本文へスキップ

GKE上のshadow AIを追跡、Googleがk8s-aibomを公開

Original: Securing the AI supply chain on GKE: Introducing k8s-aibom for automated AI BOMs View original →

Read in other languages: 한국어English
AI Jul 14, 2026 By Insights AI 1 min read Source

AIガバナンスの難所は、モデルを出す前の書類だけではなく、クラスタ内でいま何が動いているかを証明することに移っている。vLLM、Triton、Ollama、LangChain、AutoGen、vector database、RAG系コンポーネントが開発チーム主導で増えるほど、セキュリティチームの可視性は遅れやすい。Google Cloudが2026年7月14日に公開した k8s-aibom は、その棚卸しをKubernetesの実行時に寄せる。

k8s-aibomはGKEを含むKubernetes向けのオープンソースcontrollerだ。KServeリソース、Deployment、StatefulSet、DaemonSet、Jobを監視し、container image、環境変数、command-line argumentの手がかりからAI serving runtime、agent framework、vector store、RAG store、分散学習job、評価harnessを検出する。生成される出力はOWASP CycloneDX 1.6のMachine Learning Bill of Materialsだ。

この設計の読みどころは、開発者側の変更をほとんど要求しないことにある。pod specの変更、sidecar注入、privileged DaemonSet、eBPF module、CI/CD pipelineの変更を前提にしない。shadow AIのように正式登録されていないworkloadを把握したい場合、摩擦の小ささは実用性そのものになる。

検出結果はconfidence modelで分類される。明示的に指定されたものは“declared”、pattern matchingから判断したものは“inferred”、AI workloadの存在は見えるがmodel parameterやweight versionを確定できないものは“unresolved”として扱われる。監査ではこの差が大きい。人間が宣言した構成とcontrollerが推定した構成を同じ重みで扱わずに済むからだ。

Google Cloudは、Cloud Storageへの外部出力ではobject creation preconditionを使い、記録済みのML-BOMが後から静かに上書きされないようにすると説明している。EU AI Actのloggingやtransparency、NIST AI RMF、ISO/IEC 42001との接続も示された。AI securityの主戦場は、prompt対策だけでなく実行中のmodel-servingとagent infrastructureの証跡管理へ広がっている。

Share: Long

Related Articles