https://OpenChain-Project.github.io/OpenChain-KWG/tags/%EB%B3%B4%EC%95%88/Recent content in 보안 on OpenChain KWGHugokohttps://OpenChain-Project.github.io/OpenChain-KWG/guide/ai-sbom_guide/5-tools/3-scanners/Mon, 01 Jan 0001 00:00:00 +0000https://OpenChain-Project.github.io/OpenChain-KWG/guide/ai-sbom_guide/5-tools/3-scanners/<p>이 페이지는 AI SBOM 생성을 보완하는 분석·식별 도구를 소개한다. 생성 도구(OWASP AIBOM Generator, cdxgen)가 &ldquo;무엇이 들어 있는가&quot;를 기록한다면, 이 도구들은 &ldquo;그것이 안전한가&quot;와 &ldquo;어떤 버전인가&quot;를 본다. 아래 명령과 기능은 각 도구의 공식 문서를 기준으로 정리했다(이 가이드에서 직접 실행한 도구는 <a href="https://OpenChain-Project.github.io/OpenChain-KWG/guide/ai-sbom_guide/5-tools/1-aibom-generator/">OWASP AIBOM Generator</a>와 <a href="https://OpenChain-Project.github.io/OpenChain-KWG/guide/ai-sbom_guide/5-tools/2-cdxgen/">cdxgen</a>이다).</p> <h2 id="lab700x-ai-sbom-scanner--모델-바이너리-정적-분석">Lab700x AI SBOM Scanner — 모델 바이너리 정적 분석</h2> <p>AI 모델 파일 자체를 정적 분석해 정보를 추출하는 도구다. <code>.safetensors</code>, <code>.pt</code>(PyTorch), <code>.pkl</code>(Pickle) 같은 모델 바이너리를 실행하지 않고 직접 들여다본다(deep introspection).</p> <ul> <li><strong>주요 기능</strong>: 모델을 실행(Execute)하지 않고 내부 구조를 파악하므로, 모델 파일에 숨겨진 악성 코드(Pickle 인젝션 등)나 취약점, 라이선스 위반 요소를 배포 전에 검출한다.</li> <li><strong>AI SBOM에서의 역할</strong>: 외부에서 도입한 모델을 인입 게이트에서 검사하는 데 쓴다. <a href="https://OpenChain-Project.github.io/OpenChain-KWG/guide/ai-sbom_guide/2-ai-extension/1-license-obligations/">3.5 라이선스 의무</a>의 인입 메타데이터 강제와 결합하면, 메타데이터 검증과 바이너리 안전성 검사를 함께 수행할 수 있다.</li> </ul> <p>Pickle 형식 모델은 역직렬화 시 임의 코드가 실행될 수 있어 공급망 위험이 크다. 모델을 실행하지 않고 검사한다는 점이 이 도구의 핵심이다.</p>