NVIDIA abrió esta semana el programa de agent skills verificados: instructivos portables que enseñan a un agente IA a usar correctamente las bibliotecas CUDA-X, los AI Blueprints y herramientas del stack de la compañía. La novedad no es el formato (la especificación abierta agentskills.io ya define un SKILL.md que se puede importar desde Claude Code, Codex o Cursor), sino la cadena de confianza que NVIDIA agregó encima: escaneo automatizado de riesgos, revisión humana, firma criptográfica y skill cards legibles por máquina.
¿Qué problema resuelve un skill verificado?
Los agentes autónomos se vuelven más capaces a medida que se conectan vía Model Context Protocol (MCP) y consumen instructivos portables. Pero a escala empresarial, los guardrails en tiempo de ejecución ya no alcanzan. El equipo de NVIDIA argumenta que los desarrolladores necesitan saber, antes de desplegar un skill, quién lo escribió, qué hace, contra qué riesgos fue auditado y si fue modificado después de publicarse.
Hoy un skill suele tratarse como un bundle opaco. NVIDIA propone tratarlo como capacidad desplegable, con la misma exigencia de trazabilidad que pide cualquier dependencia de software de producción.
Verificado, en la práctica, significa cuatro cosas:
- Catalogado y sincronizado diariamente desde el equipo de producto que lo mantiene.
- Escaneado contra riesgos de software y de comportamiento de agente antes de la publicación.
- Firmado con un archivo
skill.oms.sigseparado, verificable post-descarga. - Documentado con un skill card que detalla propietario, dependencias, limitaciones y estado de verificación.
¿Cómo se publica un skill en el catálogo?
El flujo arranca en un repositorio de origen propiedad del equipo dueño del componente. Desde ahí pasa por revisión humana y chequeos automáticos de política, luego por escaneo, evaluación, generación del skill card, firma y sincronización al catálogo público en github.com/NVIDIA/skills.
Cada skill verificado se empareja con un skill card, una ficha estructurada que responde:
- Qué hace el skill.
- Quién lo construyó.
- Bajo qué licencia se distribuye.
- Cuáles son sus dependencias.
- Cuáles son los riesgos, limitaciones técnicas y mitigaciones conocidas.
NVIDIA adelantó que la próxima capa será la evaluación: métricas estandarizadas de calidad como precisión del trigger, tasa de finalización de tarea y eficiencia de tokens, medidas sobre un harness común.
¿Cómo escanea NVIDIA un skill antes de aceptarlo?
Antes de llegar al catálogo, el skill pasa por SkillSpector, la herramienta de escaneo de NVIDIA disponible en github.com/nvidia/skillspector. SkillSpector revisa dos planos.
En el plano de software clásico busca dependencias vulnerables, scripts sospechosos, patrones peligrosos de código, accesos a credenciales y rutas de exfiltración de datos.
En el plano específico de agentes revisa instrucciones ocultas, prompt injection, abuso de triggers, agencia excesiva, tool poisoning y desajustes entre el propósito declarado del skill, los accesos que pide y el comportamiento real que entrega. NVIDIA recalca que este plano importa porque un archivo puede parecer inofensivo a nivel léxico mientras empuja al agente hacia comportamiento inseguro o pide permisos más amplios que su propósito.
La cobertura del escaneo se ancla en marcos públicos: la OWASP Top 10 for LLM, las directrices OWASP de riesgos de IA agéntica y la base de conocimiento MITRE ATLAS. El detalle vive en la documentación de scanning y se actualiza a medida que se incorporan nuevas clases.
¿Cómo funciona la firma criptográfica de los skills?
NVIDIA está experimentando públicamente con firma criptográfica basada en OpenSSF Model Signing (OMS). El objetivo es que los desarrolladores puedan reproducir el mismo pipeline de validación entre ambientes y verificar después de bajar el skill que sigue siendo el original.
La firma cubre todos los archivos y subdirectorios del directorio del skill. Esa cobertura completa es lo que separa un skill verificado de uno simplemente "asociado a un publisher conocido" o "listado en un catálogo de confianza". Muchos registros identifican quién subió un artefacto, pero pocos permiten validar criptográficamente el artefacto mismo. NVIDIA argumenta que la confianza en este ecosistema tiene que venir de integridad y autenticidad verificables, no de procedencia implícita.
La verificación local se reduce a tres pasos: descargar el certificado raíz nv-agent-root-cert.pem, instalar un verificador OMS (pip install model-signing) y correr:
$ model_signing verify certificate SKILL_DIR \
--signature SKILL_DIR\skill.oms.sig \
--certificate-chain nv-agent-root-cert.pem \
--ignore-unsigned-files¿Para qué sirve el skill card?
El skill card centraliza la metadata de confianza. Un desarrollador puede revisar si el skill es compatible con su agente, confirmar dependencias y entender cómo va a operar antes de instalarlo. Los equipos de arquitectura empresarial ven los riesgos conocidos, los controles fail-safe y el estado de validación para autorizar despliegue ampliado.
NVIDIA da un ejemplo concreto con el skill de cuOpt, su biblioteca de optimización numérica. Un desarrollador que arma un agente de planificación de despachos necesita saber tres cosas antes de instalar el skill: quién lo escribió, qué accede más allá del endpoint del solver de cuOpt y si el optimizador fue validado contra benchmarks reales de ruteo. El skill card del cuOpt responde las tres en un único archivo machine-readable que el agente carga junto con el skill. No hay que auditar manualmente en cada instalación.
NVIDIA también publicó un generador de skill cards que produce los campos requeridos del template para que un humano los revise antes de firmar.
¿Qué relación tiene esto con NeMo Guardrails y OpenShell?
NVIDIA ya gobierna agentes en tiempo de ejecución con la biblioteca NeMo Guardrails (control, privacidad y políticas) y con OpenShell más NemoClaw para sandboxing, control de acceso a archivos y red, y enforcement sobre acciones sensibles.
Los skills verificados extienden esa gobernanza una capa más arriba: gobiernan las capacidades que entran al workflow, no solo el comportamiento durante la ejecución. La idea es que la confianza viaje con el skill entre herramientas de coding, registries y plataformas empresariales.
¿Cómo se prueba un skill verificado en local?
Para el skill cuOpt el flujo es:
1. Clonar el catálogo y entrar al directorio del skill:
git clone github.com/nvidia/skills && cd skills/skills/cuopt2. Verificar la firma:
model_signing verify certificate. --signature skill.oms.sig --certificate-chain nv-agent-root-cert.pem --ignore-unsigned-files3. Abrir SKILLCARD.yaml para revisar propietario, dependencias, licencia y estado de verificación.
El catálogo se actualiza diariamente y NVIDIA invitó a la comunidad a contribuir bajo la misma especificación abierta de agentskills.io, manteniendo la portabilidad entre Claude Code, Codex, Cursor y futuros agentes.
Comparativa rápida vs alternativas
| Capa | NVIDIA Verified Skills | SKILL.md genérico (agentskills.io) | Skills de marketplace cerrado |
|---|---|---|---|
| Catalogación | Sincronización diaria desde owner | Lista libre en repos | Curado por la plataforma |
| Escaneo de riesgos | SkillSpector (software + agéntico) | No estandarizado | Variable, no auditable |
| Firma criptográfica | OMS, skill.oms.sig por skill | No | No, salvo casos puntuales |
| Skill card | Machine-readable obligatorio | Opcional / informal | Solo lectura humana |
| Portabilidad | Claude Code, Codex, Cursor | Igual | Atada al marketplace |
Para contexto local, el ecosistema chileno que está incorporando agentes en línea de producción (fintech, retail, telcos) puede aprovechar el pipeline NVIDIA aunque no use directamente hardware de la compañía: la firma OMS y el skill card son independientes del runtime y del modelo. Es el primer estándar de cadena de confianza para skills con respaldo de un actor relevante del ecosistema.
