GKE上のshadow AIを追跡、Googleがk8s-aibomを公開
Original: Securing the AI supply chain on GKE: Introducing k8s-aibom for automated AI BOMs View original →
AIガバナンスの難所は、モデルを出す前の書類だけではなく、クラスタ内でいま何が動いているかを証明することに移っている。vLLM、Triton、Ollama、LangChain、AutoGen、vector database、RAG系コンポーネントが開発チーム主導で増えるほど、セキュリティチームの可視性は遅れやすい。Google Cloudが2026年7月14日に公開した k8s-aibom は、その棚卸しをKubernetesの実行時に寄せる。
k8s-aibomはGKEを含むKubernetes向けのオープンソースcontrollerだ。KServeリソース、Deployment、StatefulSet、DaemonSet、Jobを監視し、container image、環境変数、command-line argumentの手がかりからAI serving runtime、agent framework、vector store、RAG store、分散学習job、評価harnessを検出する。生成される出力はOWASP CycloneDX 1.6のMachine Learning Bill of Materialsだ。
この設計の読みどころは、開発者側の変更をほとんど要求しないことにある。pod specの変更、sidecar注入、privileged DaemonSet、eBPF module、CI/CD pipelineの変更を前提にしない。shadow AIのように正式登録されていないworkloadを把握したい場合、摩擦の小ささは実用性そのものになる。
検出結果はconfidence modelで分類される。明示的に指定されたものは“declared”、pattern matchingから判断したものは“inferred”、AI workloadの存在は見えるがmodel parameterやweight versionを確定できないものは“unresolved”として扱われる。監査ではこの差が大きい。人間が宣言した構成とcontrollerが推定した構成を同じ重みで扱わずに済むからだ。
Google Cloudは、Cloud Storageへの外部出力ではobject creation preconditionを使い、記録済みのML-BOMが後から静かに上書きされないようにすると説明している。EU AI Actのloggingやtransparency、NIST AI RMF、ISO/IEC 42001との接続も示された。AI securityの主戦場は、prompt対策だけでなく実行中のmodel-servingとagent infrastructureの証跡管理へ広がっている。
Related Articles
Google CloudはAlphaEvolveをGemini Enterprise Agent Platformで一般提供に移した。BASFの計画モデル80%超改善、Coolblueの需要予測5%超改善、FM Logisticの倉庫routing 10.4%改善など、実運用の数字を前面に出している。
Five Eyesのサイバー情報機関が、frontier AIによる攻撃・防御能力の変化は数年先ではなく数カ月先だと警告した。企業にとっては技術部門だけの課題ではなく、事業継続と市場信頼に関わる経営リスクになる。
公開Issueに埋め込んだ指示がprivate repositoryへのアクセスにつながる可能性が示され、HNではagent権限の切り方が論点になった。