SBOMs into Agentic AIBOMs: Schema Extensions, Agentic Orchestration, and Reproducibility Evaluation

Questo articolo introduce gli AIBOM (Artificial Intelligence Bills of Materials) agentici, un'estensione dinamica degli SBOM basata su un'architettura multi-agente che integra monitoraggio del runtime, ricostruzione dell'ambiente e ragionamento sulle vulnerabilità per garantire una provenienza del software riproducibile e contestualizzata.

L'essenziale

Ecco una spiegazione semplice e creativa del paper, pensata per chiunque, anche senza un background tecnico.

🍕 La Pizza, l'Ingrediente Segreto e il Cuoco Intelligente

Immagina di ordinare una pizza. Il Bill of Materials (BOM) è semplicemente l'elenco degli ingredienti: "Farina, pomodoro, mozzarella, basilico". Nel mondo del software, questo elenco si chiama SBOM (Software Bill of Materials). Serve a sapere cosa c'è dentro un programma.

Il problema attuale:
Oggi, gli SBOM sono come un elenco statico scritto su un foglio di carta. Ti dicono che c'è della mozzarella, ma non ti dicono:

1. Se la mozzarella è stata effettivamente usata in quella pizza specifica.
2. Se la mozzarella è andata a male (vulnerabile) mentre era in frigo.
3. Se il forno (l'ambiente) era così caldo da rendere la mozzarella pericolosa da mangiare.

Se c'è un problema di sicurezza (un "virus" nella mozzarella), l'elenco statico ti dice solo: "Attenzione, c'è mozzarella!". Ma non ti dice se quella pizza è davvero avvelenata o se è sicura. Questo crea panico inutile o, peggio, falsa sicurezza.

---

🤖 La Soluzione: Gli "Agenti AI" (I Cuochi Robot)

Il paper di Dr. Petar Radanliev propone di trasformare questo elenco statico in qualcosa di vivo e intelligente, chiamato AIBOM (Artificial Intelligence Bill of Materials).

Immagina che invece di un foglio di carta, tu abbia tre cuochi robot (Agenti AI) che lavorano insieme mentre la pizza viene preparata:

1. Il Cuoco "MCP" (Il Controllore dell'Inventario):

   • Cosa fa: Prima ancora che inizi la cottura, controlla che tutti gli ingredienti siano presenti e che siano quelli giusti. Se manca un po' di sale o se la farina è di un tipo sbagliato, lo segnala subito.
   • In parole povere: Assicura che l'elenco iniziale sia perfetto e completo.

2. Il Cuoco "A2A" (L'Osservatore in Tempo Reale):

   • Cosa fa: Mentre la pizza cuoce, guarda cosa succede davvero. "Ehi, la mozzarella è stata usata? O è rimasta nel frigo? Il forno era troppo caldo?"
   • In parole povere: Monitora il software mentre gira. Se un componente "vulnerabile" (una mozzarella avariata) non viene mai toccato o usato durante la cottura, questo cuoco dice: "Non preoccuparti, non è stato usato, la pizza è sicura".

3. Il Cuoco "AGNTCY" (Il Giudice delle Regole):

   • Cosa fa: Prende le informazioni degli altri due e le confronta con le regole di sicurezza (le leggi della città). Decide se la pizza è "Sicura", "Da controllare" o "Pericolosa".
   • In parole povere: Non si limita a dire "c'è un virus", ma dice: "C'è un virus, ma è stato bloccato dal firewall (il forno), quindi la pizza è sicura".

---

📜 Il "Passaporto" Intelligente (VEX e CSAF)

Fino a ora, quando si trovava un virus, si diceva solo "Pericolo!". Ora, grazie a questi cuochi robot, otteniamo un Passaporto Intelligente (chiamato VEX nel paper).

Questo passaporto non dice solo "C'è un problema". Dice:

• "C'è un problema, ma NON TI TOCCA" (perché non è stato usato).
• "C'è un problema, ma È STATO CURATO" (perché abbiamo messo una patch).
• "C'è un problema, CONTROLLALO TU" (perché non siamo sicuri).

Questo evita di sprecare tempo a riparare cose che non sono rotte e aiuta a capire subito quali sono i veri pericoli.

🏭 Perché è importante? (La Fabbrica della Fiducia)

Immagina di lavorare in una fabbrica di farmaci o di dati medici (come i Trusted Research Environments menzionati nel paper). Qui non puoi sbagliare: se un software cambia anche di poco, i risultati potrebbero essere sbagliati o i dati potrebbero essere rubati.

• Prima: Se il software cambiava un po' (aggiornamenti automatici, versioni diverse), nessuno se ne accorgeva finché non succedeva un disastro. Era come ricominciare a cucinare ogni volta senza sapere se gli ingredienti erano gli stessi.
• Ora (con AIBOM): Il sistema registra tutto, controlla tutto in tempo reale e ti dice: "La pizza di oggi è identica a quella di ieri, ed è sicura". Se qualcosa cambia, il sistema alza la mano e dice: "Stop! C'è un cambiamento, controlliamo prima di servire".

🚀 In Sintesi

Questo paper dice: "Basta elenchi statici di ingredienti!".
Dobbiamo passare a un sistema dove l'elenco degli ingredienti del software è vivo, osserva cosa succede mentre il programma gira, e ragiona se i pericoli sono reali o solo teorici.

È come passare da una lista della spesa scritta su un foglio, a un assistente personale che ti accompagna al supermercato, controlla la scadenza dei prodotti mentre li metti nel carrello, e ti dice esattamente quali sono sicuri da mangiare e quali no, tutto mentre cucini.

Il risultato finale? Software più sicuro, meno panico inutile, e la certezza che ciò che produciamo (dati, analisi, risultati) sia esattamente quello che dovrebbe essere, ogni singola volta.

Sommario tecnico

Ecco una sintesi tecnica dettagliata del documento di ricerca "SBOMs into Agentic AIBOMs: Schema Extensions, Agentic Orchestration, and Reproducibility Evaluation", presentata in italiano.

1. Il Problema: Limiti degli SBOM Tradizionali

Il documento identifica una lacuna critica nella sicurezza della catena di approvvigionamento software (Software Supply Chain Security). Gli attuali Software Bill of Materials (SBOM) sono artefatti statici e descrittivi che forniscono un inventario delle dipendenze software, ma presentano limiti fondamentali:

• Mancanza di contesto dinamico: Non catturano il comportamento a runtime, le derive ambientali (environment drift) o il contesto di esecuzione reale.
• Incapacità di distinguere presenza ed exploitabilità: Un componente vulnerabile elencato in uno SBOM non è necessariamente sfruttabile nel contesto specifico. Gli SBOM tradizionali non possono determinare se un percorso di codice vulnerabile sia stato effettivamente eseguito o mitigato.
• Scarsa riproducibilità: In ambienti analitici regolamentati (come i Trusted Research Environments - TRE), le variazioni non osservate nel software o interpretazioni errate delle vulnerabilità possono invalidare i risultati, anche se codice e dati rimangono invariati.
• Sovraccarico di gestione: La gestione manuale di milioni di vulnerabilità (CVE) è insostenibile; il 95% delle vulnerabilità elencate negli SBOM potrebbe non essere sfruttabile, rendendo i controlli manuali inefficienti.

2. Metodologia: Il Framework Agentic AIBOM

La proposta centrale è l'introduzione degli Agentic Artificial Intelligence Bills of Materials (AIBOMs). Questo framework trasforma gli SBOM da inventari passivi ad artefatti di provenienza attivi, capaci di ragionamento autonomo vincolato da policy.

Architettura Multi-Agente

Il sistema si basa su tre agenti specializzati che operano in spazi di percezione distinti, coordinati per generare affermazioni di exploitabilità contestuali basate sullo standard ISO/IEC 20153:2025 (CSAF v2.0) e VEX (Vulnerability Exploitability eXchange):

1. MCP (Model-Container Profiler): Agente di ricostruzione dell'ambiente baseline.
   • Funzione: Analizza i metadati del contenitore e le dipendenze pre-esecuzione.
   • Decisione: Determina se l'ambiente è sufficientemente caratterizzato per la riproducibilità; attiva sonde aggiuntive se la completezza è inferiore al 95% o rileva derive rispetto alle basi storiche.
2. A2A (Agent-for-Agent Telemetry): Agente di monitoraggio runtime e rilevamento delle derive.
   • Funzione: Monitora i carichi dinamici, i moduli legati in ritardo (late-bound) e le delta delle feed CVE durante l'esecuzione.
   • Decisione: Classifica le anomalie (derive innocue vs. materiali) e determina se un percorso di codice vulnerabile è stato effettivamente eseguito.
3. AGNTCY (Governance and Policy Agent): Agente di ragionamento sulle policy e determinazione VEX.
   • Funzione: Combina le evidenze runtime (da A2A) con le policy di mitigazione e i vincoli dell'ambiente isolato.
   • Decisione: Genera affermazioni VEX strutturate (es. "Non Affetto", "Affetto: Mitigato", "Richiede Revisione") basate su prove concrete, non su punteggi di rischio generici.

Integrazione degli Standard

Il framework estende gli standard SBOM esistenti (CycloneDX e SPDX) con campi minimi e composizionali per catturare:

• Stato dell'ambiente di esecuzione.
• Evoluzione delle dipendenze.
• Provenienza delle decisioni degli agenti.
• Evidenze di advisory allineate a CSAF.

3. Contributi Chiave

• Definizione Concettuale e Tecnica: Formalizza i requisiti per trasformare gli SBOM in AIBOMs, integrando principi di IA distribuita e standard di vulnerabilità moderni.
• Architettura Multi-Agente Operativa: Presenta un sistema concreto dove agenti autonomi gestiscono la ricostruzione dell'ambiente, il monitoraggio delle derive e il ragionamento sull'exploitabilità, superando i limiti dell'automazione deterministica.
• Allineamento Normativo (ISO/IEC 20153:2025): Ancora il ragionamento degli agenti allo standard CSAF v2.0, rendendo le affermazioni di exploitabilità verificabili, interoperabili e auditabili, evitando valutazioni di rischio opache.
• Schema Esteso e Verificabile: Introduce uno schema JSON che lega criptograficamente l'SBOM, il contesto di esecuzione e le affermazioni VEX all'artefatto di output finale, garantendo la tracciabilità forense.

4. Risultati e Valutazione

Lo studio è stato valutato in ambienti analitici controllati (TRE) confrontando l'AIBOM agentic con framework di provenance esistenti come ReproZip, SciUnit e ProvStore.

• Punteggio di Riproducibilità: L'AIBOM ha raggiunto un punteggio del 98,6%, significativamente superiore a ReproZip (87,4%), SciUnit (73,2%) e ProvStore (61,8%).
• Overhead Computazionale: Il sistema introduce un carico minimo (~4% di CPU, <300MB di RAM), dimostrando di essere scalabile.
• Accuratezza delle Dipendenze: Miglioramento significativo nella cattura delle dipendenze runtime implicite e nella stabilità dell'interpretazione delle vulnerabilità rispetto ai sistemi statici.
• Studi di Ablazione: La rimozione di singoli agenti ha portato a un aumento del 14% dei falsi negativi (MCP rimosso), alla perdita del rilevamento delle derive runtime (A2A rimosso) e al collasso delle affermazioni VEX in semplici liste di CVE non contestualizzate (AGNTCY rimosso), confermando che ogni agente fornisce capacità metodologiche uniche e non replicabili.
• Metriche Decomposte: L'analisi ha mostrato che l'AIBOM eccelle in tutte e quattro le dimensioni critiche: Parità Esatta (Byte-Identical), Parità Semantica, Stato dell'Ambiente e Allineamento delle Affermazioni VEX/CVE.

5. Significato e Impatto

Questo lavoro segna un cambio di paradigma nella sicurezza della catena di approvvigionamento software:

• Da Passivo ad Attivo: Trasforma lo SBOM da un semplice elenco di ingredienti a un oggetto di cybersecurity attivo capace di ragionamento contestuale.
• Gestione del Rischio Realistica: Sposta il focus dalla semplice enumerazione delle vulnerabilità alla valutazione della loro sfruttabilità reale basata sull'ambiente di esecuzione, riducendo il rumore di fondo e permettendo una gestione del rischio più efficiente.
• Conformità e Audit: Fornisce un fondamento riproducibile e auditabile per ambienti regolamentati (come la sanità o la ricerca governativa), allineando la sicurezza informatica a standard internazionali (CSAF, GDPR, NIST).
• Futuro della Trasparenza: Dimostra che i futuri meccanismi di trasparenza non dovranno solo "registrare" lo stato del software, ma dovranno "ragionare" su di esso per rimanere efficaci in ecosistemi software sempre più autonomi e dinamici.

In sintesi, il paper propone una soluzione tecnica matura che integra intelligenza artificiale agente, standard di settore e rigorosi controlli di riproducibilità per affrontare le sfide complesse della sicurezza moderna della catena di approvvigionamento.