76 段页式内存隔离:让Wasm沙箱在TEE里真正“物理隔离”开篇故事去年冬天,我帮一家金融科技公司做TEE内Wasm运行时审计。他们的架构很漂亮:SGX enclave里跑着Wasmtime解释器,每个用户合约独立沙箱。但压力测试到第3天,出事了——合约A居然读到了合约B的内存数据。排查过程让我后背发凉:Wasm的线性内存是虚拟地址连续分配的,但物理页可能共享。当合约A的虚拟地址0x1000-0x2000和合约B的0x3000-0x4000映射到同一物理页时,一个越界写就能污染邻居。他们的“内存隔离”只是虚拟地址隔离,物理层面根本没隔开。痛点拆解常见错误:只做虚拟隔离,忽略物理页共享很多开发者以为Wasm的线性内存天然隔离——每个实例有自己的地址空间。但TEE里物理内存是稀缺资源,操作系统(甚至TEE SDK)会复用物理页。你看到的是虚拟地址不同,底层物理页可能重叠。反例代码(Python模拟,实际是C/ASM):# 伪代码:两个Wasm实例的线性内存映射# 错误:只检查虚拟地址不重叠,忽略物理页def