自主 AI 智能体的能力正不断增强。开放模型、模型上下文协议(MCP)连接的工具以及可移植技能,使得智能体更易于扩展。然而,若要以结构透明和操作完整的方式扩展智能体的使用,仅靠运行时防护措施是不够的。组织和团队必须能够理解并信任智能体所使用的技能或指令。
NVIDIA 验证的技能可帮助开发者了解其能力、追溯技能来源、确认是否经过常见风险扫描,以及判断发布后是否被修改,从而弥补这一差距。在实际工作流程中,当技能被重复使用和部署,而非作为孤立、不透明的捆绑包处理时,技能验证尤为重要。
经过验证的技能将透明度、来源、安全验证和真实性检查融入智能体的能力层,帮助开发者更有信心地扩展自主智能体。所谓“已验证”,是指通过技能卡对技能进行编目、扫描、签名和记录。这些经过验证的技能基于 agentskill.io 的开放技能规范,确保同一份 SKILL.md 文件在 Claude Code、Codex 和 Cursor 等 AI 编码智能体中都能可靠运行。
本文将介绍什么是 NVIDIA 智能体技能及其验证方式、技能卡的工作原理,以及您如何在自己的智能体工作流中更安全、更自信地部署智能体技能。
NVIDIA 智能体技能是什么?
NVIDIA 智能体技能是一套可移植的指令集,用于指导 AI 智能体如何正确使用 NVIDIA CUDA-X 库、AI Blueprint 及平台工具。NVIDIA/技能 GitHub 仓库中发布的 NVIDIA 认证技能包括:
- 每天从拥有它的 NVIDIA 产品团队处进行编目和同步
- 在发布前扫描软件和智能体原生风险
- 使用分离的 skill.oms.sig 签名,可在下载后验证
- 记录技能卡片,描述所有权、依赖关系、限制和验证状态
下一层是评估。它将添加标准化的质量指标、触发准确性、任务完成率和词元效率,并在推出时根据普通线束进行衡量。
智能体技能如何验证?
NVIDIA 验证的技能始于产品团队拥有的源库。接下来,它将经历一个发布流程,其中可能包括人工审核和自动策略检查,然后是扫描、评估、技能卡片生成、签名、编目和同步到公共目录中。
每个经过验证的技能都与技能卡片配对,这是一种机器可读信任记录,解释了以下几点:
- 技能的作用
- 谁构建了技能
- 该技能如何获得许可
- 技能依赖项是什么
- 该技能的已知技术限制、风险和缓解措施是什么
随着时间推移,评估已融入同一验证流程中(图1)。这种方法在保持基于 SKILL.md 的技能开放性和可移植性的同时,嵌入了开发者可信赖的信任链层级。更多详情请参阅技能文档。
经过验证的技能如何为技能层带来信任?
NVIDIA 已通过 NVIDIA NeMo Guardrails 库为智能体系统嵌入了信任机制,涵盖控制、隐私和基于策略的防护措施。资源如 NVIDIA OpenShell 和 NVIDIA NemoClaw 等工具则专注于智能体的运行方式,包括沙盒执行、对文件和网络的受控访问,以及敏感操作相关的策略执行。
经过验证的技能将这种 AI 治理扩展到智能体能力。运行时控制有助于控制智能体在执行期间的行为。经过验证的技能可以控制进入工作流的功能,并成为跨编码工具、注册表和企业平台扩展信任代理的常用方式。
在技能发布之前,扫描如何帮助降低风险?
在技能被收录至NVIDIA技能目录前,NVIDIA会通过SkillSpector在发布验证流程中对该技能进行检测。该方法将技能视为可部署的智能体能力,而非静态提示。SkillSpector会检查传统软件风险,包括存在漏洞的依赖项、可疑脚本、危险代码模式、凭据访问以及数据泄露路径。
SkillSpector 还会检查智能体特定的风险,例如隐藏指令、提示注入、触发滥用、过度代理、工具污染,以及技能声明的用途、请求的访问权限和捆绑行为之间的不匹配。意图层很重要:在引导智能体转向不安全行为、请求超出其用途要求的更广泛的访问权限,或描述一项任务而捆绑的伪影支持另一项任务时,技能在文件级别看起来可能是无害的。
此过程会产生结构化的审查信号,帮助 NVIDIA 在发布之前阻止或补救具有风险的技能。
SkillSpector 的扫描范围基于公认的 AI 安全治理框架,包括 OWASP 针对大语言模型(LLM)的指南、代理式 AI 风险,以及 MITRE ATLAS。 NVIDIA Skills 扫描文档 列出了当前的覆盖内容,并将随着扫描类别和供应链检查的扩展持续更新。
加密签名如何为智能体技能添加可验证的来源?
NVIDIA 正在公开测试用于智能体技能的加密签名,作为其更广泛的企业级部署验证路线图的一部分。此举旨在帮助开发者更轻松地信任并复用 NVIDIA 在不同环境中发布和部署时所需的已验证技能。
签名涵盖技能目录中的每个文件和子目录,为开发者提供了一种具体的方法来验证下载的技能是否真实且未发生变化。这就是验证技能与仅与已知发行商关联或在可信目录中列出的资产的区别。许多注册服务器可以识别素材的上传者;让开发者在下载后以加密方式验证素材本身的服务器要少得多。在技能生态系统中,信任应来自可验证的完整性和真实性,而不仅仅是隐含的来源。
有关证书检索、支持的验证工具和示例验证命令,请参阅签名文档。例如,您可以在本地验证签名技能。为此,请按照以下步骤操作:
- 以
nv-agent-root-cert.pem身份下载 NVIDIA 代理能力根证书 - 安装 OpenSSF 模型签名 (OMS) 验证器,例如
pip install model-signing - 执行以下命令以验证技能签名:
$ model_signing verify certificate SKILL_DIR \ --signature SKILL_DIR\skill.oms.sig \ --certificate-chain nv-agent-root-cert.pem \ --ignore-unsigned-files |
技能卡片的工作原理是什么?
GitHub 上的技能卡片模板说明了该模式的运作方式、技能的构建方法、数据流的指定方式,以及随着规范更新,哪些字段为必填项,哪些为可选项。
例如,假设开发一个交付调度智能体的开发者在安装 NVIDIA cuOpt 路由技能 前,想了解三件事:该技能的作者是谁、该技能是否可在 cuOpt 求解器端点之外访问,以及底层优化器是否已通过实际路由基准验证。 cuOpt 技能卡 通过一个机器可读文件回答了这三个问题。智能体会在加载技能时一并加载此文件,从而无需对每次安装进行人工审核。
技能卡如何使信任元数据变得可行?
技能卡片是信任集中的地方。技能卡片中的信息对开发者和企业架构师都很有用。开发者可以检查技能是否与目标智能体兼容,快速确认部署前的依赖项,并了解技能将如何运作。此外,企业团队可以先查看已知风险、故障安全控制和验证状态,然后再允许更广泛的技能部署。
在 NVIDIA,可信 AI 源于透明度、技能的用途,以及如何将这些信息有效传达给开发者,以支持其评估与部署。为此,我们很高兴推出技能卡片模板及技能卡片生成器。技能卡片模板中的所有必填字段均可自动生,并支持人工审核。通过向公众开放这些资源,NVIDIA 诚邀社区共同参与,以更透明的方式开发技能、智能体等。
开始使用 NVIDIA 认证的智能体技能
如果您在真实环境中部署智能体,信任将超越运行时。您需要了解功能的来源、是否通过安全检查,以及是否在发布后进行了修改。经过验证的技能有助于以易于移植的方式回答这些问题。
例如,要开始使用 cuOpt 验证技能,请执行以下步骤:
1. 从目录中提取 cuOpt 验证技能:
git clone github.com/nvidia/skills && cd skills/skills/cuopt |
2. 验证签名:
model_signing verify certificate. --signature skill.oms.sig --certificate-chain nv-agent-root-cert.pem --ignore-unsigned-files |
3. 打开 SKILLCARD.yaml,查看所有权、依赖项、许可证和验证状态。
如需了解详情,请访问Skills 文档查看所有可用技能,或浏览NVIDIA/skills GitHub 资源库。
致谢
感谢 Alec Evangelista、Mohit Gupta 和 Isabel Hulseman 为本工作所做的贡献。
