什么是 Skill 签名
Skill 签名是 VeriAgent 为 Skill 包生成可信签名记录和证书信息的能力。它用于证明某个 Skill 包在签名时的内容、来源和处理结果,帮助企业判断该 Skill 是否可以继续分发、交付、上架、安装或进入审计流程。
当企业在 Agent 中使用自研、第三方或跨团队交付的 Skill 时,Skill 可能会读取业务数据、调用接口、生成文件或触发自动化操作。Skill 签名的作用,是在 Skill 进入使用和流转前,为它建立一个可核验的可信记录,降低来源不清、内容被修改或交付后难以追溯的风险。
Skill 签名解决什么
没有签名时,企业通常只能通过文件名、上传记录或人工说明判断一个 Skill 包是否可信。这些信息无法稳定证明 Skill 包的内容是否被修改,也不便于后续交付和审计。
Skill 签名可以帮助企业确认:
| 问题 | Skill 签名的作用 |
|---|---|
| 这个 Skill 是哪个包 | 记录 Skill 名称、版本、文件大小、包摘要等对象信息。 |
| 这个 Skill 是否经过平台处理 | 记录安全扫描、签名状态、签名时间和处理轨迹。 |
| 这个 Skill 签名时内容是什么 | 基于包内容生成摘要和签名信息,为后续验签提供依据。 |
| 这个 Skill 是否可以继续流转 | 签名完成后,可下载签名包,并进入验签、技术登记或上架流程。 |
| 这个 Skill 是否可追溯 | 保留签名人、证书编号、签名时间、扫描任务和公开验签地址等信息。 |
通过 Skill 签名,企业可以把 Skill 从“一个可安装的压缩包”升级为“有签名记录、证书信息和处理轨迹的可信能力资产”。
Skill 签名的产出物
完成 Skill 签名后,VeriAgent 会围绕签名对象生成一组可查看、可下载、可核验的信息。
| 产出物 | 说明 |
|---|---|
| 签名记录 | 记录 Skill 的签名结果、签名状态、签名人和签名时间。 |
| 证书信息 | 展示与本次签名相关的证书编号等信息。 |
| 签名对象信息 | 展示技能名称、版本号、技能 ID、文件大小、包摘要等对象信息。 |
| 安全信息 | 展示扫描任务、安全评分、阻断风险、认证方式、安全等级等信息。 |
| 公开验签地址 | 用于查看或提供签名结果的公开地址。 |
| 签名包 | 完成签名后的 Skill 包,可下载后用于分发、交付、验签或安装。 |
| 签名包验签入口 | 在签名详情页上传已签名 Skill 包并执行验签。 |
| 处理轨迹 | 查看该 Skill 从扫描通过到技术签名完成的处理过程。 |
这些产出物共同构成 Skill 签名结果。后续验签时,系统会基于签名包中的签名文件和文件摘要,判断 Skill 包内容是否与签名时保持一致。
Skill 签名的使用路径
Skill 签名通常发生在安全扫描完成后。企业可以先确认 Skill 安全扫描结果符合要求,再发起签名。
上传 Skill 包 → 安全扫描 → Skill 签名 → 下载签名包 → Skill 验签 / 技术登记 / 技能上架 / 安装使用其中:
| 阶段 | 说明 |
|---|---|
| 上传 Skill 包 | 将待处理的 Skill 包提交到 VeriAgent。 |
| 安全扫描 | 识别 Skill 包中的异常文件、风险依赖或不合规内容。 |
| Skill 签名 | 为符合要求的 Skill 包生成签名记录、证书信息和签名包。 |
| 下载签名包 | 获取签名后的 Skill 包,用于后续流转。 |
| Skill 验签 | 在安装、交付或分发前确认签名是否有效、内容是否被修改。 |
| 后续处理 | 根据业务需要继续执行技术登记、技能上架、交付或安装。 |
注意:签名对象是 Skill 包,不是 Agent。Agent 数字身份用于确认执行主体是谁;Skill 签名用于确认工具包来源和内容是否可信。
Skill 签名与安全扫描的关系
安全扫描和 Skill 签名解决的是两个连续但不同的问题。
| 能力 | 解决的问题 | 典型结论 |
|---|---|---|
| 安全扫描 | 这个 Skill 包是否存在风险文件、风险依赖或异常内容 | 扫描通过、存在风险、需要处理 |
| Skill 签名 | 这个 Skill 包在签名时的内容和来源是否形成可信记录 | 已签名、可下载签名包、可继续验签 |
安全扫描更关注“能不能放心进入后续流程”,Skill 签名更关注“后续流转时能不能证明这是同一个包”。因此,技能签名通常在安全扫描完成并确认结果后进行。
Skill 签名与 Agent 数字身份的关系
Skill 签名和 Agent 数字身份分别处理工具可信和执行主体可信。
| 对象 | 解决的问题 | 示例 |
|---|---|---|
| Agent 数字身份 | 确认执行任务的 Agent 是谁、状态是否可用、由谁负责 | 这个客服 Agent 是否已完成认证? |
| Skill 签名 | 确认 Agent 使用的 Skill 包来源是否可信、内容是否可核验 | 这个客服知识库 Skill 是否是签名后的可信包? |
在实际使用中,企业可以同时校验 Agent 和 Skill:
先确认 Agent 具备可信数字身份 → 再确认 Skill 包已签名并验签通过 → 允许进入安装或业务调用这样可以同时降低执行主体不清和工具包不可信带来的风险。
使用结果
完成 Skill 签名后,企业可以获得以下结果:
- Skill 具备签名状态、签名时间、签名人和证书编号。
- Skill 包内容形成摘要和签名记录,可用于后续验签。
- 可下载签名包,用于交付、分发、安装或归档。
- 可通过签名详情查看安全信息、处理轨迹和公开验签地址。
- 后续可以基于签名记录继续执行 Skill 验签、技术登记或技能上架。
通过 Skill 签名,企业可以让 Skill 在交付和使用前具备可核验的可信记录,为 Agent 安装、业务系统准入和审计追溯提供依据。
下一步
如需在 VeriAgent 控制台中发起 Skill 签名,可继续阅读 技能签名。
如需了解签名后如何核验 Skill 包,可继续阅读 什么是 Skill 验签。
如需了解 Skill 的整体治理能力,可继续阅读 Skill 管理概述。