核心功能
Skill Audit 是一套基于 Solana 区块链的技能(skill)溯源与审计基础设施,旨在解决 AI Agent 技能生态中的信任问题。其核心用法围绕四个维度展开:
1. 事前审查(/check-skill):安装技能前查询链上三表数据(registry/audits/vouches),计算综合信任等级并展示可视化徽章
2. 审计提交(/audit-skill):专业审计者消耗 IQ 代币提交安全评级(S/L/M/H/C),支持 ZeroLeaks 扫描与 codeIn 完整报告上链
3. 社区背书(/vouch-skill):无门槛 1-5 分评分机制,形成社会共识层
4. 技能注册(/register-skill):开发者将技能哈希(SHA-256)写入链上,建立不可篡改的发布溯源
显著优点
- 链上不可篡改:采用 append-only 架构,版本追溯清晰,哈希匹配机制杜绝篡改
- 经济模型设计:审计需 IQ 代币门槛,抑制女巫攻击;读操作免费降低使用门槛
- 分级信任体系:7 级徽章(MALICIOUS→UNKNOWN)提供直观的风险决策依据
- 模块化集成:CommonJS 包可内嵌或独立运行,兼容现有 Solana 工具链
潜在局限
- Solana 生态绑定:依赖特定链上程序 ID 与 IQ 代币经济,跨链扩展受限
- 审计中心化风险:IQ 代币持有者决定审计权,可能形成寡头;无强制审计覆盖机制
- 数据容量限制:行记录约 100 字节,完整报告依赖 codeIn 外链,存在可用性风险
- 冷启动困境:新技能默认 UNKNOWN 状态,社区 vouch 积累需要时间
适合人群
- AI Agent 用户:安装第三方技能前的安全尽调
- 技能开发者:建立链上声誉与版本溯源
- 安全研究员:通过审计赚取 IQ 代币激励
- 平台运营方:集成 trust badge 构建安全市场
常规风险
- 智能合约风险:程序 ID
9KLL...abs若存在漏洞可导致注册/审计数据造假 - 预言机/数据可用性:codeIn 铭文服务故障时完整审计报告无法读取
- 代币价格波动:IQ 代币成本波动影响审计参与度
- 社会工程攻击:恶意技能可能先获取 vouch 再植入后门,需结合审计 verdict 综合判断