Vier op de tien bedrijfsapplicaties zullen aanwezig zijn taakspecifieke AI-agenten dit jaar. Toch blijkt uit onderzoek van het 2025 Index Report van Stanford University dat dit slechts het geval is 6% van de organisaties beschikken over een geavanceerde AI-beveiligingsstrategie.
Palo Alto Networks voorspelt dat 2026 dit zal brengen de eerste grote rechtszaken waarbij leidinggevenden persoonlijk aansprakelijk worden gesteld voor malafide AI-acties. Veel organisaties worstelen met de vraag hoe ze de steeds snellere en onvoorspelbare aard van AI-bedreigingen kunnen beheersen. Governance reageert niet op snelle oplossingen zoals grotere budgetten of meer personeel.
Er is een kloof in de zichtbaarheid als het gaat om hoe, waar, wanneer en via welke workflows en tools LLM’s worden gebruikt of aangepast. Eén CISO vertelde VentureBeat dat model-SBOM’s vandaag de dag het Wilde Westen van het bestuur zijn. Zonder inzicht in welke modellen waar draaien, vervalt AI-beveiliging in giswerk en wordt respons op incidenten onmogelijk.
De afgelopen jaren heeft de Amerikaanse overheid een beleid gevoerd waarbij SBOM’s verplicht worden gesteld voor alle software die voor gebruik wordt aangeschaft. AI-modellen hebben ze harder nodig, en het gebrek aan consistente verbetering op dit gebied is een van de grootste risico’s van AI.
De zichtbaarheidskloof is de kwetsbaarheid
Harness ondervroeg 500 beveiligingsprofessionals in de VS, Groot-Brittannië, Frankrijk en Duitsland. De bevindingen zouden elke CISO moeten alarmeren: 62% van hun collega’s weet niet waar LLM’s binnen hun organisatie in gebruik zijn. Er is behoefte aan meer nauwkeurigheid en transparantie op SBOM-niveau om de traceerbaarheid van modellen, het gegevensgebruik, de integratiepunten en de gebruikspatronen per afdeling te verbeteren.
Bedrijven blijven in toenemende mate last hebben van snelle injectie (76%), kwetsbare LLM-code (66%) en jailbreaking (65%). Dit behoren tot de meest dodelijke risico’s en aanvalsmethoden die tegenstanders gebruiken om alles uit de AI-modellering en LLM-inspanningen van een organisatie te exfiltreren. Ondanks dat ze miljoenen uitgeven aan cyberbeveiligingssoftware, zien veel organisaties de inbraakpogingen van deze tegenstanders niet, omdat ze gehuld zijn in technieken om van het land te leven en vergelijkbare aanvalstechnieken die niet te traceren zijn door oudere perimetersystemen.
“Shadow AI is de nieuwe blinde vlek voor ondernemingen geworden”, zegt Adam Arellano, Field CTO bij Harnas. “Traditionele beveiligingstools zijn gebouwd voor statische code en voorspelbare systemen, niet voor adaptieve, leermodellen die dagelijks evolueren.”
IBM’s 2025 Cost of a Data Breach Report kwantificeert de kosten en constateert dat 13% van de organisaties vorig jaar inbreuken op AI-modellen of -applicaties meldde. Van de inbreuken beschikte 97% niet over AI-toegangscontroles. Eén op de vijf gemelde inbreuken was te wijten aan schaduw AI of ongeoorloofd AI-gebruik. Shadow AI-incidenten kosten 670.000 dollar meer dan hun vergelijkbare tegenhangers bij basisinbraak. Als niemand weet welke modellen waar draaien, kan incidentrespons de impact niet inschatten.
Waarom SBOM’s stoppen bij het modelbestand
Uitvoeringsbesluit 14028 (2021) en OMB Memorandum M-22-18 (2022) vereisen software-SBOM’s voor federale leveranciers. Het AI-risicobeheerkader van NISTuitgebracht in 2023, roept expliciet op tot AI-BOM’s als onderdeel van de ‘Map’-functie, waarbij wordt erkend dat traditionele software-SBOM’s geen modelspecifieke risico’s vastleggen. Maar softwareafhankelijkheden verdwijnen tijdens de bouwtijd en blijven vast.
Omgekeerd verdwijnen modelafhankelijkheden tijdens runtime, waarbij tijdens de initialisatie vaak gewichten van HTTP-eindpunten worden opgehaald, en voortdurend muteren door middel van hertraining, driftcorrectie en feedbackloops. LoRA-adapters gewichten wijzigen zonder versiebeheer, waardoor het onmogelijk wordt om bij te houden welke modelversie daadwerkelijk in productie is.
Dit is waarom dit belangrijk is voor beveiligingsteams: Wanneer AI-modellen worden opgeslagen in augurk formaatis het laden ervan hetzelfde als het openen van een e-mailbijlage die code op uw computer uitvoert, behalve dat deze bestanden, die als bijlagen fungeren, standaard worden vertrouwd in productiesystemen.
Een PyTorch-model dat op deze manier wordt opgeslagen, is geserialiseerde Python-bytecode die dat moet zijn gedeserialiseerd en uitgevoerd om te laden. Wanneer torch.load() wordt uitgevoerd, Pickle-opcodes worden opeenvolgend uitgevoerd. Elke opvraagbare optie die in de stream is ingebed, wordt geactiveerd. Deze omvatten gewoonlijk os.system(), netwerkverbindingen en omgekeerde shells.
SafeTensoreneen alternatief formaat dat slaat alleen numerieke tensorgegevens op zonder uitvoerbare codericht zich op de inherente risico’s van augurk. Toch betekent migratie het herschrijven van laadfuncties, het opnieuw valideren van de nauwkeurigheid van het model en mogelijk het verlies van toegang tot oudere modellen waar de originele trainingscode niet meer bestaat. Dat is een van de belangrijkste factoren die adoptie tegenhouden. In veel organisaties is het niet alleen beleid, het is een technische inspanning.
Modelbestanden zijn geen inerte artefacten; het zijn uitvoerbare toegangspunten voor de toeleveringsketen.
Normen bestaan en bestaan al jaren, maar de adoptie ervan blijft achterwege. CycloonDX 1.6 toegevoegd ML-BOM ondersteuning in april 2024. SPDX 3.0, uitgebracht in april 2024, bevatte AI-profielen. ML-BOM’s vormen een aanvulling op documentatieframeworks zoals modelkaarten en datasheets voor datasets, maar vervangen deze niet. Deze zijn gericht op prestatiekenmerken en het trainen van data-ethiek in plaats van de herkomst van de toeleveringsketen tot een prioriteit te maken. VentureBeat blijft zien dat de adoptie achterblijft in de snelheid waarmee dit gebied een existentiële bedreiging wordt voor modellen en LLM’s.
Een Lineaje-onderzoek van juni 2025 ontdekte dat 48% van de beveiligingsprofessionals toegeeft dat hun organisatie achterloopt op het gebied van SBOM-vereisten. De acceptatie van ML-BOM is aanzienlijk lager.
Kortom: De tooling bestaat. Wat ontbreekt is operationele urgentie.
AI-BOM’s maken respons mogelijk, niet preventie
AI-BOM’s zijn forensisch onderzoek, geen firewalls. Toen ReversingLabs nullifAI-gecompromitteerde modellen ontdekte, zou de gedocumenteerde herkomst onmiddellijk hebben geïdentificeerd welke organisaties deze hadden gedownload. Dat is van onschatbare waarde om te weten voor de respons op incidenten, terwijl het praktisch nutteloos is voor preventie. Bij het budgetteren voor de bescherming van AI-BOM’s moet met deze factor rekening worden gehouden.
Het ML-BOM-tooling-ecosysteem wordt snel volwassen, maar dit is nog niet waar software-SBOM’s zich nog bevinden. Tools zoals Syft en Trivy genereren binnen enkele minuten volledige software-inventarisaties. ML-BOM-tools bevinden zich eerder in die curve. Leveranciers zijn verzendoplossingen, maar integratie en automatisering vergen nog steeds extra stappen en meer inspanning. Organisaties die nu beginnen, hebben mogelijk handmatige processen nodig om hiaten op te vullen.
AI-BOM’s kunnen de modelvergiftiging niet stoppen, omdat dat gebeurt tijdens de training, vaak voordat een organisatie het model ooit downloadt. Ze zullen snelle injectie ook niet blokkeren, omdat die aanval misbruik maakt van wat het model doet, en niet van waar het vandaan komt. Preventie vereist runtime-verdediging, waaronder invoervalidatie, promptfirewalls, uitvoerfiltering en validatie van toolaanroepen voor agentische systemen. AI-BOM’s zijn tools voor zichtbaarheid en compliance. Waardevol, maar geen vervanging voor runtime-beveiliging. CISO’s en veiligheidsleiders vertrouwen steeds meer op beide.
Het aanvalsoppervlak wordt steeds groter
JFrog’s Software Supply Chain-rapport 2025 documenteerde alleen al in 2024 meer dan 1 miljoen nieuwe modellen die Hugging Face bereikten, met een 6,5-voudige toename van kwaadaardige modellen. Tegen april 2025 zullen de scans van Protect AI van 4,47 miljoen modelversies vond 352.000 onveilige of verdachte problemen op 51.700 modellen. Het aanvalsoppervlak breidde zich sneller uit dan iemands vermogen om het te monitoren.
Begin 2025, ReversingLabs ontdekte kwaadaardige modellen gebruiken “nulifAI” ontwijkingstechnieken die de Picklescan-detectie omzeilden. Hugging Face reageerde binnen 24 uur, verwijderde de modellen en updatete Picklescan om soortgelijke ontwijkingstechnieken te detecteren, wat aantoont dat de platformbeveiliging verbetert, zelfs als de aanvallers steeds geavanceerder worden.
“Veel organisaties omarmen enthousiast publieke ML-modellen om snelle innovatie te stimuleren,” gezegd Yoav Landman, CTO en mede-oprichter van JFrog. “Meer dan een derde vertrouwt echter nog steeds op handmatige inspanningen om de toegang tot veilige, goedgekeurde modellen te beheren, wat kan leiden tot mogelijke vergissingen.”
Zeven stappen naar zichtbaarheid van de AI-toeleveringsketen
Het verschil tussen uren en weken bij de respons op incidenten in de AI-toeleveringsketen komt neer op voorbereiding. Organisaties met ingebouwde zichtbaarheid vóór de inbreuk beschikken over de inzichten die nodig zijn om met grotere nauwkeurigheid en snelheid te reageren. Degenen zonder slag of stoot. Geen van de volgende zaken vereist een nieuw budget – alleen de beslissing om het bestuur van AI-modellen even serieus te nemen als de beveiliging van de software-toeleveringsketen.
-
Zorg ervoor dat u een modelinventaris opbouwt en processen definieert om deze actueel te houden. Onderzoek ML-platformteams. Scan de clouduitgaven voor SalieMaker, Hoekpunt AI, en Bedsteen gebruik. Beoordeling Knuffelend gezicht downloads in netwerklogboeken. Een spreadsheet werkt: modelnaam, eigenaar, gegevensclassificatie, implementatielocatie, bron en laatste verificatiedatum. Wat je niet kunt zien, kun je niet beveiligen.
-
Ga helemaal in op het gebruik van geavanceerde technieken voor beheer en omleiding schaduw AI gebruiken voor apps, tools en platforms die veilig zijn. Onderzoek elke afdeling. Controleer API-sleutels in omgevingsvariabelen. Realiseer je dat boekhoud-, financiële en adviesteams over geavanceerde AI-apps kunnen beschikken met meerdere API’s die rechtstreeks verbinding maken met de eigen gegevens van het bedrijf en deze gebruiken. De zichtbaarheidskloof van 62% bestaat omdat niemand ernaar heeft gevraagd.
-
Vereist menselijke goedkeuring voor productiemodellen en ontwerp altijd human-in-the-middle-workflows. Elk model dat met klantgegevens te maken heeft, heeft een benoemde eigenaar, een gedocumenteerd doel en een audittrail nodig die laat zien wie de implementatie heeft goedgekeurd. Ontwerp, net zoals rode teams bij Anthropic, OpenAI en andere AI-bedrijven, human-in-the-middle-goedkeuringsprocessen voor elke modelrelease.
-
Overweeg SafeTensors verplicht te stellen voor nieuwe implementaties. Beleidswijzigingen kosten niets. SafeTensoren slaat alleen numerieke tensorgegevens opgeen code-uitvoering tijdens het laden. Grootvader bestaat augurk modellen met gedocumenteerde risicoacceptatie en zonsondergangtijdlijnen.
-
Overweeg een pilot ML-BOM’s eerst voor de top 20% van de risicomodellen. Kies degenen die te maken hebben met klantgegevens of zakelijke beslissingen nemen. Documentarchitectuur, trainingsgegevensbronnen, basismodelafstamming, raamwerkafhankelijkheden. Gebruik CycloonDX 1.6 of SPDX 3.0. Ga meteen aan de slag als u dit nog niet doet, in het besef dat een onvolledige herkomst beter is dan geen enkele als er incidenten plaatsvinden.
-
Behandel elke modelpull als een supply chain-beslissing, zodat deze onderdeel wordt van het spiergeheugen van uw organisatie. Controleer cryptografische hashes vóór het laden. Cachemodellen intern. Blokkeer runtime-netwerktoegang voor modeluitvoeringsomgevingen. Pas dezelfde nauwkeurigheid toe die bedrijven hebben geleerd van leftpad, event-stream en Colors.js.
-
Voeg AI-beheer toe aan leverancierscontracten tijdens de volgende verlengingscyclus. Vereist SBOM’s, herkomst van trainingsgegevens, versiebeheer van modellen en SLA’s voor incidentmeldingen. Vraag of uw data toekomstige modellen traint. Kost niets om aan te vragen.
2026 wordt een jaar van afrekening voor AI SBOM’s
Het beveiligen van AI-modellen wordt een prioriteit in de bestuurskamer. De Ik heb Act Er zijn al verbodsbepalingen van kracht, met boetes die oplopen tot 35 miljoen euro of 7% van de mondiale omzet. De SBOM-vereisten van de EU Cyber Resilience Act gaan dit jaar in. Volledige naleving van de AI Act is vereist tegen 2 augustus 2027.
Cyberverzekeraars kijken mee. Gezien de premie van $670.000 voor inbreuken op schaduw-AI en de opkomende blootstelling aan aansprakelijkheid van bestuurders, kun je verwachten dat AI-governancedocumentatie dit jaar een beleidsvereiste zal worden, net zoals de paraatheid voor ransomware na 2021 een prioriteit werd.
Het SEI Carnegie Mellon SBOM Harmonisatie Plugfest analyseerde 243 SBOM’s van 21 toolleveranciers voor identieke software en vond aanzienlijke verschillen in het aantal componenten. Voor AI-modellen met ingebedde afhankelijkheden en uitvoerbare payloads is de inzet groter.
Het eerste vergiftigde modelincident dat zeven cijfers kost aan reactie en boetes zal de zaak naar voren brengen die al duidelijk had moeten zijn.
Software-SBOM’s werden verplicht nadat aanvallers hadden bewezen dat de toeleveringsketen het zachtste doelwit was. AI-toeleveringsketens zijn dynamischer, minder zichtbaar en moeilijker te beheersen. De enige organisaties die AI veilig kunnen opschalen, zijn degenen die nu zichtbaarheid opbouwen – voordat ze die nodig hebben.
