编者按:随着人工智能大模型在金融、医疗、政务等高敏感领域的深入应用,数据隐私与模型安全已成为制约 AI 落地的核心瓶颈。如何在不可信的公有云环境中,确保 AI 的“思维过程”不被窥探、“执行逻辑”不被篡改、“通信链路”不被劫持?近日,英特尔中国高级工程师朱运阁与龙蜥社区云原生机密计算 SIG Contributor 赖堃共同带来了《智算新范式:构建 Confidential AI Agent》的主题分享。他们基于Intel® TDX(可信域扩展)技术与龙蜥社区开源生态,深度解析了 OpenClaw-CC 项目的架构设计与落地实践,展示了一套从硬件根信任到应用层隔离的全栈机密计算解决方案。本文整理自龙蜥大讲堂第 144 期直播内容,为您系统化拆解如何构建“可用不可见”的机密智能体。
一、破局与基石:AI 能力演讲下的安全新挑战
人工智能的发展浪潮正在经历一场深刻的范式转移。早期的 AI 应用多集中于公开数据的处理与非敏感场景的交互,那时,“效率”是唯一的追求。但当 AI 试图介入人类社会的核心领域——比如分析患者的电子病历以辅助诊疗,或者读取企业的财务报表以预测风险,甚至直接操作公司的源代码库进行重构时,传统的云安全模型便显得捉襟见肘。
在新场景、新模式不断涌现的同时,数据隐私保护与可信体系构建的痛点也日益凸显:大模型训练数据易遭污染,推理过程可能引发隐私泄露,数据跨域流动中安全风险难以有效管控;随着云部署成为主流,现有的数据防护体系虽在数据传输与存储环节相对成熟,但在数据处理阶段仍高度依赖云平台或第三方服务方的契约式背书;技术手段上,缺乏对模型与数据在处理过程中的有效隔离与可信验证机制,这些问题已成为制约数字经济高质量发展的核心瓶颈。
更令人担忧的是,AI Agent 正在演变为具备感知、规划与行动能力的“数字员工”,需要调用各种工具(Skills),记忆多轮对话的上下文(Context),甚至持有访问第三方服务的凭证(Credentials)。如果这些“思维过程”和“身份钥匙”暴露在明文内存中,后果不堪设想:攻击者不仅可以窃取用户的隐私输入,更可以篡改 Agent 的系统提示词(SystemPrompts),诱导其输出有害内容,或者窃取其持有的 API Key 进行恶意操作。
面对如此严峻的“信任真空”,传统的软件防御手段已显得力不从心,行业亟需一种能够从根源上重塑安全边界的新范式。这一趋势也得到了全球权威机构的印证——Gartner在《2026年十大战略技术趋势》中将机密计算(Confidential Computing)推向了舞台中央。它不再满足于数据仅在传输和存储时的加密,而是提出了一个更具挑战性的目标:让数据在“使用中(In-Use)。要将这一愿景变为现实,必须依赖硬件级的可信执行环境(TEE)作为基石。
英特尔®至强®处理器内置的英特尔®可信域扩展(Intel® Trust Domain Extensions,英特尔® TDX)技术,旨在为云环境提供硬件级可信执行环境。英特尔® TDX通过创建“可信域”(TD,Trust Domain)实现虚拟机级隔离,结合内存加密(如英特尔® 多密钥全内存加密,英特尔® MK-TME)和远程证明,确保数据在使用状态(Data in Use)的机密性、完整性和真实性。
英特尔®TDX 为企业提供基于机密虚拟机、机密 GPU 实例和机密容器的可信算力保障,满足计算、存储及异构加速等基础算力需求。它能够在多租户环境下实现用户数据处理的强隔离,保护 AI 推理与训练的全流程数据安全,借助其灵活的可信度量和证明机制,同时支撑可验证、可审计的可信算力体系构建。TDX 提供的可信度量不仅是启动安全的基础,更是远程认证(Remote Attestation)和运行时可信评估的前提条件。
依托龙蜥社区在操作系统层面的深度优化与 Intel 的硬件能力,OpenClaw-CC 项目应运而生。它不再满足于单一的数据加密,而是试图构建一个全栈的、原生的机密智能体运行环境,从根本上解决 AI 落地过程中的信任危机。
二、架构与解析:OpenClaw-CC 设计深度拆解
OpenClaw-CC 的设计哲学非常明确:不仅要保护数据,更要保护 AI 的“灵魂”与“身份”。项目团队深入剖析了 AI Agent 在云原生环境下的生命周期,识别出四个最关键的风险点,并逐一给出了基于硬件信任根的解决方案。
守护思维的“黑盒”:动态上下文的机密性。AI 的“短期记忆”——包括敏感 Prompt、多轮对话状态及推理思维链,在传统内存中往往明文裸奔。OpenClaw-CC 利用 Intel TDX 硬件加密引擎(MEE),将 Agent 运行空间包裹在独立可信域中:数据仅在 CPU 寄存器内解密,一旦写入物理内存即刻转为密文。这意味着,即便云厂商拥有最高权限,也无法通过内存 dump 窥探 AI 的思考过程,真正实现了隐私数据的“可用不可见”。
封印身份的“钥匙”:凭证的动态注入与加密落盘。API Key、数据库密码等核心凭证若静态存放在镜像中,极易被窃取滥用。OpenClaw-CC 系统镜像的根分区实施严格的“只读区度量+差异层加密”策略:实例初始为无钥“空壳”,唯有向信任中心(Trustee)自证环境清白后,敏感凭据才被动态下发到机密实例。并提供持久化加密落盘存储,从链路上切断了密钥泄露路径。
捍卫行为的“灵魂”:执行逻辑的防篡改。System Prompts 与 Skills 文件定义了 Agent 的“人设”与“技能”,是其灵魂所在。传统安全常忽略配置文件的完整性,导致 Agent 易被篡改变节。OpenClaw-CC 将防篡改粒度细化至所有配置文件,利用 dm-verity 锁定文件系统,并将所有关键哈希值计入 TDX 远程证明度量。任何微小修改(如植入恶意工具)都会导致度量值不匹配,触发证明失败并拒绝启动,确保云端 Agent 100% 忠实于用户原始定义。
验明正身的“信道”:通信链路的真实性。最后一个常被忽视的痛点是通信安全。当我们通过 HTTPS 连接一个云端 AI 服务时,TLS 协议确实加密了数据传输,但它只验证了域名证书,并没有验证服务端运行的环境。OpenClaw-CC 引入 RATS-TLS 协议,将远程证明嵌入握手流程:在建立加密通道前,客户端强制校验服务端的 TDX 硬件证据(Quote)。只有确认对方运行在真实可信硬件且软件未被篡改时,隧道才会建立。这种“通信即验身”的机制,彻底终结了中间人攻击与身份伪造,确保数据只流向经硬件认证的“真身”。
三、落地实践:从构建到运行的全流程演示
基于龙蜥操作系统的安全特性,我们将上述四大安全能力串联起来,形成了从本地构建到云端运行的完整实践。
第一步:本地确权与信任注册。用户在本地可信环境中构建包含 OpenClaw 的加密镜像,并自动生成包含代码、配置(Prompts/Skills)哈希值的唯一的“黄金参考值”。
第二步:一键部署云上实例。通过自动化脚本,在阿里云等支持 TDX 的云平台上快速部署上述镜像。
第三步:可信代理网关与安全接入。启动本地的 TNG(Trusted Network Gateway)客户端,发起远程证明请求。TNG 会验证云端的 TDX Quote,确认环境清白,并建立端到端的加密隧道。验证通过后,用户可通过多种方式安全访问 Agent。
整个过程中,用户的敏感指令全程密文传输,且在云端内存中始终加密,实现了真正的隐私保护。
相关开源项目链接:
OpenClaw Demo:
https://github.com/inclavare-containers/confidential-agent
Trusted Network Gateway:
https://github.com/inclavare-containers/tng
Attestation-Agent:
https://github.com/inclavare-containers/guest-components
Trustee:
https://github.com/openanolis/trustee/
CryptPilot:
https://github.com/openanolis/cryptpilot
龙蜥社区云原生机密计算 SIG:
https://openanolis.cn/sig/coco
欢迎开发者加入龙蜥社区云原生机密计算 SIG(钉钉交流群群号:42822683),共同探索机密计算与 AI 融合的无限可能!
本次龙蜥大讲堂回顾视频和 PPT 已上传,欢迎点击查看:
PPT 下载:https://docs.openanolis.cn/document/detail/i61jna8c
回顾视频:https://openanolis.cn/video/1575904777789810035
—— 完 ——
