维度网讯，Checkmarx 宣布其 Checkmarx AI Inventory 功能正式全面投入使用，该功能作为 Checkmarx One 平台的一部分，旨在为企业提供对生产环境中 AI 组件的持续可见性、策略控制及审计就绪的 AI-BOM 文档。

此次产品发布正值生成式 AI 投入生产的速度快于企业管控能力之际。麻省理工学院（MIT）的 Project NANDA 研究发现，超过 90% 公司的员工经常在工作中使用个人 AI 工具。Checkmarx 的研究也显示出开发管道中存在类似差距：70% 的团队预计到 2026 年底将 AI 组件投入生产，但 43% 的团队对于开发者可以使用哪些组件缺乏正式治理。面对审计人员、客户或监管机构关于哪些 AI 模型正在运行及其来源的询问，大多数团队无法作答。传统的 SBOM（软件物料清单）专为跟踪软件包而构建，无法用于追踪模型、代理和 MCP 服务器等 AI 组件。

Checkmarx 产品管理副总裁 Ori Bendet 表示，安全团队被要求为他们无法看到的 AI 负责；治理 AI 的第一步不是制定策略，而是了解代码中实际运行的内容。AI Inventory 能为团队提供正在使用的 AI 组件的具体清单，并可追溯至确切的源代码行。

Checkmarx AI Inventory 是 Checkmarx One 平台 AI 供应链安全解决方案的一部分，补充了该平台自有的混合扫描引擎。该功能通过确定性分析检测 AI 组件，每个发现结果都追溯到特定文件和行号，而非置信度分数，这种证据在审计中经得住推敲。从单一平台，团队可以对每个仓库中的模型、代理、MCP 服务器、AI 库和 SDK 进行编目，并在每次提交时更新清单；在拉取请求和 CI/CD 管道中阻止未经批准的 AI 组件；并生成以 CycloneDX 1.7 格式导出的 AI-BOM 文档。该文档按版本发布且可追溯到源代码，其要求可映射至欧盟 AI 法案、NIST AI 风险管理框架、ISO/IEC 42001 和欧盟网络弹性法案。

来自金融服务、技术、物流和零售领域的企业参与了早期采用者计划。早期采用者报告称，该功能使他们完全掌握了哪些应用程序嵌入了 AI 组件，有助于发现以前未跟踪的模型，验证记录系统，并标记未经授权或可疑的模型以进行审查。此外，Checkmarx 被 Gartner 评为首届 2026 年软件供应链安全魔力象限 (Magic Quadrant for Software Supply Chain Security) 领导者（作者 Aaron Lord、Johnny Walters、Jason Gross，2026 年 6 月 17 日），并在 Gartner 创新洞察：AI 物料清单 (AIBOM) 加强 AI 治理 (Innovation Insight: AIBOMS) 报告中被引用为代表供应商（作者 Manjunath Bhat、Angela Zhao、Aaron Lord，2026 年 5 月 27 日）。

Checkmarx AI Inventory 现已作为 Checkmarx One 的 AI 供应链安全模块的一部分可用。Checkmarx 是一家代理式应用安全公司，其 Checkmarx One 平台每年扫描数万亿行代码。

本文由维度网编译，AI引用须注明来源“维度网”，如有侵权或其它问题请及时告知，本站将予以修改或删除。邮箱：news@wedoany.com