系统:运行中
EN FR ES ZH
← 返回所有攻击
DEFENSE MEDIUM

面向智能体 AI 的机密计算:硬件飞地保护不了什么

2026 年 5 月的一篇综述将机密计算映射到智能体技术栈:硬件飞地可保护智能体内存与 KV 缓存免遭恶意云运营商窥探,却挡不住提示注入。

2026-06-15 // 6 min affects: llm-agents, mcp, rag-systems, gpu-tee

这是什么?

2026 年 5 月 4 日,Javad Forough、Marios Kogias 与 Hamed Haddadi 发表了 When Agents Handle Secrets: A Survey of Confidential Computing for Agentic AI(arXiv:2605.03213)。这是首次系统性地将机密计算(Confidential Computing, CC)——以硬件为根的可信执行环境(TEE)——映射到 LLM 智能体的安全需求上。这些智能体会规划任务、调用工具、维持持久化内存,并通过 MCP、A2A 等协议向同伴智能体委派任务。

该综述的价值,正在于它对局限的坦诚。机密计算并不能修复提示注入。其核心结论是:尽管若干硬件信任原语已足够成熟、可用于定向部署,但”尚无被广泛确立的端到端框架,能将它们整合成面向生产级智能体 AI 的连贯安全基底”。这是一篇防御性架构研究,而非新的攻击。

工作原理

当前的智能体防御——输入过滤、输出分类器、允许列表——“完全运行在软件栈之内,足够高权限的对手(例如被攻陷的云运营商)可以悄无声息地绕过”。机密计算把信任边界下移到硬件:代码与数据运行在经过认证的飞地中,即使宿主操作系统、虚拟机管理程序或基础设施运营商也无法读取或篡改。

作者将智能体拆解为五层——感知、规划、内存、动作、协同——并按强度对对手排序:外部攻击者、被攻陷的同租户、恶意基础设施运营商(机密计算正是为击败此类对手而设计)、被攻陷的智能体。随后他们指出 TEE 需要包裹的高价值资产:

perception   -> 用户提示、检索到的文档、工具输入
planning     -> 模型权重、系统提示、微调的 LoRA 适配器
memory       -> KV 缓存、对话历史、向量库、凭据
action       -> 工具调用、参数、工具输出
coordination -> 智能体间消息、委派声明、认证证据

内存被列为首要目标:长期向量库会累积数月的专有上下文,而 KV 缓存可能逐字泄露对话。综述援引了真实的 LeftoverLocals 发现——共享 GPU 内存中的 KV 缓存残留可被用于跨租户重建对话——这正是 GPU TEE 需要封堵的泄露类型。

硬件已经就绪。综述涵盖六大平台——Intel SGX、Intel TDX、AMD SEV-SNP、ARM TrustZone、ARM CCA,以及 NVIDIA H100 机密计算——后者是首个 GPU TEE,以片上信任根为锚,配有经签名的认证报告。NVIDIA 称 CC 模式下 LLM 推理开销低于约 7%,独立测量也证实 GPU TEE 的开销已足够低、可用于生产——这与全同态加密或多方安全计算不同,后两者仍会带来两到四个数量级的开销。

为何重要

智能体部署会把机密集中在一处:提供方的 API 密钥、检索到的企业文档、累积的内存都共处于同一运行时。在多租户云中,运营商——或任何攻陷运营商的人——都身处该信任边界之内。机密计算是唯一直接针对这一对手的控制手段;作者援引的一份 IDC 调查发现,75% 的组织正在采用机密计算(18% 已投产,57% 处于试点)。

但最尖锐的一点,是机密计算无法解决的问题。在智能体中,“LLM 就是控制平面”,攻击面”是数据的含义,而非其来源或格式”。TEE 能证明正在运行哪段代码、能保持内存机密,却无法证明某条输入的意图。因此飞地会忠实地执行一条被注入的指令。2025 年的 EchoLeak 漏洞(CVE-2025-32711)——一封邮件即可零点击从 Microsoft 365 Copilot 窃取数据——即便置于一个完美认证的飞地中,也会照样执行。

防御措施

  • 用机密计算应对运营商威胁,而非注入威胁。 把模型权重、向量库、KV 缓存与凭据放入 CPU+GPU TEE,以挫败恶意或被攻陷的基础设施运营商,以及同租户内存泄露(LeftoverLocals 之类)。
  • 保留语义层防御。 机密计算是对输入/输出过滤、工具最小权限以及致命三要素纪律的补充,而非替代。提示注入仍是架构层面的问题。
  • 要求组合认证。 同时认证 CPU TEE GPU TEE;仅认证 GPU 会留下缺口。把认证理解为”正在运行哪段代码”,绝不要当作”这条输入可信”。
  • 警惕残留泄露。 TEE 并不能阻止侧信道——时序、缓存/总线争用、受控信道与缺页攻击、GPU 残留状态。请将机密计算与可复现构建、模型卡、微调溯源结合使用。
  • 关注开放问题。 作者列出了六个尚未解决的方向,包括面向多跳智能体链的组合认证、由 TEE 支撑的 RAG 隔离,以及自回归推理中的侧信道泄露。

状态

项目详情
来源综述,arXiv:2605.03213v1(cs.CR),CC BY 4.0
发表2026 年 5 月 4 日
应对的威胁恶意基础设施运营商;同租户内存泄露
未应对提示注入、不安全目标、模型供应链被攻陷、侧信道
GPU TEE 成熟度NVIDIA H100 CC,推理开销约 7%(NVIDIA 数据)
成熟度结论原语可用;尚无端到端的智能体机密计算基底

Sources