על מפתחי מערכות בינה מלאכותית, ספקי בינה מלאכותית, מפעילי תשתיות קריטיות וחברות מפוקחות לתעד את רכיבי ומקור מערכות הבינה המלאכותית בהן הם משתמשים, גם כאשר אין חובה חוקית לעשות כך - כך לפי ההנחיה החדשה שפרסמה סוכנות אבטחת הסייבר והתשתיות של ארה"ב (CISA) וקבוצת שבע השותפות הבינלאומיות (G7) - גרמניה, קנדה, צרפת, איטליה, יפן, בריטניה והאיחוד האירופי. ההנחיות כוללות את האלמנטים המינימליים שחברות צריכות לכלול ברשימת הרכיבים (Software Bill of Materials (SBOM)) של מערכות בינה מלאכותית, לרבות כל הרכיבים, הספריות והמודולים שמרכיבים את המערכת.

על פי ההנחיות, מצופה מחברות לתעד את שבעת הנושאים הבאים, בנוסף ל-SBOM הסטנדרטי:

• מטא-נתונים - הפרדת מטא-נתונים הקשורים ל-SBOM של הבינה המלאכותית עצמה משאר התוכנות.
• מאפייני רמת המערכת - שמירת מידע על מערכת הבינה המלאכותית כולה (למשל, איסוף מידע ופעולות פנימיות של מערכת הבינה המלאכותית ומערכות בינה מלאכותית אחרות, כמו LLMs או סוכנים אחרים).
• המודלים בשימוש - תיעוד מידע בסיסי לזיהוי ותיאור המודלים המשמשים את מערכת הבינה המלאכותית.
• מאפייני מערכי נתונים - תיעוד מערכי נתונים שבהם נעשה שימוש במהלך מחזור החיים של המודל, כולל מידע בסיסי המתעד את זהות הנתונים ומקורם.
• מאפייני תשתית - שמירת מידע על תשתית פיזית ווירטואלית החיונית להפעלה ותמיכה תקינים של מערכת הבינה המלאכותית.
• מאפייני אבטחה - תיעוד אמצעי אבטחת הסייבר ביחס למודלים ומערכות של בינה מלאכותית.
• מאפייני מדדי ביצועים (KPI) - שמירת מידע על מדדי הביצועים של מערכות הבינה המלאכותית ורכיביהן.

ההנחיות מהוות צעד ראשון לקראת הגברת השקיפות והאבטחה של מודלים ומערכות של בינה מלאכותית בשרשרת האספקה. ההנחיות מאפשרת לחברות לקבל החלטות מושכלות לגבי אופן ההגנה על המערכות הקריטיות שלהן. למרות שאינן ממצות או מחייבות, האלמנטים המינימליים המפורטים בהנחיה משקפים את הקונצנזוס הבינלאומי בתחום. האלמנטים צפויים להתרחב עם הזמן כדי לעמוד בקצב ההתקדמות המהירה של טכנולוגיית הבינה המלאכותית.