智能体AI安全成为机密计算峰会核心议题

在旧金山举办的机密计算峰会上,智能体AI安全成为最受关注的议题。机密计算通过可信执行环境(TEE)解决数据在处理时的明文暴露问题,而AI智能体的兴起正为其带来全新应用场景。英特尔、微软、NVIDIA联合推进跨厂商统一认证格式标准,目标是在一年内形成RFC草案。当前主要挑战包括:智能体身份与硬件绑定、跨云信任链建立,以及数据主权归属等问题,整体发展路径与早期互联网信任基础设施的演进高度相似。

十年来,机密计算一直在攻克安全领域最棘手的难题之一:数据在传输和存储过程中虽有良好的加密保护,但处理器在运算时,数据会以明文形式驻留在内存中,任何拥有主机特权访问权限的人都可以窥探其内容。

"机密计算的目标是通过可信执行环境来解决这一问题。可信执行环境是CPU的一个子集,负责运行加密工作负载并处理内存加密等任务。"Edera公司首席安全研究员Marina Moore如此表示。

多年来,这一领域的推进一直显得曲高和寡——更多是后量子密码学领域的博士研究员们相互认可其重要性,却始终等待着这项技术真正走向普通从业者。而在本周于旧金山举办的机密计算峰会上,智能体AI成为这项技术破圈的核心应用场景,终于进入公众视野。

"我经历了HTTP的早期时代,随后HTTPS很快便应运而生。"机密计算联盟执行主任Mike Bursell表示。他认为,当前智能体AI的处境,颇似证书颁发机构和公钥基础设施尚未建立在线信任体系之前的早期互联网。

"最初的智能体规范并非由安全架构师编写,"Bursell说道,"其中部分内容显然有待进一步完善。"

机密计算所填补的空白,在于"证明(attestation)"机制——即证明系统上运行的究竟是什么。Bursell解释道,硬件会对受保护执行环境的内存和固件进行哈希运算,并在芯片内部对结果进行签名,从而生成一份"度量值",供验证方与预期软件进行比对。若缺乏这一机制,智能体会话就如同早期网络一样,存在被劫持的漏洞——而如今的攻击者,本身也可能是另一个智能体。

机密计算需要依赖专用硬件的老旧观念如今已基本成为过去。Bursell表示,这项技术现已集成于AMD、英特尔和NVIDIA的芯片中,只需一键即可在微软Azure或谷歌云上启用。其目标是让机密计算变得如此易于获取,使安全执行成为默认假设,而非一种专项部署选择——一旦未满足安全执行标准,就应发出信任警报,就像用户访问非HTTPS网站时会收到浏览器安全警告一样。

本届机密计算峰会由Linux基金会主办,许多工作会议的核心议题都是将上述机制转化为标准,走与互联网安全相同的道路——即通过IETF、IEEE等标准机构推动落地。

英特尔高级首席工程师Raghu Yeluri详细介绍了由英特尔、微软和NVIDIA共同构建的一种复合证明格式,该格式使证明数据能够跨越机密虚拟机、CPU和GPU,而无需依赖各厂商各自的专有格式。Yeluri表示,这一工作组希望在未来一年内将该成果推进至RFC阶段。

这一工作在机密计算联盟的框架下推进。该联盟是Linux基金会旗下的社区,汇聚了在共同基础设施问题上开展协作的各大竞争企业。Bursell补充道,联盟并非致力于成为可信智能体的注册机构,而是希望成为各企业共同开发框架、最佳实践,乃至反模式的协作平台。

在本届峰会上,"身份"议题引发了最为广泛的关注。微软高级产品经理Pawan Khandavilli指出,Visa、万事达卡和谷歌正在推进的智能体支付计划,FIDO联盟正在形成的智能体规范,SPIFFE工作负载身份标准,以及RFC 8693 Token交换机制,所需的技术要素其实已经齐备。Khandavilli认为,目前的挑战在于"词汇体系高度碎片化"——真正需要做的,是将这些身份系统与硬件支撑的证明机制打通,而非仅仅依赖软件层面的信任。

然而,硬件隔离环境的安全性,也受制于其底层共享基底的可靠性。NVIDIA首席系统工程师Zvonko Kaiser指出,证明机制虽然能保护可信执行环境本身,却无法消除底层共享基底中的风险。处理器缓存处于所有隔离边界之下,2026年曝出的一项名为TDXRay的攻击技术已证明,信息可以跨越虚拟机边界被观察到。Kaiser强调,任何处于缓存之上的层级,都无法完全遮蔽缓存本身所"看到"的内容。

Kubernetes控制平面同样带来挑战。单个etcd存储可能承载多个租户的密钥,而共享调度器则负责决定工作负载的运行位置,这些共享服务为攻击者提供了游离于机密计算硬件保障之外的潜在突破口。

微软首席研究员Antoine Delignat Lavaud还指出了另一个局限性:证明机制可以证明工作负载运行在真实的机密计算硬件上,但"它无法告诉你这个工作负载在哪里运行",数据驻留和数据主权的问题依然悬而未决。

Edera的Moore也补充道:"机密计算以硬件为基础,一旦发现漏洞,修补和重建安全保障的难度会大得多。"

微软的Khandavilli梳理出仍需行业协同解决的四大核心缺口:将智能体身份与硬件直接绑定、将证明机制引入日益普及的模型上下文协议(MCP)中、在智能体向其他智能体委托任务时建立可信链条,以及实现跨云服务商的信任关系。英特尔的Yeluri则指出,机密计算并非解决所有安全问题的万能钥匙,但它提供了支撑更高层级安全控制的基础。

本届机密计算峰会传递出一个清晰信号:AI智能体的安全保障,越来越像当今互联网赖以运转的信任基础设施——证书、身份中间件、验证服务和密码握手协议,共同在素不相识的系统之间建立起信任。智能体AI似乎正在走向相同的终点。

例如,上个月Linux基金会宣布推出DNS-AID项目,将域名系统的相关概念延伸至智能体发现领域,并引入了面向智能体身份的"智能体名称服务(Agent Name Service)"框架。

至于谁将最终运营面向智能体的信任服务,Bursell表示,"答案仍在形成之中。监管机构、政府、软件厂商、云服务商等各方都可能在其中扮演角色。如果无法建立信任,风险就无从理解和管理。"

机密计算专注于这些系统的底层,致力于创建可验证智能体执行环境及其行为的机制。如果这项工作取得成功,围绕智能体逐步形成的信任体系,或许将与如今默默支撑整个互联网运转的那套机制,呈现出惊人的相似。

Q&A

Q1:机密计算是什么?它解决了什么安全问题?

A:机密计算的核心目标是解决数据在处理器运算期间暴露在内存中的风险。它通过可信执行环境(TEE)——CPU的一个受保护子集——来运行加密工作负载,并对内存进行加密处理。目前该技术已集成于AMD、英特尔和NVIDIA芯片中,并可在微软Azure或谷歌云上一键启用,不再需要专用硬件,门槛大幅降低。

Q2:机密计算在AI智能体安全方面能发挥什么作用?

A:机密计算为AI智能体提供"证明(attestation)"机制,即通过硬件对执行环境进行哈希签名,证明系统上运行的是经过验证的软件。这一机制可防止智能体会话被劫持,并为智能体身份绑定、跨云信任关系建立等核心安全需求提供底层基础。目前行业正推动将这些机制纳入模型上下文协议(MCP)等标准框架。

Q3:机密计算目前有哪些已知的局限性?

A:机密计算存在几个明显局限:首先,处理器缓存处于所有隔离边界之下,TDXRay技术已证明信息可跨虚拟机边界泄露;其次,Kubernetes等共享基础设施中的共享服务存在额外攻击面;此外,证明机制无法确定工作负载的地理位置,数据主权问题依然未解;最后,硬件漏洞一旦发现,修补难度远高于软件漏洞。

来源:InfoWorld

0赞

好文章,需要你的鼓励

2026

07/01

17:52

分享

点赞

邮件订阅