原文来源:Lumoz
背景
随着 Web3 的发展,去中心化 AI Agent 成为重要应用。这些代理无需集中服务器即可自主运行,处理用户数据并与区块链智能合约交互。然而,Web3 的公开性和无信任特性对其安全性提出挑战。AI Agent 在 Web3 中展现潜力,如管理私钥、自动交易及支持 DAO 运行。然而,其在可信性和问责性方面的不足,偏离了去中心化和透明性等核心理念,限制了其广泛应用并阻碍未来发展。
目前现状
目前,大部分 AI 代理的实现都在不受信任的环境中运行,面临诸多安全性和透明度方面的挑战。这些代理常常处理着用户的敏感数据并执行重要任务,但它们的运行环境缺乏必要的防护措施,因此存在数据泄漏、执行逻辑被篡改或计算结果无法验证的潜在风险。常见的假设性问题包括:
· 代理的初始化过程未被篡改
· 外部 API 提供的数据是安全且可靠的
· 私钥得到了妥善管理且无法泄露
· 用户的输入在传输过程中不受干扰
引入 TEE 增强安全性
在默认设置下,所有工作节点都被视为不受信任的。恶意工作者可能会尝试进行以下不当行为:
· 偷窥用户的敏感数据;
· 提供错误的计算结果,或完全不执行任务;
· 降低服务质量,例如通过减少计算能力或阻断网络连接。
为了确保系统的去信任性,Lumoz 依托于 Secure Enclave(即可信执行环境,类似于 Intel SGX)以及创新的密钥管理机制。Secure Enclave 为系统提供了强有力的硬件安全保障,主要包括以下几项功能:
· 数据保密性:所有内存数据均进行加密处理;
· 执行完整性:即使攻击者控制了操作系统或物理设备,执行过程的正确性仍然无法被破坏;
· 远程认证:用户可以通过远程验证,确保硬件和软件在安全区域内运行。
Lumoz TEE 工作原理
Lumoz 致力于成为 AI 计算的核心处理平台,承担起支撑可扩展区块链基础设施的关键角色。通过整合可信执行环境(TEE)技术,Lumoz 能够保障其计算过程的安全性与透明性。这种创新性的组合将区块链的去中心化优势与 TEE 的强大安全性相融合,使得 Lumoz 不仅能够提供一个去中心化的云计算网络,还能在信任最小化的环境中高效执行各种计算任务。
引入 TEE 好处
· 硬件级安全:硬件安全区域保证隐私、机密性和数据完整性。
· 没有计算开销:运行 TEE 的应用程序与在正常 CPU 环境中运行的应用程序速度几乎相同。
· 验证成本低:验证 TEE 证明的 Gas 消耗极小,只需要进行 ECDSA 验证。
TEE 实现效果
· 防篡改数据:确保用户请求/响应数据不会被中间人更改是至关重要的。这需要安全的通信渠道和强大的加密机制。
· 安全执行环境:硬件和软件都必须受到保护,以免受到攻击。这涉及利用 TEE 提供隔离的环境来进行安全计算。
· 开源和可复制版本:整个软件堆栈,从操作系统到应用程序代码都必须可复制。这样审计人员就可以验证系统的完整性。
可验证的执行结果:人工智能计算的结果必须是可验证的,确保输出是可信的并且没有被篡改。
TEE(Intel SGX)框架
TEE 服务端安全性检查
当服务启动时,它会在 TEE 中生成一个签名密钥。
1. 您可以获取 CPU 和 GPU 证明,以验证该服务是否在 TEE 模式下机密 VM 中运行。
2. 该证明包括签名密钥的公钥,以证明该密钥是在 TEE 中生成的。
3. 所有推理结果均包含带有签名密钥的签名。
4. 您可以使用公钥来验证所有推理结果都是在 TEE 中生成的。
TEE 与 ZK 多重证明
我们无法保证任何单一的加密系统是 100% 安全的。同时,当前的零知识 (ZK) 解决方案在理论上是安全的,但仍然不能保证整个系统无错误运行,特别是从工程角度来看,由于 ZK 实现的复杂性,这仍然具有挑战性。这就是多重证明系统发挥作用的地方,为了对冲 ZK 实现中的错误,可以使用硬件解决方案可信执行环境 (TEE) 作为双因素验证器,为 AI Agent 等 ZK 项目提供双重安全性。
核心架构设计
去中心化信任根(DROT)
Decentralized Root-of-Trust(DROT) 是可信执行环境(TEE)信任链的核心元素。最终,用户的验证依赖于由 CPU 签名的远程证明,而这些证明则依赖于一组硬件存储的密钥来生成。负责管理这些根密钥、验证固件与应用程序、以及发布远程证明的硬件组件统称为 DROT。
密钥管理协议
在整体方案设计中,密钥管理遵循最小特权原则,即系统中每个实体所知道的秘密严格限于其完成任务所需的秘密。
TEE 控制域名证书
方案设计中证书管理模块,它作为网络中运行的应用程序的反向代理。值得注意的是,作为整体方案的一部分,它在 TEE 中运行,也受智能合约的管理。
总结
在 Lumoz 提供的 TEE 与 ZK 多重证明架构下,结合可信执行环境(TEE)与零知识证明(ZK)所形成的多重保障框架,为当前大多数 AI Agent 在不信任环境中的安全性、隐私性和可验证性提供了创新的解决方案。通过将 TEE 的硬件隔离能力与 ZK 的密码学验证特性相结合,能够有效解决数据保护与执行透明性的问题,同时也契合了 Web3 去中心化和透明性的核心理念。这一技术架构不仅提升了 AI Agent 的可信度与可用性,随着技术的不断优化和标准化,AI Agent 将在更多应用场景中释放出更大的潜力。