SBOMs into Agentic AIBOMs: Schema Extensions, Agentic Orchestration, and Reproducibility Evaluation

Diese Arbeit stellt einen agenten Rahmen für künstliche Intelligenz-Rechnungen (AIBOMs) vor, der statische Software-Bills-of-Materials durch autonome Multi-Agenten-Systeme in dynamische, kontextbewusste Nachweisartefakte erweitert, um Reproduzierbarkeit und Schwachstellenbewertung unter sich ändernden Laufzeitbedingungen zu verbessern.

Das Wesentliche

Hier ist eine einfache Erklärung der Forschung von Dr. Petar Radanliev, die das Konzept der „Agentic AIBOMs" (Agenten-gesteuerte KI-Software-Bills of Materials) beschreibt.

Stellen Sie sich vor, Sie kaufen ein komplexes, selbstgebautes Auto.

Das alte Problem: Die statische Einkaufsliste (SBOM)

Bisher gab es für Software nur eine Einkaufsliste (im Fachjargon: SBOM – Software Bill of Materials). Diese Liste sagt Ihnen: „In diesem Auto sind 500 Schrauben, 10 Motoren und 3 Reifen von Hersteller X, Y und Z."

Das Problem ist: Die Liste ist statisch. Sie sagt Ihnen nicht:

• Ob der Motor tatsächlich läuft oder nur im Kofferraum liegt.
• Ob die Schrauben locker sind, weil das Auto auf holprigen Straßen gefahren wurde.
• Ob ein bestimmter defekter Motor wirklich einen Unfall verursacht, wenn er gar nicht benutzt wird.

Wenn ein Sicherheitsproblem bekannt wird (z. B. „Reifen von Hersteller X können platzen"), muss man die ganze Liste durchgehen. Aber: Vielleicht war dieser Reifen im Auto gar nicht verbaut, oder das Auto hat eine spezielle Federung, die das Platzen verhindert. Die alte Liste kann das nicht unterscheiden. Das führt zu Panik oder unnötigen Reparaturen.

Die neue Lösung: Der intelligente, lebendige Begleiter (AIBOM)

Dr. Radanliev und sein Team haben eine Idee entwickelt, wie man diese statische Liste in einen intelligenten, lebendigen Begleiter verwandeln. Sie nennen das AIBOM (Agentic Artificial Intelligence Bill of Materials).

Stellen Sie sich das AIBOM nicht als Papierliste vor, sondern als einen kleinen, wachsamen Butler, der dem Auto (der Software) während der gesamten Fahrt folgt. Dieser Butler besteht aus drei Spezialisten (Agenten), die zusammenarbeiten:

1. Der Architekt (MCP) – „Was ist eigentlich im Kofferraum?"

Bevor das Auto losfährt, überprüft dieser Agent genau, was im Kofferraum liegt. Er stellt sicher, dass die Einkaufsliste mit dem tatsächlichen Inhalt übereinstimmt. Wenn etwas fehlt oder verdächtig aussieht, warnt er sofort. Er sorgt dafür, dass wir genau wissen, woraus das Auto besteht, bevor es losgeht.

2. Der Beobachter (A2A) – „Was passiert gerade auf der Straße?"

Während das Auto fährt, beobachtet dieser Agent die Straße.

• Wird ein neuer Motor während der Fahrt eingebaut?
• Wird ein defekter Teil tatsächlich benutzt, oder liegt er nur herum?
• Ändert sich das Wetter (die Umgebung), sodass ein Teil, das vorher sicher war, jetzt gefährlich wird?
  Er merkt sich alles, was tatsächlich passiert, nicht nur das, was geplant war.

3. Der Richter (AGNTCY) – „Ist das jetzt wirklich gefährlich?"

Dieser Agent nimmt die Informationen vom Architekt und dem Beobachter und wendet die Gesetze (Sicherheitsrichtlinien) an.

• Frage: „Der Motor von Hersteller X ist defekt."
• Beobachtung: „Aber unser Butler hat gesehen, dass dieser Motor in diesem Auto gar nicht angeschlossen ist."
• Urteil: „Kein Problem! Das Auto ist sicher." (Fachbegriff: „Not Affected").
• Alternativ: „Der Motor ist angeschlossen, aber wir haben eine Schutzvorrichtung eingebaut."
• Urteil: „Gefahr gebannt, aber wir müssen aufpassen." (Fachbegriff: „Mitigated").

Der Richter sagt also nicht einfach nur „Gefahr!", sondern erklärt warum es gefährlich ist oder warum es sicher ist.

Warum ist das so wichtig?

1. Keine Panikmache mehr: Statt tausende von Warnungen zu bekommen, die alle „Gefahr!" schreien, erhalten Sie nur die Warnungen, die für Ihr spezifisches Auto in Ihrer aktuellen Situation wirklich relevant sind.
2. Nachvollziehbarkeit: Wenn etwas schiefgeht, können Sie genau nachsehen: „Ah, der Agent hat gesehen, dass das Teil nicht benutzt wurde." Das macht die Sicherheit überprüfbar.
3. Standardisierung: Der Butler spricht eine offizielle Sprache (ISO-Standards), die auch Behörden und Prüfer verstehen. Es ist keine Erfindung von einem einzelnen Programmierer, sondern ein allgemein anerkanntes Regelwerk.

Die Analogie zum Alltag

Stellen Sie sich vor, Sie kochen ein kompliziertes Gericht für eine Prüfung.

• Die alte Liste (SBOM) wäre ein Zettel, auf dem steht: „Wir haben Tomaten, Eier und Mehl." Wenn die Tomaten verdorben sind, müssten Sie das ganze Gericht wegwerfen, auch wenn Sie gar keine Tomaten benutzt haben.
• Der neue Butler (AIBOM) wäre ein Kochassistent, der mit Ihnen kocht. Er sieht: „Hey, die Tomaten sind verdorben, aber wir haben sie gar nicht reingetan. Die Eier sind frisch und wir haben sie benutzt. Also ist das Gericht sicher." Er schreibt dann einen Bericht auf, der genau erklärt, warum das Gericht sicher ist.

Fazit

Die Forschung zeigt, dass wir von einer passiven Liste (die nur auflistet, was da ist) zu einem aktiven Sicherheitsassistenten übergehen müssen. Dieser Assistent nutzt künstliche Intelligenz, um nicht nur zu zählen, sondern zu verstehen, was in der Software gerade passiert. Das macht Software sicherer, transparenter und weniger anfällig für Fehlalarme.

Es ist der Unterschied zwischen einem Tagebuch, das nur aufschreibt, was passiert ist, und einem intelligenten Wachhund, der die Situation bewertet und Ihnen sagt, ob Sie wirklich in Gefahr sind.

Technische Zusammenfassung

Hier ist eine detaillierte technische Zusammenfassung des vorliegenden Forschungsartikels auf Deutsch:

Titel: Von SBOMs zu Agentic AIBOMs: Schema-Erweiterungen, Agenten-Orchestrierung und Evaluierung der Reproduzierbarkeit

Autoren: Petar Radanliev (Universität Oxford, The Alan Turing Institute) et al.

---

1. Problemstellung

Die Sicherheit von Software-Lieferketten stützt sich derzeit primär auf Software Bills of Materials (SBOMs). Diese bieten zwar eine maschinenlesbare Inventarliste von Komponenten und Abhängigkeiten, sind jedoch statisch und deskriptiv.

• Mangelnde Kontextualisierung: Herkömmliche SBOMs erfassen nicht das Laufzeitverhalten, Umgebungsdrifts (Änderungen der Laufzeitumgebung) oder den Kontext der Ausnutzbarkeit von Schwachstellen.
• Fehlende Unterscheidung: Sie können nicht zwischen der bloßen Präsenz einer Schwachstelle und deren tatsächlicher Ausnutzbarkeit in einer spezifischen Umgebung unterscheiden.
• Skalierungsproblem: Da ca. 95 % der in SBOMs gelisteten Schwachstellen in einem spezifischen Produkt nicht ausnutzbar sind, führt eine manuelle Prüfung zu massiven Ressourcenverschwendungen.
• Reproduzierbarkeit: In regulierten Umgebungen (z. B. Trusted Research Environments, TREs) können unentdeckte Drifts in der Softwareumgebung die Reproduzierbarkeit von Analysen und die Gültigkeit von Offenlegungskontrollen (Disclosure Control) gefährden.

2. Methodik und Architektur

Die Autoren schlagen einen Paradigmenwechsel vor: Von passiven SBOMs hin zu Agentic Artificial Intelligence Bills of Materials (AIBOMs). Ein AIBOM ist ein aktives Provenienz-Artefakt, das Software-Kompositionsdaten mit autonomer, regelbasierter Argumentation und Laufzeit-Telemetrie verbindet.

Das Framework basiert auf einer Multi-Agenten-Architektur mit drei spezialisierten Agenten, die auf einem Standards-konformen Schema (erweitert um CycloneDX und SPDX) operieren:

1. MCP (Model–Container Profiler):
   • Aufgabe: Rekonstruktion der Baseline-Umgebung vor der Ausführung.
   • Funktion: Überprüft die Vollständigkeit der Abhängigkeiten und erkennt Inkonsistenzen vor dem Start. Führt bei Unklarheiten gezielte Probing-Routinen durch.
2. A2A (Agent-for-Agent Telemetry):
   • Aufgabe: Laufzeit-Überwachung und Drift-Erkennung.
   • Funktion: Erfasst dynamische Importe, spät gebundene Module (late-bound modules) und Abweichungen von der erwarteten Abhängigkeitsgraphik während der Ausführung. Unterscheidet zwischen harmlosen Drifts und kritischen Sicherheitsereignissen.
3. AGNTCY (Governance and Policy Agent):
   • Aufgabe: Kontextbezogene VEX-Argumentation (Vulnerability Exploitability eXchange).
   • Funktion: Kombiniert Laufzeitbeweise (wurde der Code ausgeführt?), Umgebungsbeschränkungen (Sandbox) und Schwachstellenmetadaten, um VEX-Status zu generieren (z. B. "Nicht betroffen", "Betroffen: Gemildert", "Erfordert Prüfung").

Schema-Erweiterungen:
Das AIBOM-Schema erweitert bestehende Standards um Felder für:

• Laufzeitumgebungsstatus (Kernel, Container-ID).
• Abhängigkeitsentwicklungszeitlinien.
• Nachvollziehbare Entscheidungsprotokolle der Agenten.
• Verknüpfung mit ISO/IEC 20153:2025 (CSAF v2.0) für standardisierte Sicherheitswarnungen.

Validierungsmethodik:
Die Evaluierung erfolgte in kontrollierten analytischen Umgebungen (TREs) mit Workloads wie statistischen Analysen (R, Python). Es wurden Ablationsstudien durchgeführt (Deaktivierung einzelner Agenten), um den Mehrwert jedes Agenten zu beweisen. Zudem wurde das System gegen etablierte Provenienz-Tools (ReproZip, SciUnit, ProvStore) verglichen.

3. Wichtige Beiträge

• Konzeptuelle Transformation: Definition von AIBOMs als aktive, agentenbasierte Artefakte, die nicht nur Inventare listen, sondern Ausnutzbarkeit und Reproduzierbarkeit aktiv bewerten.
• Technische Implementierung: Entwicklung einer Multi-Agenten-Architektur, die dynamische Abhängigkeiten erfasst und kontextbezogene VEX-Aussagen generiert, ohne die Interoperabilität mit bestehenden Standards (CycloneDX, SPDX) zu verlieren.
• Standardisierung: Integration der neu ratifizierten ISO/IEC 20153:2025 (CSAF v2.0), um maschinenlesbare, regulatorisch anerkannte Sicherheitswarnungen zu gewährleisten.
• Compliance-Mapping: Erstellung einer Matrix, die zeigt, wie AIBOM-Felder spezifische Anforderungen von GDPR, NIST (SP 800-53, SSDF) und ISO/IEC 27001 erfüllen (z. B. Integrität, Auditierbarkeit, Supply-Chain-Risikomanagement).

4. Ergebnisse

Die Evaluierung ergab signifikante Verbesserungen gegenüber bestehenden Systemen:

• Reproduzierbarkeit: Das AIBOM-System erreichte eine Reproduzierbarkeitsrate von 98,6 % (im Vergleich zu 87,4 % bei ReproZip, 73,2 % bei SciUnit und 61,8 % bei ProvStore). Dies wurde durch eine präzise Erfassung der Umgebungsstate und dynamischer Abhängigkeiten erreicht.
• Ressourcenverbrauch: Der Overhead war gering (~4 % CPU, <300 MB RAM), was den Einsatz in produktiven Umgebungen ermöglicht.
• Ablationsstudien:
  • Ohne MCP sank die Vollständigkeit der SBOMs um 14 % (mehr False Negatives bei Abhängigkeiten).
  • Ohne A2A wurden Laufzeit-Drifts und dynamisch geladene Module nicht erkannt.
  • Ohne AGNTCY fehlte die kontextbezogene Argumentation; es wurden nur rohe CVE-Listen ausgegeben, was keine fundierten Entscheidungen zur Ausnutzbarkeit erlaubt.
• VEX-Genauigkeit: Das System konnte erfolgreich zwischen "Nicht betroffen" und "Gemildert" unterscheiden, basierend auf tatsächlicher Code-Ausführung und Sandbox-Einschränkungen, was manuelle Prüfungen stark reduziert.

5. Bedeutung und Ausblick

Die Arbeit zeigt, dass statische SBOMs für moderne, dynamische Software-Systeme nicht mehr ausreichen.

• Paradigmenwechsel: AIBOMs transformieren die Lieferkette von einer passiven Dokumentation zu einem aktiven, sicherheitsbewussten Steuerungselement.
• Regulatorische Relevanz: Durch die Anbindung an ISO/IEC 20153:2025 und die Unterstützung von VEX bieten AIBOMs eine auditierbare Grundlage für Compliance in hochregulierten Sektoren (Gesundheitswesen, Finanzwesen, staatliche Forschung).
• Zukünftige Arbeit: Die aktuelle Implementierung generiert VEX-Aussagen als Nachweis, führt aber noch keine automatische Blockierung von Workflows durch (Policy Gating). Dies wird als zukünftige Arbeit identifiziert, ebenso wie die Skalierung auf federierte Umgebungen und die Integration von Lernalgorithmen bei Beibehaltung der Erklärbarkeit.

Fazit: Das Paper liefert einen robusten, technisch fundierten Ansatz, um Software-Provenienz und Lieferkettensicherheit durch den Einsatz von Agenten-Systemen und standardisierten Sicherheitssemantiken auf das nächste Level zu heben.