SBOMs into Agentic AIBOMs: Schema Extensions, Agentic Orchestration, and Reproducibility Evaluation

Dit artikel introduceert Agentic AIBOMs, een uitbreiding van traditionele SBOMs met een multi-agent architectuur die dynamische runtime-gedragingen en kwetsbaarheidscontext vastlegt om reproduceerbaarheid en exploitatiebeoordeling te verbeteren.

De kern

🍔 Van een Simpele Ingrediëntenlijst naar een Slimme, Levensechte Chef

Stel je voor dat je een restaurant hebt dat superveilig en betrouwbaar moet zijn. Elke keer als je een gerecht serveert, moet je een lijst van ingrediënten (een Software Bill of Materials of SBOM) bij de klant leggen.

Het oude probleem:
De huidige lijsten zijn als een statische, dode papieren lijst. Ze zeggen: "We hebben 200 gram tomaten, 100 gram kaas en een snufje zout gebruikt."
Maar ze zeggen niet:

• Was de tomaat vers of begon hij al te rotten?
• Was de kaas gesmolten of nog hard?
• Was er een giftige muis in de keuken gelopen die de kaas aanraakte?
• Was het gerecht eigenlijk wel veilig om te eten, of was de kaas weliswaar aanwezig, maar door een speciale deksel afgeschermd zodat het niet kon bederven?

In de digitale wereld zijn deze lijsten (SBOMs) vaak onvoldoende. Ze weten wat er in de software zit, maar niet hoe het zich gedraagt terwijl het werkt. Als er een virus (een kwetsbaarheid) in een onderdeel zit, weten ze niet of dat virus ook daadwerkelijk gevaarlijk is voor jouw specifieke situatie.

De nieuwe oplossing: De "Agentic AIBOM"
Dr. Petar Radanliev en zijn team hebben een oplossing bedacht die ze een AIBOM noemen. Denk hierbij niet aan een dode lijst, maar aan een slimme, levende chef-kok met drie speciale helpers die de hele tijd meekijken en meedenken.

In plaats van alleen te zeggen "dit zit erin", zegt dit systeem: "Dit zit erin, en hier is wat er echt mee gebeurt, en hier is of het veilig is."

De Drie Slimme Helpers (Agents)

Het systeem werkt met drie autonome "agenten" (slimme software-assistenten) die samenwerken:

1. De "Basis-Check" Chef (MCP):

   • Wat hij doet: Voordat het koken begint, checkt hij of de keuken (de computeromgeving) precies zo is als hij zou moeten zijn.
   • Analogie: Hij kijkt of de koelkast op de juiste temperatuur staat en of de ingrediënten niet zijn verwisseld met die van gisteren. Als iets niet klopt, roept hij: "Stop! De basis is niet veilig."

2. De "Live-Kijker" Chef (A2A):

   • Wat hij doet: Tijdens het koken (het draaien van de software) houdt hij de vinger aan de pols.
   • Analogie: Hij ziet of er onverwachts een extra ingrediënt wordt toegevoegd, of dat de pan plotseling heet wordt, of dat er een onbekend dier de keuken binnenkomt. Hij ziet wat er echt gebeurt, niet alleen wat er op papier staat.

3. De "Veiligheids-Expert" Chef (AGNTCY):

   • Wat hij doet: Hij neemt alle informatie van de andere twee en beslist of het gerecht veilig is om te serveren.
   • Analogie: Hij ziet dat er een giftige paddenstoel in de pan zit (een virus). Maar hij kijkt ook: "Wacht, we hebben een speciaal deksel op de pan gedaan en de paddenstoel raakt de rest niet aan."
   • Zijn conclusie: "Niet gevaarlijk voor deze klant" (in plaats van "Gevaarlijk, gooi alles weg"). Hij maakt een VEX-verklaring: een officieel certificaat dat zegt: "Ja, het gevaar is er, maar het is hier onschadelijk gemaakt."

Waarom is dit zo belangrijk?

Stel je voor dat je een auto koopt. De fabrikant geeft je een lijst met onderdelen: "Hier zit een rem, hier zit een motor."

• Oude manier: Als er een remprobleem bekend is, moet je je auto direct laten sluiten, ook al heb jij die rem nooit gebruikt of is hij al vervangen.
• Nieuwe manier (AIBOM): De slimme agenten kijken naar jouw auto. Ze zien: "Die rem zit er wel in, maar jij rijdt alleen in de stad en die rem wordt nooit gebruikt. Dus je auto is veilig."

Dit bespaart enorme hoeveelheden tijd en geld, en voorkomt dat mensen onnodig bang zijn voor gevaren die voor hen niet bestaan.

De "Gouden Stempel" (ISO-standaard)

Het mooie aan dit systeem is dat het niet zomaar een eigen taal spreekt. Het gebruikt een nieuwe, wereldwijde standaard (ISO/IEC 20153:2025).

• Analogie: Het is alsof de chef-kok niet alleen in het Nederlands praat, maar een internationaal erkend diploma toont dat door elke inspecteur ter wereld wordt begrepen. Als de agent zegt: "Dit is veilig," dan is dat een officieel, controleerbaar bewijs, geen giswerk.

Wat levert dit op?

1. Betrouwbaarheid: Als je een berekening doet (bijvoorbeeld in een ziekenhuis of voor de belastingdienst), kun je later exact narekenen hoe het is gedaan. Niemand kan zeggen: "Oh, ik heb een andere versie gebruikt." Het systeem heeft alles vastgelegd.
2. Weinig extra werk: Het kost de computer nauwelijks extra energie om deze slimme agenten te laten werken. Het is als een slimme thermostaat die weinig stroom kost, maar wel veel comfort geeft.
3. Veiligheid zonder paniek: In plaats van alles te blokkeren omdat er een potentieel gevaar is, kijkt het systeem naar de context. Het maakt onderscheid tussen "theoretisch gevaarlijk" en "feitelijk gevaarlijk".

Conclusie

Dit onderzoek verandert de manier waarop we naar software kijken. We gaan van een dode inventarislijst (wat zit erin?) naar een levend, bewakend systeem (hoe werkt het en is het veilig?).

Het is alsof we van een statische foto van een keuken zijn gegaan naar een live-camera met drie slimme chefs die je vertellen of het eten veilig is, gebaseerd op wat er echt gebeurt, niet alleen op wat er op de boodschappenlijst staat. Dit maakt onze digitale wereld veiliger, transparanter en betrouwbaarder.

Technische samenvatting

Hier is een gedetailleerde technische samenvatting van het artikel "SBOMs into Agentic AIBOMs: Schema Extensions, Agentic Orchestration, and Reproducibility Evaluation" in het Nederlands.

Titel: Van SBOMs naar Agente AIBOMs: Schema-extensies, Agentische Orkestratie en Evaluatie van Reproduceerbaarheid

Auteur: Dr. Petar Radanliev (Universiteit van Oxford, The Alan Turing Institute) en collega's.

---

1. Het Probleem

Softwarebeveiliging in de supply chain leunt momenteel sterk op Software Bills of Materials (SBOMs). Hoewel SBOMs een machine-leesbaar inventaris van softwarecomponenten en afhankelijkheden bieden, hebben ze fundamentele beperkingen:

• Statisch karakter: Ze zijn puur beschrijvend en bevatten geen informatie over runtime-gedrag, omgevingsdrift (wijzigingen in de uitvoeringsomgeving) of de context van kwetsbaarheden.
• Gebrek aan context: Een SBOM kan niet onderscheiden of een kwetsbaarheid in een specifieke omgeving daadwerkelijk exploiteerbaar is. Dit leidt tot een overvloed aan valse positieven (bijv. 95% van de kwetsbaarheden in een SBOM is vaak niet exploiteerbaar in het eindproduct).
• Reproduceerbaarheid: In gereguleerde omgevingen (zoals Trusted Research Environments - TREs) kunnen onopgemerkte software-drifts of misinterpretaties van kwetsbaarheden de reproduceerbaarheid van analyses en de geldigheid van veiligheidsaudits ondermijnen.
• Beperkte automatisering: Bestaande tools kunnen niet dynamisch beslissen over de exploitatiecontext op basis van runtime-gegevens, wat handmatig ingrijpen vereist.

2. Methodologie: Agente AIBOMs

De auteurs introduceren Agente Artificial Intelligence Bills of Materials (AIBOMs). Dit zijn geen passieve inventarissen, maar actieve, bewijskrachtige artefacten die software-samenstellingsdata combineren met autonome, beleidsgeconstrueerde redenering.

Architectuur (Multi-Agent Systeem):
Het raamwerk maakt gebruik van drie gespecialiseerde agenten die werken binnen een gedefinieerde perceptieruimte en interne staat:

1. MCP (Baseline Environment Reconstruction Agent):
   • Functie: Reconstructie van de baseline-omgeving voor uitvoering.
   • Actie: Controleert de volledigheid van de SBOM vóór uitvoering. Als de volledigheid <95% is, triggert deze agent proactief extra dependency-probing.
2. A2A (Runtime Dependency & Drift-Monitoring Agent):
   • Functie: Monitoring van runtime-gebeurtenissen en drift.
   • Actie: Detecteert dynamisch geladen modules, late binding en afwijkingen van de verwachte afhankelijkheidsgrafieken tijdens de uitvoering. Het bepaalt of een kwetsbare code-pad daadwerkelijk is uitgevoerd.
3. AGNTCY (Policy-Aware Vulnerability & VEX Reasoning Agent):
   • Functie: Redenering over exploitatie en beleidsbinding.
   • Actie: Combineert runtime-bewijs met mitigaties (bijv. sandbox-beperkingen) om VEX (Vulnerability Exploitability eXchange)-asserties te genereren. Deze agent bepaalt of een kwetsbaarheid "Niet Beïnvloed", "Beïnvloed: Gemitigeerd", "Beïnvloed: Vereist Beoordeling" of "Onder Onderzoek" is.

Schema-extensies en Standaarden:

• De AIBOM breidt bestaande standaarden uit (CycloneDX en SPDX) met minimale, compatibele velden voor runtime-context, dependency-evolutie en agentische besluitvorming.
• De exploitatieasserties zijn gebaseerd op de ISO/IEC 20153:2025 standaard (die de OASIS CSAF v2.0 tot internationaal standaard verheft), wat zorgt voor machine-verifieerbare en interoperabele advisories.
• Cryptografische koppeling: De SBOM wordt cryptografisch gebonden aan het output-artefact via een samengestelde hash (SHA-256) over {SBOM, script, config, output}, wat integriteit en forensische traceerbaarheid garandeert.

3. Belangrijkste Bijdragen

1. Conceptuele Shift: Transformatie van SBOMs van statische lijsten naar actieve, agentische artefacten die context, bewijs en redenering bevatten.
2. Technisch Raamwerk: Een werkend multi-agent systeem (MCP, A2A, AGNTCY) dat runtime-observatie koppelt aan beleidsmatige kwetsbaarheidsbeoordeling.
3. Validatie en Ablatie: Bewijs dat elke agent een unieke, niet-reproduceerbare bijdrage levert. Zonder agenten daalt de reproduceerbaarheid en de nauwkeurigheid van kwetsbaarheidscontext aanzienlijk.
4. Compliance-uitlijning: Een matrix die AIBOM-gegevens koppelt aan regelgeving zoals GDPR, NIST SP 800-53, en ISO/IEC 20153:2025, waardoor AIBOMs dienen als bewijs voor audits.

4. Resultaten en Evaluatie

De methode is geëvalueerd in gecontroleerde, gereguleerde analytische omgevingen (TREs) met diverse werklasten (logistieke regressie, data-ETL, disclosure control).

• Vergelijking met Bestaande Tools:
  • De AIBOM-implementation scoorde 98,6% op reproduceerbaarheid, vergeleken met ReproZip (87,4%), SciUnit (73,2%) en ProvStore (61,8%).
  • Overhead: Zeer laag (~4% CPU, <300MB RAM), wat lager is dan veel bestaande oplossingen.
  • Contextuele VEX: AIBOM is de enige oplossing die volledige contextuele VEX-ondersteuning biedt (runtime-bewijs + mitigaties), terwijl andere tools dit niet doen.
• Ablatiestudies:
  • Zonder MCP: De volledigheid van de SBOM daalde met 14% (meer valse negatieven).
  • Zonder A2A: Runtime-drift en dynamische dependencies werden gemist; exploitatiecontext was niet beschikbaar.
  • Zonder AGNTCY: VEX-asserties vervielen tot oncontextualiseerde CVE-lijsten zonder beleidsbinding.
• Reproduceerbaarheid: Het systeem slaagde erin om omgevingen exact te reconstrueren en byte-identieke of semantisch equivalente outputs te garanderen, zelfs bij heterogene infrastructuur.

5. Betekenis en Toekomstperspectief

• Van Passief naar Actief: Dit onderzoek markeert een verschuiving in softwarebeveiliging: van het simpelweg registreren van componenten naar het redeneren over hun veiligheid in een specifieke context.
• Regulatorische Impact: Door de integratie van ISO/IEC 20153:2025 (CSAF v2.0) en gestructureerde VEX-asserties, bieden AIBOMs een standaardisatie die direct bruikbaar is voor auditors en regelgevers in sectoren zoals gezondheidszorg en overheidsdata.
• Beperkingen en Toekomst:
  • Huidige implementatie genereert contextuele VEX-asserties, maar automatische beleidsblokkering (workflow blokkeren op basis van VEX-status) is nog toekomstwerk.
  • De agenten zijn momenteel regelgebaseerd; toekomstig onderzoek kan kijken naar leerondersteunde beslissingen zonder in te boeten aan uitlegbaarheid.
  • Schaalbaarheid naar federated environments en HPC-werklasten vereist verder onderzoek.

Conclusie:
De paper demonstreert dat agente AIBOMs een noodzakelijke evolutie zijn voor software supply chain security in dynamische omgevingen. Ze lossen het probleem op van "hoeveel kwetsbaarheden zijn er echt relevant?" door runtime-context te integreren, en bieden een reproduceerbaar, audit-proof raamwerk dat voldoet aan de strengste veiligheids- en privacy-eisen.