KI-PraxisAngewandte KI für Entscheider

← Alle Artikel
KI-Stückliste automatisiert: Google veröffentlicht k8s-aibom für Kubernetes
ai_regulation

KI-Stückliste automatisiert: Google veröffentlicht k8s-aibom für Kubernetes

⬇ OKF

Das Open-Source-Tool erstellt automatisch ML-BOMs und hilft KMU, Schatten-KI zu erkennen sowie die Transparenzpflichten des EU AI Act zu erfüllen.

Am 28. Juli 2026 hat Google Cloud das Open-Source-Werkzeug k8s-aibom veröffentlicht, das automatisiert KI-Stücklisten (Machine Learning Bill of Materials, ML-BOMs) für Kubernetes-Umgebungen erstellt. Wie der Konzern in seinem Cloud-Blog erläutert, erkennt der Controller laufende KI-Workloads wie vLLM oder Triton Inference Server und generiert daraus standardisierte CycloneDX-1.6-Dokumente – ohne Eingriffe in bestehende Pod-Spezifikationen. Die Computerwoche berichtet parallel über die wachsende Gefahr durch Schatten-KI und verweist auf einen Webcast zur Data Governance am selben Tag.

Hintergrund ist die zunehmende Verbreitung von Schatten-KI: Entwicklerteams setzen häufig nicht registrierte KI-Modelle und -Frameworks ein, die herkömmlichen Sicherheitsscannern entgehen. Gleichzeitig verlangt der EU AI Act ab 2026 eine lückenlose Dokumentation und Nachvollziehbarkeit aller KI-Systeme. Eine KI-Stückliste, ähnlich einer Software-Stückliste (SBOM), listet sämtliche Komponenten, Abhängigkeiten und Modellgewichte eines KI-Systems auf und wird damit zum zentralen Werkzeug für Compliance und Risikomanagement. k8s-aibom schließt eine Lücke, indem es nicht nur geplante, sondern auch tatsächlich laufende KI-Artefakte in Echtzeit erfasst. Der Controller beobachtet kontinuierlich die Kubernetes-API und identifiziert KI-Stacks anhand von Container-Images, Umgebungsvariablen und Kommandozeilenargumenten. Er erkennt dabei nicht nur Serving-Runtimes, sondern auch Agent-Frameworks wie LangChain oder AutoGen sowie Vektordatenbanken. Anders als reine Build-Time-Scanner liefert k8s-aibom einen Live-Inventar aller KI-Komponenten und schafft so die von Wirtschaftsprüfern geforderte Nachweiskette. Die generierten ML-BOMs werden als Custom Resource im Cluster hinterlegt und optional in Google Cloud Storage exportiert, wo sie durch eine DoesNotExist-Präcondition unveränderbar gespeichert werden – ein entscheidender Vorteil für Revisionssicherheit.

Was bedeutet das konkret für Ihren Betrieb?

Für mittelständische Unternehmen, die Kubernetes und KI einsetzen, bietet k8s-aibom eine ressourcenschonende Möglichkeit, Transparenz über ihre KI-Landschaft zu gewinnen. Das Tool läuft ohne privilegierte Rechte und erfordert keine Änderungen an Entwickler-Pods, sodass es sich leicht in bestehende GitOps-Workflows integrieren lässt. Die automatisch erstellten ML-BOMs lassen sich direkt für Audits nach EU AI Act Artikel 12 und 50 nutzen und reduzieren den manuellen Dokumentationsaufwand erheblich. Zudem stuft das integrierte Confidence Model jede Entdeckung als „declared“, „inferred“ oder „unresolved“ ein, sodass Compliance-Verantwortliche sofort erkennen, ob ein Modell bewusst konfiguriert wurde oder unkontrolliert läuft. Gerade für KMU, die oft keine dedizierten KI-Sicherheitsteams haben, vereinfacht diese Automatisierung den Nachweis der Sorgfaltspflicht gegenüber Aufsichtsbehörden.

Mittelfristig wird die automatisierte Erstellung von KI-Stücklisten zum Standard für jede regulierte KI-Nutzung. Unternehmen, die frühzeitig auf solche Werkzeuge setzen, verschaffen sich nicht nur einen Compliance-Vorsprung, sondern stärken auch ihre Cybersicherheit, indem sie unkontrollierte Datenabflüsse durch Schatten-KI unterbinden. Die Offenheit des CycloneDX-Formats stellt zudem die Interoperabilität mit bestehenden Sicherheits- und GRC-Plattformen sicher. Die nahtlose Einbindung in GitOps und die deterministische Arbeitsweise machen k8s-aibom zu einem Baustein für eine belastbare KI-Governance, die auch künftige Regulierungen wie die NIST AI RMF oder ISO/IEC 42001 adressiert.
💡 Handlungsempfehlung: Laden Sie das Open-Source-Tool k8s-aibom aus dem GitHub-Repository herunter und testen Sie es in einer isolierten Umgebung, um unentdeckte KI-Workloads in Ihren Kubernetes-Clustern zu identifizieren.

Haeufige Fragen

Wie kann ich unkontrollierte KI-Nutzung in meinem Unternehmen aufdecken?

Mit dem Open-Source-Tool k8s-aibom von Google Cloud können Sie automatisch alle KI-Workloads in Ihren Kubernetes-Clustern erkennen und als standardisierte KI-Stücklisten (ML-BOMs) dokumentieren, ohne bestehende Anwendungen zu verändern.

Welche Anforderungen des EU AI Act deckt eine KI-Stückliste ab?

Eine ML-BOM unterstützt die Nachweispflichten nach Artikel 12 (automatisierte Protokollierung) und Artikel 50 (Transparenzpflichten), indem sie alle Komponenten und Modellabhängigkeiten eines KI-Systems lückenlos auflistet.

#KIMittelstand#SchattenKI#ComplianceKMU#Kubernetes

Quellen — nachprüfbar

cloud.google.comcloud.google.comwww.computerwoche.de