这篇关于使用TEE进行安全AI推理的Anthropic研究与Web3非常相关

TEEs 可以是机密推理的核心原语之一。

可验证推理被认为是web3-AI的经典用例之一。在这些叙述中，可信执行环境(TEEs)一直处于中心位置。最近，Anthropic发表了一篇研究论文，概述了一些在这一领域的想法，这些想法可能与推进web3-AI议程相关。

生成性人工智能服务——从对话代理到图像合成——越来越多地被信任处理敏感输入，并拥有有价值的专有模型。机密推理通过将硬件支持的可信执行环境与强大的加密工作流相结合，使在不受信任的基础设施上安全执行人工智能工作负载成为可能。本文介绍了使机密推理成为可能的关键创新，并探讨了一种旨在云和边缘环境中生产部署的模块化架构。

机密推理中的核心创新

机密推理基于三个基础性进展：

可信执行环境 (TEEs) 在现代处理器上

像 Intel SGX、AMD SEV-SNP 和 AWS Nitro 这样的处理器创建密封的安全区，将代码和数据与主操作系统和虚拟机监控程序隔离。每个安全区在启动时对其内容进行测量并发布签名证明。这份证明让模型和数据所有者能够验证他们的工作负载在发布任何秘密之前运行在一个经过批准且未被篡改的二进制文件上。

安全加速器集成

高性能推理通常需要GPU或专用AI芯片。两种集成模式保证了这些加速器：

• 本地TEE GPU：下一代加速器 (例如，NVIDIA H100)嵌入硬件隔离，直接在受保护的加速器内存中解密模型和输入，并随时重新加密输出。证明确保加速器固件和驱动程序堆栈与预期状态匹配。
• CPU-隔离桥接：当加速器缺乏本地 TEE 支持时，基于 CPU 的隔离区建立加密通道 (例如，受保护的共享内存缓冲区)与 GPU。隔离区协调数据移动和推断，最小化攻击面。

认证的端到端加密工作流

保密推断采用基于区块链证明的两阶段密钥交换：

• 模型配置：模型权重在模型拥有者的密钥管理服务(KMS)下进行信封加密。在部署过程中，KMS验证enclave的证明文档，然后将数据加密密钥(DEK)直接释放到enclave中。
• 数据摄取：类似地，客户在验证其证明后，仅在围栏的公钥下加密输入。围栏解密输入，进行推理，并为客户重新加密输出，确保模型权重和用户数据在围栏外从不以明文形式出现。

参考架构概述

一个生产级别的保密推理系统通常由三个主要组件组成：

保密推断服务

• 安全区域程序：一个加载到可信执行环境（TEE）中的最小运行时，执行解密、模型执行和加密。它避免在磁盘上存储持久秘密，仅依赖主机获取加密数据块并传递证明。
• Enclave Proxy: 作为宿主操作系统中的一个组件，该代理初始化并验证enclave，从存储中检索加密的模型数据块，并协调与KMS和客户端的安全通信。严格的网络控制确保该代理仅在批准的端点之间进行中介。

模型配置管道

• 通过KMS进行信封加密：模型预先加密为防篡改的二进制数据块。只有在验证通过KMS后，才能解开任何DEK。对于超敏感模型，密钥处理可以完全在安全区内进行，以避免外部暴露。
• 可复现的构建与审计：使用确定性构建系统(例如，Bazel)和开源隔离区，利益相关者可以独立验证已部署的二进制文件与审计代码是否匹配，从而降低供应链风险。

开发者与构建环境

• 可确定的、可审计的构建管道：容器镜像和二进制文件以可验证的哈希生成。依赖项已被最小化和审查，以减少TEE的攻击面。
• 二进制验证工具：构建后分析 (例如，对比编译后的安全区域与源代码)，确保运行时与审计过的代码库完全一致。

组件工作流程与交互

证明与密钥交换

1. 该保 enclave 生成一个临时密钥对，并产生一个包含加密测量的签名证明。
2. 模型拥有者的 KMS 验证证明并将 DEK 解包到安全区域。
3. 客户端获取区块的证明，验证它，并在区块的公钥下加密推理输入。

推理数据路径

• 模型加载：加密的二进制流进入安全区，在保护内存中仅被解密。
• 计算阶段：推理在 CPU 或安全加速器上运行。在本地 GPU TEE 中，张量在处理之前保持加密。在桥接设置中，加密缓冲区和紧密核心亲和性确保隔离。
• 输出加密：推理结果在安全区域内部重新加密，并直接返回给客户端或在严格访问规则下通过代理传递。

实施最小权限
所有网络、存储和加密权限都被严格限定：

• 存储桶仅接受来自经过验证的安全区域的请求。
• 网络ACL限制代理流量到KMS和enclave端点。
• 主机调试接口已禁用，以防止内部威胁。

威胁缓解和最佳实践

• 供应链安全：可重现的构建和独立的二进制验证可以防止恶意工具链的破坏。
• 加密灵活性：定期更换密钥并为后量子算法进行规划，以防范未来威胁。
• 加速器侧信道防御：优先使用加速器上的本地可信执行环境（TEEs）；在通过 CPU 隔离桥接时，强制实施严格的内存加密和核心隔离。
• 操作硬化：移除不必要的主机服务，禁用调试，并采用零信任原则来控制操作员访问。

结论

保密推断系统通过集成硬件可信执行环境（TEEs）、安全加速器工作流和认证加密管道，能够在不受信任的环境中安全地部署AI模型。这里概述的模块化架构在性能、安全性和可审计性之间取得平衡，为希望大规模提供保护隐私的AI服务的组织提供了实用的蓝图。

这篇关于使用TEE进行安全AI推断的Anthropic研究与Web3非常相关，最初发表于Medium上的Sentora，人们通过突出和回应这个故事继续进行讨论。