德国软件供应链安全巨头JFrog近日正式发布JFrog Agent Skills Registry,这是一项专为大型企业设计的创新解决方案,旨在为AI代理(AI Agents)的安全、规模化部署提供坚实底座。该方案不仅解决了自主智能体在软件开发中带来的新风险,更通过与NVIDIA技术的深度整合,构建起一套可验证的治理与信任层,确保企业级AI应用的安全可控。
随着自主AI代理逐渐重塑软件开发流程,其潜在风险也日益凸显。JFrog首席战略官Gal Marder指出,正如恶意软件包可破坏应用程序一样,未经审核的AI能力也可能诱导智能体执行恶意操作。新推出的Agent Skills Registry通过集中管理、扫描和加固所有智能体技能、模型及软件包,有效应对这一挑战。该方案特别支持NVIDIA Agent Toolkit,包括OpenShell——一个专为安全、持续运行的AI代理设计的开源运行时环境。这种紧密集成构建了一条贯穿整个软件供应链的可信基础设施,强制执行策略、安全控制及合规要求。
作为所有智能体与技能的“单一事实来源”,该平台为企业提供了三大核心价值:一是实现智能体技能的安全管理,对所有MCP(模型上下文协议)、模型和软件包进行严格验证,阻断漏洞与恶意内容;二是支持自主智能体的规模化应用,企业在提升效率的同时无需增加合规或安全风险;三是实现工作流的精细化管控,技能上传与使用需经过基于策略的审批流程,确保仅经过验证的能力被调用。
NVIDIA企业战略合作副总裁Pat Lee强调,JFrog为NVIDIA OpenShell定制的Agent Skills Registry,在保障持续活跃智能体安全可控的同时,助力企业利用强大的新AI工具提升生产力。双方合作涵盖多项关键技术:JFrog Artifactory作为经认证的NVIDIA AI-Q蓝图,负责智能体技能的生命周期管理与治理;原生OpenShell集成确保所有验证资源在运行时环境安全交付;JFrog AI Catalog作为中央记录系统,实现所有AI代理与MCP服务器的可追溯、可审计管理;自动化安全扫描在技能上传时即时检测漏洞与合规风险;基于策略的治理机制确保智能体代码仅在隔离沙箱中运行,最大限度降低网络感染风险。
德国及欧洲软件行业对数据主权与供应链安全有着极高要求,JFrog此次与NVIDIA的强强联合,正是顺应了当地企业对AI技术“安全落地”的迫切需求。对于中国软件企业而言,随着AI代理在研发、运维等场景的快速渗透,构建类似的“可信治理层”已成为行业共识。中国从业者应关注此类将安全内嵌于AI基础设施的解决方案,这不仅是技术升级的方向,更是未来企业合规运营与风险防控的关键竞争力。