Sysdig AIBOM Whitepaper

Das ist das zentrale Argument, das Crystal Morin, Cybersecurity-Strategin bei Sysdig, in einem neuen Whitepaper vorbringt, in dem sie sich für AIBOMs – AI Bills of Materials – als wichtiges Governance-Tool für Unternehmen einsetzt, die Machine-Learning-Workloads einsetzen. Sie argumentiert, dass die Sicherung von KI-Workloads eine Erweiterung bekannter Cloud-nativer Praktiken erfordert und nicht die Neuerfindung der Cybersicherheit – aber Unternehmen müssen ihre KI-Infrastruktur jetzt dokumentieren, bevor die Regulierungsbehörden dies verlangen.

Während sich traditionelle Software-Stücklisten auf die Katalogisierung von Code-Bibliotheken und Abhängigkeiten konzentrieren, führt KI völlig neue Komponenten ein, die dokumentiert werden müssen. Modellgewichte, neuronale Netzwerkarchitekturen, Tokenisierungsprozesse, benutzerdefinierte Trainingsdatensätze und Inferenz-Pipelines stellen potenzielle Angriffsvektoren dar, die Sicherheitsteams inventarisieren und überwachen müssen.

Die Einsätze steigen rapide. Laut der Cloud Native Computing Foundation liefen im Jahr 2024 54 Prozent der KI- und ML-Workloads auf Kubernetes. Das bedeutet, dass der Großteil der Unternehmens-KI bereits in einer Infrastruktur angesiedelt ist, mit der Sicherheitsteams bestens vertraut sind – Container-Orchestrierung, CI/CD-Pipelines und Cloud-Service-Anbieter.

Dennoch bringt KI tatsächlich neue Risiken mit sich. Böswillige Akteure können schädliche Eingaben erstellen, die dazu führen, dass Modelle durchgehend falsche Ergebnisse liefern – eine Technik, die mit SQL-Injection-Angriffen auf Datenbanken vergleichbar ist. Trainingsdaten können während der Feinabstimmung manipuliert werden, wodurch das Modellverhalten im Laufe der Zeit verfälscht wird. Und zwischen fast allen Schichten der KI-Infrastruktur bestehen Vertrauensgrenzen – unsichtbare Linien, an denen Daten und Berechtigungen verschwimmen –, wodurch konzentrierte Schwachstellen entstehen.

Die regulatorischen Rahmenbedingungen erhöhen die Dringlichkeit. Der EU-KI-Akt, der im August 2024 in Kraft getreten ist und bis August 2027 vollständig umgesetzt sein wird, schreibt Datentransparenz, Rechenschaftspflicht und kontinuierliche Überwachung vor. Das NIST-KI-Risikomanagement-Framework betont ebenfalls Vertrauenswürdigkeit und verantwortungsvollen Einsatz. Unterdessen gelten bestehende Vorschriften wie die DSGVO und der CCPA weiterhin, unabhängig davon, ob KI beteiligt ist.

Für Organisationen, die Modelle von Drittanbietern über APIs nutzen – der Ansatz, den die meisten Unternehmen über Anbieter wie OpenAI oder Anthropic verfolgen –, verschiebt sich das Risikoprofil, verschwindet aber nicht. Die Sicherheit der physischen Infrastruktur obliegt im Rahmen von Modellen der geteilten Verantwortung dem Anbieter, aber schnelle Injektionen, Datenlecks während der Feinabstimmung, Schwächen bei der API-Authentifizierung und Governance-Versäumnisse bleiben eindeutig im Zuständigkeitsbereich des Kunden.

Morins Rahmenwerk unterteilt die KI-Infrastruktur in physische und nicht-physische Schichten. Zu den physischen Komponenten gehören Hardware (GPUs, TPUs, Beschleuniger), Cloud- und Virtualisierungsplattformen, Kubernetes-Orchestrierung, containerisierte Bibliotheken wie PyTorch und TensorFlow, Laufzeit-Frameworks und Modellartefakte. Nicht-physische Schichten umfassen Datenmanagement und -herkunft, Sicherheitskontrollen wie Verschlüsselung und Zugriffsberechtigungen, Governance- und Compliance-Dokumentation sowie die Schnittstellen, über die Benutzer und Agenten mit Modellen interagieren.

Die aufkommende Bedrohung durch „Shadow AI“ – Teams, die ungeprüfte Modelle und Tools außerhalb der Sicherheitsüberwachung einsetzen – stellt ein besonders akutes Problem dar. Offene Kommunikation zwischen den Geschäftsbereichen und umfassende Transparenz der Arbeitslasten sind daher unverzichtbare Gegenmaßnahmen.

Am kritischsten ist vielleicht, dass KI-Systeme überwältigende Mengen an Telemetriedaten generieren, die traditionelle Sicherheitsmaßnahmen überfordern können. Echtzeit-Laufzeiterkennung, automatisierte Warnmeldungen und Reaktionsfähigkeiten in Maschinengeschwindigkeit sind nicht länger optionaler Luxus, sondern operative Notwendigkeiten.

Das Whitepaper schließt mit einer pragmatischen Botschaft: Unternehmen müssen nicht warten, bis der KI-Sicherheitsmarkt ausgereift ist, bevor sie Maßnahmen ergreifen. Die bereits eingesetzten Cloud-nativen Tools können KI-Workloads bereits heute sichern, und etablierte Praktiken wie Microservice-Sicherheit, Input-Sanitisation und Infrastruktur-Hardening bleiben auch bei Anwendung auf die spezifische Architektur der KI wirksam.

Für Sicherheitsverantwortliche, die sich in der KI-Revolution zurechtfinden müssen, geht es weniger darum, völlig neue Disziplinen zu erlernen, als vielmehr darum, bewährte Methoden auf einen Technologie-Stack auszuweiten, der trotz seines transformativen Potenzials immer noch auf vertrautem Terrain läuft.

That’s the central argument put forward by Sysdig cybersecurity strategist Crystal Morin in a new whitepaper advocating for AIBOMs — AI Bills of Materials — as a critical governance tool for organisations deploying machine learning workloads, She argues that securing AI workloads requires extending familiar cloud-native practices rather than reinventing cybersecurity — but organisations must document their AI infrastructure now before regulators demand it.

While traditional software bills of materials focus on cataloguing code libraries and dependencies, AI introduces entirely new components that demand documentation. Model weights, neural network architectures, tokenization processes, custom training datasets, and inference pipelines all represent potential attack vectors that security teams must inventory and monitor.

The stakes are climbing rapidly. According to the Cloud Native Computing Foundation, 54 percent of AI and ML workloads were running on Kubernetes in 2024. This means the majority of enterprise AI already sits within infrastructure that security teams understand intimately — container orchestration, CI/CD pipelines, and cloud service providers.

Yet AI does bring genuinely novel risks. Adversarial actors can craft malicious inputs that cause models to consistently produce incorrect outputs, a technique analogous to SQL injection attacks against databases. Training data can be poisoned during fine-tuning, corrupting model behaviour over time. And trust boundaries — the invisible lines where data and permissions blur — exist between nearly every layer of AI infrastructure, creating concentrated points of vulnerability.

The regulatory landscape is accelerating the urgency. The EU AI Act, which entered force in August 2024 and takes full effect by August 2027, mandates data transparency, accountability, and continuous monitoring. The NIST AI Risk Management Framework similarly emphasises trustworthiness and responsible deployment. Meanwhile, existing regulations like GDPR and CCPA continue to apply regardless of whether AI is involved.

For organisations using third-party models through APIs — the approach taken by most enterprises via providers like OpenAI or Anthropic — the risk profile shifts but doesn’t disappear. Physical infrastructure security falls to the provider under shared responsibility models, but prompt injection, data leakage during fine-tuning, API authentication weaknesses, and governance failures remain squarely within the customer’s domain.

Morin’s framework divides AI infrastructure into physical and nonphysical layers. Physical components include hardware (GPUs, TPUs, accelerators), cloud and virtualisation platforms, Kubernetes orchestration, containerised libraries like PyTorch and TensorFlow, runtime frameworks, and model artifacts. Nonphysical layers encompass data management and provenance, security controls such as encryption and access permissions, governance and compliance documentation, and the interfaces through which users and agents interact with models.

The emerging threat of „shadow AI“ — teams deploying unvetted models and tools outside security oversight — represents a particularly acute concern. Open communication across business units and comprehensive workload visibility become essential countermeasures.

Perhaps most critically, AI systems generate overwhelming volumes of telemetry that can swamp traditional security operations. Real-time runtime detection, automated alerts, and machine-speed response capabilities are no longer optional luxuries but operational necessities.

The whitepaper concludes with a pragmatic message: organisations need not wait for the AI security market to mature before taking action. The cloud-native tools already deployed can secure AI workloads today, and established practices like microservice security, input sanitisation, and infrastructure hardening remain effective when applied to AI’s specific architecture.

For security leaders navigating the AI revolution, the path forward may be less about learning entirely new disciplines and more about extending proven methodologies to encompass a technology stack that, despite its transformative potential, still runs on familiar ground.