當 NVIDIA 把「Skill Card」變成 AI 代理的營養標籤：5/22 Verified Agent Skills 上線，正值 HKMA OR-2 倒數最後一日

把日子排在一起看，會發現一個略帶巧合的時間表。五月二十二日，NVIDIA 在開發者部落格悄悄掛出一篇技術短文，宣布推出 Verified Agent Skills 框架；五月三十一日，香港金融管理局 OR-2《操作韌性》監管模組的最終合規期限正式到期，全港持牌銀行此後必須證明自身能在三年寬限期之外，把「韌性 + 風險治理」嵌進每一條業務流程。中間相隔不過九天，卻幾乎可以被視為同一句話的兩個半段——一邊是技術側交出第一份可程式化、可驗證、可審計的 AI 代理治理藍圖，一邊是監管側把「企業必須證明自己治得住」的最後一根弦繃緊。對亞洲企業而言，這是「代理治理」由口號落到合規動作的關鍵轉折點。

Verified Agent Skills 表面上是一個極具工程氣味的框架，但拆開來看，它解決的是一個極為現實的命題：當企業 IT 採購 AI 代理已成定局，CISO 與合規長要如何在不依賴白皮書與合約附件的情況下，回答一個本來應該屬於監管問卷的問題——「這個代理會不會在我的系統裡偷偷做我沒授權它做的事？」NVIDIA 的答案分成三件套：SkillSpector 掃描器、Skill Card 機器可讀標籤、加密簽章。三者疊在一起，本質上是要把代理生態裡每一個「skill」（亦即代理被允許執行的功能單元）的身分、能力與風險都做成一張可被自動讀取的卡片，並且每天更新。

SkillSpector 是其中最具話題性的一個元件。根據 NVIDIA 開發者部落格，這支由 NVIDIA 開源到 GitHub 上的掃描器，會檢查 16 個風險類別、共 64 種弱點模式，並把它們分成兩大類：傳統軟體側的「脆弱依賴、可疑腳本、危險程式碼樣式、憑證存取、資料外洩路徑」，以及代理側的「隱藏指令、prompt injection、觸發器濫用、過度代理權、tool poisoning，以及 skill 宣告用途與實際請求權限之間的不匹配」。後一類正是過去半年讓資安團隊夜不能寐的全新威脅面。Snyk 的 ToxicSkills 研究在不久之前掃描了 ClawHub 上 3,984 個 skill，其中 13.4% 存在嚴重資安問題、36% 含有 prompt injection、76 個確認帶有竊取憑證或後門 payload——這正是 SkillSpector 被推上前線的時間背景。