Pastel de un desconocido: expertos comparan la IA empresarial con un postre hecho con ingredientes desconocidos
Esa negligencia pasará factura en el peor momento.
Las empresas llevan tiempo registrando componentes de software, pero la IA ha complicado rápidamente el panorama habitual. En los sistemas corporativos han aparecido modelos, agentes, prompts, conjuntos de datos y herramientas externas, sobre las cuales el equipo de seguridad con frecuencia se entera solo después del despliegue. Así, el TI en la sombra cede el paso a la IA en la sombra, y para controlar este nuevo entorno, cada vez más se propone la AI-BOM — una lista de componentes de IA y las relaciones entre ellos.
Un SBOM común (lista de componentes de software) muestra paquetes de software y dependencias. La AI-BOM (lista de componentes de inteligencia artificial) debe tener en cuenta lo que genera y utiliza la IA: modelos, conjuntos de datos, bibliotecas SDK, servidores MCP, frameworks de ML, agentes, sus habilidades, prompts y otros elementos. Ese listado ayuda a entender cómo los componentes se relacionan con los flujos de trabajo y qué riesgos surgen dentro de la infraestructura.
En Palo Alto Networks consideran que sin esa visibilidad la empresa no puede entender exactamente qué debe proteger. Ian Swanson, del área de seguridad de IA de la compañía, comparó la IA corporativa con un pastel de origen desconocido: no se conocen ni la receta, ni los ingredientes, ni el cocinero. A pesar de ello, las organizaciones siguen usando tales "ingredientes" — desde modelos aprobados oficialmente hasta chatbots externos, plataformas de "vibe-coding" y agentes que los empleados ejecutan por su cuenta.
Cisco abrió anteriormente su AI-BOM para escanear bases de código, imágenes de contenedores y entornos en la nube. Ahora la empresa lanzó Model Provenance Kit — una herramienta para verificar el origen de los modelos. Según Cisco, compara modelos por metadatos, estructura del tokenizador y características a nivel de pesos, ayudando a entender de qué modelo base pudo derivar una versión ajustada, por ejemplo de Meta Llama 4 o Alibaba Qwen3. Para buscar modelos relacionados, Cisco también preparó una base de huellas de aproximadamente 150 modelos base de más de 45 familias y de más de 20 editores.
La verificación del origen no es necesaria solo por seguridad. Si un producto está parcialmente construido sobre un modelo de otra jurisdicción, la empresa puede enfrentar riesgos regulatorios. En Europa, el AI Act exige documentar los datos de entrenamiento, la metodología y la evaluación de riesgos para sistemas de alto riesgo.
Wiz propone mirar más allá e incluir en la AI-BOM no solo la aplicación final, sino también las herramientas en los puestos de trabajo de los desarrolladores que participaron en la creación del sistema de IA. La empresa también llama la atención sobre las cuentas no humanas vinculadas a agentes, modelos y servicios, incluyendo sus permisos de acceso.
El AI-BOM también puede ayudar en ataques a la cadena de suministro. Los atacantes ya usan la IA para reconocimiento, búsqueda de puntos finales abiertos y para controlar la infraestructura de los ataques. En un incidente investigado por Palo Alto Networks, los delincuentes obtuvieron acceso a los prompts del sistema de una carga interna de IA y modificaron las instrucciones para que el sistema ejecutara acciones no deseadas, incluida la exfiltración de datos y el envío a una dirección externa.
Si la empresa registra el estado del sistema de IA y rastrea los cambios, una modificación sospechosa de un prompt, la sustitución de la habilidad de un agente o una versión maliciosa de una biblioteca se vuelven más detectables. Ante ataques a npm, PyPI y componentes frecuentemente usados en aplicaciones de IA, el AI-BOM se transforma de una tabla de inventario ordenada en una herramienta operativa de protección.