hay en los productos que fabrican y venden», afirma, siendo uno de esos requisitos potencialmente un mandato de la industria para exigir el seguimiento de los componentes del sistema, por ejemplo, como los estándares «ligeros» utilizados en la industria de tarjetas de pago sobre seguridad de datos que no son demasiado exactos sobre cómo se deben rastrear los componentes.

Pero también podría incluir regulaciones gubernamentales o condiciones de contratación, sostiene Friedman con su colega del Instituto de Seguridad y Tecnología, Nick Leiserson. (El alcance de las directivas gubernamentales sobre IA es un tema de considerable debate en el Capitolio y dentro de la administración Trump en este momento).

Friedman dijo que el documento no pretende ser el final de todo y reconoció el trabajo previo de organizaciones como Open Worldwide Application Security Project (OWASP) y Linux Foundation.

«No estamos diciendo que este sea un tema completamente nuevo, ni tampoco que AIBOM resolverá todos los problemas de seguridad de la IA», dijo. «He estado luchando por SBOM durante una década. Ya sabes, SBOM no recogerá tu ropa de la tintorería».

Y como la IA continúa evolucionando rápidamente, eso significa que artículos como el publicado el martes están apenas al comienzo de la discusión, dijo Friedman.