软件供应链安全需要能够支持在动态执行条件下进行可重复性和漏洞评估的来源机制。传统的软件物料清单（SBOM）提供静态的依赖关系清单，但无法捕捉运行时行为、环境变化或可利用性上下文。本文介绍了基于智能代理的人工智能物料清单（AIBOM），通过自主的、受策略约束的推理将SBOM扩展为活跃的来源信息。我们提出了一个基于多代理架构的AIBOM框架，包括：（i）基线环境重建代理（MCP）；（ii）运行时依赖关系和变化监控代理（A2A）；以及（iii）具有策略感知能力的漏洞和VEX推理代理（AGNTCY）。这些代理通过结合运行时执行证据、依赖关系使用情况以及环境缓解措施，并利用ISO/IEC 20153:2025通用安全咨询框架（CSAF）v2.0的语义，生成上下文相关的可利用性断言。可利用性是通过结构化的VEX断言来表达的，而不是通过执行动作来体现的。该框架对CycloneDX和SPDX进行了最小化的、符合标准的模式扩展，同时保留了互操作性，能够捕捉执行上下文、依赖关系变化以及代理决策的来源信息。与现有的来源管理系统相比，评估结果显示，在异构分析工作负载中，该框架在运行时依赖关系的捕获、可重复性的准确性以及漏洞解释的稳定性方面都有所提升，且计算开销较低。消融实验进一步证实，每个代理都提供了确定性自动化无法实现的功能。