Während eine SBOM Code-Bibliotheken und Abhängigkeiten auflistet, dokumentiert eine AI BOM die Modelle, Datensätze, die Trainingshistorie, Lizenzierung und betrieblichen Metadaten, die Verhalten und Risikoprofil eines KI-Systems bestimmen. Krti Tallam, VP of AI bei Kamiwaza AI und Mitwirkende am AI Risk Management Framework des NIST, formuliert es so: Eine SBOM sage, was in einer Software steckt, eine AI BOM erweitere diese Idee darauf, was in einem KI-System steckt und wovon es zur Laufzeit abhängt. Denn in der KI seien die verhaltensbestimmenden Zutaten nicht nur Bibliotheken, sondern auch Daten, Abrufquellen, Werkzeuge und Richtlinien.
Einen einzigen, allgemein verbindlichen Standard für den Inhalt einer AI BOM gibt es noch nicht. Allerdings nähern sich Vorgaben und Praxisleitfäden von Stellen wie der Cybersecurity and Infrastructure Security Agency, der G7 Cybersecurity Working Group, dem Open Web Application Security Project, dem NIST und der Linux Foundation bei den Kernelementen an. Dazu zählen laut Tallam das Modellartefakt selbst – welches Modell, welche genaue Version, wie hergestellt – sowie die Datenherkunft, also Trainings- und Feinabstimmungsdatensätze samt Quelle, Eigentum, Provenienz und Prüfpfad.
Eine im Oktober 2025 veröffentlichte, begutachtete Studie der Fachleute hinter dem AI-BOM-Standard Software Package Data Exchange (SPDX) der Linux Foundation dokumentierte, was Anwender tatsächlich benötigen, um KI-Systeme transparent und sicher einzusetzen. Ein anonym befragter leitender Data Scientist nannte als Anforderungen unter anderem Angaben zur Lizenz, dazu, welche Trainingsdaten und welche demografischen Gruppen verwendet wurden, welche Verzerrungen vorliegen, wie hoch die berichtete Genauigkeit ist und wie getestet wurde.
Die meisten Rahmenwerke verlangen zudem die Dokumentation der Software-Abhängigkeiten eines Modells sowie der Konfiguration und Hyperparameter vor dem Training. Empfohlen werden außerdem Angaben zum Einsatzkontext – wo und wie das Modell läuft – sowie Aufzeichnungen zur menschlichen Aufsicht mit Validierungsschritten, Freigabeprozessen und Prüfhistorie. Mit der Verbreitung agentischer KI-Systeme müssten AI BOMs nach Ansicht von Tallam künftig auch Verhaltens- und Governance-Artefakte abdecken, etwa Abrufquellen, Werkzeugintegrationen, Agentenketten und Berechtigungsstrukturen. Eine solche „agentische BOM" werde eine Ausführungsebene ergänzen, einschließlich der Identität eines Agenten und seiner Befugnisse.
Schon die Grundlagen bleiben jedoch eine Hürde: Die SPDX-Forscher wiesen darauf hin, dass selbst grundlegende Datensätze wie ImageNet und CIFAR-10 ihre Datenquellen nicht vollständig offenlegen. Frühe Entwürfe, die jedes denkbare Detail erfassen wollten, stießen daher bei Praktikern auf Widerstand; viele Organisationen pflegen schlicht keine Informationen in dieser Tiefe. Die Forscher optimierten ihre Spezifikation deshalb auf Akzeptanz, indem sie einen kleinen Satz leicht erfassbarer Pflichtfelder definierten und ehrgeizige Ziele bewusst ausklammerten.
Parallel wächst die Angriffsfläche. Ein aktueller Bericht von Hugging Face zeigt, dass das Open-Source-Repository für KI-Modelle und -Daten im vergangenen Jahr auf 13 Millionen Nutzer anwuchs; die Zahl der Modelle verdoppelte sich auf zwei Millionen, die der Datensätze erreichte 500.000. Der „Software Supply Chain State of the Union 2025"-Bericht von JFrog verzeichnete im Vergleich zum Vorjahr eine 6,5-fache Zunahme schädlicher Modelle auf der Plattform, und im Februar veröffentlichte Forschung dokumentierte mit Hintertüren versehene Modelle, die alle Sicherheitsprüfungen von Hugging Face bestanden.
Auf regulatorischer Seite tritt im August der EU AI Act in Kraft, der unter anderem bessere Dokumentation für hochriskante Systeme verlangt – etwa solche, die KI in sicherheitsrelevanten Funktionen oder in riskanten Anwendungsfeldern wie kritischer Infrastruktur oder Strafverfolgung einsetzen. Hasan Yasar vom Software Engineering Institute der Carnegie Mellon University rät CISOs, sowohl AI BOMs als auch SBOMs in den Vordergrund zu stellen: Man wisse derzeit nicht, was man über KI nicht wisse; der Code sei nur die Spitze des Eisbergs.
