黄仁勋开源800个AI技能，谷歌发现全是恶意软件

机器身份与人类身份的比例已经冲到8万比1。这不是科幻设定，是RSAC 2026会场上反复被引用的真实数字。

英伟达CEO黄仁勋两周前在GTC大会上甩出一套基于OpenClaw的开源工具，主打产品NemoClaw号称能"保护"OpenClaw的输出安全。结果安全专家们集体失眠——谷歌告诉他们，市面上可下载的OpenClaw技能里，超过800个是赤裸裸的恶意软件。

theCUBE Research首席分析师Dave Vellante把这次RSAC的氛围形容为"煤矿里的金丝雀"。 agentic AI（自主智能体）正在制造一种全新的攻击面：机器与机器的对话，绕过了人类能感知和拦截的所有节点。

从"agents是扯淡"到"agents是灾难"：企业认知的三级跳

John Furrier，theCUBE Research执行分析师，在现场复盘了企业对agentic AI的态度过山车。

「三年前：agents是扯淡。去年：agents真香，端到端工作流搞起来。今年：卧槽，agents是坏的。」Furrier的原话里带着一种黑色幽默的疲惫。

这种反转背后是企业基础设施的底层逻辑被连根拔起。人类思维是非确定性的——我们会犹豫、会犯错、会偏离最优路径。但黑客手里的agents同样是非确定性+非人类速度的组合，防御方却还在用针对人类攻击者的工具箱。

Furrier的判断很直接：「如果agentic AI是问题的一部分，那它可能也得是解药的一部分。」

机器身份泛滥：CISO们的新噩梦叫"Shadow AI"

Vellante在RSAC会场听到的最高频词汇，第一是Shadow AI（影子AI），第二是"未知的未知"。

「CISO们真的、真的非常担心。」Vellante说。机器身份的爆炸式增长让传统安全边界彻底失效——你不再知道谁在访问什么，因为"谁"可能是一段自动生成的代码，"访问"可能是毫秒级的API握手。

第一防线在哪里？身份？agents？答案每天都在变。

企业去年还在All in AI ROI，今年突然发现ROI的账还没算清，安全债已经压顶。 layered security（分层安全）从可选项变成了必选项，但问题在于：大多数公司的基础设施还没准备好同时处理"云原生"和"AI原生"两套技术栈的碰撞。

KubeCon的微妙转向：云原生社区被迫接招

云原生计算基金会（CNCF）的技术监督委员会最近换了血，新成员名单里AI基础设施背景的占比明显上升。

这不是偶然。KubeCon的议题设置正在从"怎么把容器跑得更稳"滑向"怎么让agents别把我的集群拆了"。云原生和AI原生的融合，本质上是一场被迫的联姻——没人想同时结两次婚，但宾客名单已经混在一起了。

Vellante和Furrier的共识是：安全厂商的产品路线图需要彻底重写。不是加个AI检测模块那种敷衍，而是从架构层面重新思考"身份"的定义。

当一台服务器上的agent可以自主生成新的机器身份、申请权限、调用其他agent时，传统的IAM（身份与访问管理）框架就像用门锁防洪水。

黄仁勋的NemoClaw试图扮演那个"负责任的开放者"角色——我给你开源工具，但我也给安全护栏。只是从RSAC的反馈来看，市场更相信谷歌的安全团队，而不是英伟达的产品经理。

800个恶意技能只是被发现的数字。没被发现的有多少？这个问题本身就让CISO们睡不着觉。

企业从"人类对人类"的安全模型，被迫切换到"agent对agent"的未知水域。而黑客比他们早到了至少两个季度——毕竟，写恶意代码的agent不需要开合规会议。

当机器身份以8万比1的比例淹没人类痕迹，"谁在看监控"这个问题，可能很快会变成"监控本身是不是也是agent写的"。