針對人工智慧(AI)代理程式外掛普遍面臨的身分識別與安全挑戰,科技公司 Gen Digital(通用數位)旗下 Agent Trust Hub(ATH)平台近日提出「技能識別碼」(Skill ID)標準。這項新技術旨在為 AI 代理程式的技能提供獨特的內容指紋,以確保其真實性並強化整體生態系統的安全防護。
AI 代理外掛身分識別挑戰
傳統上,AI 代理程式的「技能」通常以包含程式碼、設定檔及說明文件的壓縮檔(ZIP)形式傳輸。然而,Gen Digital 在開發 Agent Trust Hub 平台時發現,由於壓縮工具、作業系統差異及封裝方式不一,即使內容相同,不同來源的壓縮檔也可能產生不同的雜湊值(hash),導致無法可靠地驗證技能來源或內容是否被篡改。這種非決定性(non-deterministic)的特性,使得基於簡單檔案雜湊的識別方法失效,因為時間戳記、壓縮層級、路徑符號(斜線或反斜線)、Unicode 正規化格式乃至於頂層目錄名稱的差異,都會造成雜湊值不同,使得同一技能從不同管道下載後被誤認為是兩個不同的項目。
借鑑 Git 雜湊機制建立技能識別碼
為了解決這項核心問題,Gen Digital 參考了 Git 在目錄樹雜湊方面的成熟經驗,設計出「技能識別碼」演算法。該演算法透過一系列標準化步驟,排除傳輸封裝層面的干擾,確保只有當技能的實質內容或結構發生有意義的變動時,才會產生新的識別碼。技能識別碼的生成流程包括:首先,從任何壓縮格式中提取檔案樹,並捨棄所有檔案中繼資料;接著,對所有路徑進行統一正規化,例如將反斜線轉換為正斜線、統一
Unicode 正規化格式、移除冗餘路徑分隔符號及開頭符號;第三步是去除多餘的頂層封裝目錄;第四步則是在雜湊計算中排除預留的簽章檔 skill.sig;之後,單獨計算每個檔案的 SHA-256 雜湊值;最後,將這些經過排序、包含類型、路徑與雜湊值的條目串接起來,進行最終的 SHA-256 雜湊,產生獨一無二的 64 位元十六進位技能識別碼。
技能識別碼強化多重安全防護
這種內容可尋址(content-addressable)的技能識別碼,為 AI 代理程式帶來了多項安全工作流程上的優勢。例如,它能實現類似傳統端點安全中的「允許清單」(allowlisting)機制,經審核的技能可快速通過驗證。同時,由於相同內容的技能會產生相同識別碼,有助於實現內容可尋址儲存,減少重複儲存。此外,藉由記錄每個檔案的雜湊值,可支援更精細的快取機制,大幅降低大型語言模型(LLM)驅動的安全性分析成本與延遲。在偵測方面,個別檔案的雜湊值可直接連結現有的威脅情報系統,標記惡意內容。更重要的是,技能識別碼提供了一個內建的版本追蹤機制,任何內容變動都會產生新的識別碼,無須依賴外在的版本編號或變更日誌。
導入數位簽章確保內容真實性
儘管技能識別碼能回答「這是什麼技能?」,但對於「誰發佈了它?」或「發佈後是否被篡改?」等真實性問題,則需要透過技能簽章來解決。Gen Digital 借鑒 Windows Authenticode 簽章的經驗,提出在技能目錄中內嵌 skill.sig 檔案的做法。該檔案使用 PKCS #7 / RFC 5652 規範的 CMS SignedData
封套,包含數位簽章、憑證鏈及時間戳記。在計算技能識別碼時,skill.sig 會被刻意排除,確保簽章本身不會影響技能的內容識別碼。這種機制支援作者簽章、市場證明、私有憑證機構等多元信任模型,並提供憑證撤銷(revocation)能力,共同構建起完整的技能真實性驗證體系。
建構可信任 AI 生態系統基石
Gen Digital 強調,AI 代理程式技能本質上就是一種程式碼,如同所有被分發、共享和執行的軟體一樣,在安全行業能應用既有工作流程之前,它們首先需要一個穩定的身分識別。技能識別碼與其正在開發的代理程式運行時動作透明標準 AARTS(Agent Runtime Action Transparency Standard)互補,前者負責載入前的身分識別與驗證,後者則監控運行時行為,共同為建構可信任的 AI 生態系統奠定基礎。該公司已將其規範與參考實作方案公布於 GitHub,鼓勵市場採用。
