AI 智能体安全问题趋近互联网信任基础设施机密计算专家观察发现AI 智能体的安全问题正日益趋近于支撑当今互联网的信任基础设施。图片来源Apichatn / Shutterstock十年来机密计算一直在攻克安全领域的一大难题数据在传输和存储时能得到良好加密但当处理器对其进行处理时数据会以明文形式存于内存中任何拥有主机特权访问权限的人都能获取这些数据。Edera 首席安全研究员玛丽娜·摩尔Marina Moore表示“机密计算旨在通过可信执行环境来解决这一问题。可信执行环境是 CPU 的一部分它能运行加密工作负载并处理内存加密等事务。”多年来该领域给人的感觉就像是后量子密码学博士研究人员认为这项工作至关重要但却在等待其普及到主流从业者群体中。在本周于旧金山举行的机密计算峰会上一个突破性的应用场景逐渐清晰智能体 AI。类似 HTTPS 出现前的网络机密计算联盟执行董事迈克·伯塞尔Mike Bursell说“我经历过 HTTP 的早期阶段随后 HTTPS 很快就出现了。”他认为智能体 AI 目前的状况就如同在证书颁发机构和公钥基础设施建立起在线信任之前的网络。伯塞尔指出“最初的智能体规范并非由安全架构师编写部分内容有待完善。”机密计算所填补的空白是认证它能证明运行的内容。伯塞尔解释道硬件会对受保护执行环境的内存和固件进行哈希处理并在芯片内部对结果进行签名生成一个测量值验证者会将其与预期软件进行比对。若没有认证智能体会话就会像早期网络一样存在被劫持的风险只不过现在的攻击者可能是其他智能体。伯塞尔表示过去认为机密计算需要特殊硬件的观点已基本过时如今 AMD、英特尔和英伟达的产品都支持机密计算在微软 Azure 或谷歌云平台上只需一键就能开启。目标是让机密计算变得触手可及使安全执行成为默认选项而非特殊的部署选择。当安全执行标准未得到满足时就会触发信任警报就像用户访问非 HTTPS 网站时会收到警告一样。身份与认证走向标准化由 Linux 基金会主办的机密计算峰会上许多工作会议都围绕着将这些机制转化为标准展开这与互联网安全通过 IETF 和 IEEE 等组织制定标准的路径一致。英特尔高级首席工程师拉古·耶卢里Raghu Yeluri详细介绍了一种由英特尔、微软和英伟达共同构建的复合认证格式该格式能让认证数据跨越机密虚拟机、CPU 和 GPU且不依赖特定厂商的格式。耶卢里表示该团队希望在明年内将这项工作推进至请求评论RFC阶段。这项工作由机密计算联盟负责这是 Linux 基金会旗下的一个社区竞争企业会在此共同解决共享基础设施问题。伯塞尔补充说该联盟并不打算成为可信智能体的注册机构而是为企业提供一个开发框架、最佳实践以及反模式的平台。身份问题在本周的活动中引起了强烈关注。微软高级产品经理帕万·坎达维利Pawan Khandavilli提到了 Visa、万事达卡和谷歌的智能体支付计划、FIDO 联盟正在开展的智能体相关工作、SPIFFE 工作负载身份以及 RFC 8693 令牌交换。坎达维利认为相关要素已经存在但“术语体系较为分散”。当前的挑战是将这些身份系统与硬件支持的认证相结合而非仅仅依赖软件信任。认证之下的攻击面硬件隔离环境的安全性取决于其下方的共享基础架构。英伟达首席系统工程师兹沃科·凯泽Zvonko Kaiser认为认证能保护可信执行环境本身但无法消除其下方共享基础架构中的风险。处理器缓存位于每个隔离边界之下2026 年出现的一种名为 TDXRay 的技术展示了如何跨虚拟机边界获取信息。凯泽认为缓存之上的任何层都无法完全隐藏缓存所看到的信息。Kubernetes 控制平面也带来了挑战。一个 etcd 存储可能为多个租户保存机密信息而共享调度器则决定工作负载的运行位置。这些共享服务会带来安全隐患超出了机密计算硬件所能提供的安全保障范围。微软首席研究员安托万·德利尼亚·拉沃德Antoine Delignat Lavaud指出了另一个局限性认证能证明工作负载运行在真正的机密计算硬件上但“无法告知其运行位置”这使得数据驻留和主权问题悬而未决。Edera 的摩尔补充道“机密计算基于硬件一旦发现漏洞修复并恢复安全会更加困难。”微软的坎达维利指出了仍需行业协同解决的四大差距将智能体身份直接与硬件绑定、将认证引入日益规范工具访问的模型上下文协议、在智能体将工作委托给其他智能体时建立可信链以及实现跨云提供商的信任关系。英特尔的耶卢里指出机密计算无法解决所有安全问题但它为构建更高级别的控制提供了基础。智能体时代的 HTTPS从机密计算峰会可以明显看出AI 智能体的安全问题正越来越像支撑当今互联网的信任基础设施。证书、身份中介、验证服务和加密握手在互不了解的系统之间建立了信任。智能体 AI 似乎也正朝着相同的方向发展。例如上个月 Linux 基金会宣布推出 DNS - AID将域名系统概念扩展到智能体发现领域并引入了智能体名称服务框架来管理智能体身份。伯塞尔表示最终由谁来运营这些智能体信任服务“仍未确定”。“监管机构、政府、软件供应商、云提供商等都可能发挥作用。如果无法建立信任就无法理解和管理风险。”机密计算专注于这些系统之下的层面致力于创建验证智能体执行环境及其行为的方法。如果这项工作取得成功围绕智能体形成的信任架构可能会与如今默默支撑互联网的架构惊人地相似。数据与信息安全 安全