[Paper] 云端可信 AI 代理
发布: (2025年12月6日 GMT+8 02:48)
8 min read
原文: arXiv
Source: arXiv - 2512.05951v1
概览
本文介绍了 Omega 平台,使云服务提供商能够以可证明的安全性和可审计性运行基于大语言模型(LLM)的 AI 代理。通过扩展机密虚拟机(CVM)和机密 GPU,Omega 保证代理不会泄露数据、被篡改或在定义的策略之外行动——即使多个不可信方共享同一硬件。
关键贡献
- 端到端的 AI 代理隔离 – 将 AMD SEV‑SNP 机密 VM 与 NVIDIA H100 机密 GPU 结合,保护 CPU 与加速器状态。
- 嵌套多代理沙箱 – 在单个 CVM 中托管多个代理,同时保持每个代理的内存和 GPU 上下文相互隔离。
- 差分证明 – 一种轻量协议,使每个主体(如数据所有者、工具提供商或云运营商)能够验证其关心的系统部分正运行其期望的代码。
- 策略驱动的监管 – 一种声明式语言,用于指定数据访问、工具使用和代理间通信规则;运行时强制执行这些策略并为每一次外部调用记录溯源日志。
- 高密度、云规模部署 – 证明数十个代理可以共享单个机密 GPU,且仅产生适度开销,使该方案在经济上可行。
方法论
- 可信执行基础 – 作者以 AMD 的 SEV‑SNP(对 VM 内存加密并提供硬件根证明)和 NVIDIA 的机密 GPU 功能(对 GPU 内存加密并隔离 kernel)为起点。
- 嵌套隔离层 – 在 CVM 内部,一个轻量级 hypervisor 创建 “代理容器”,每个容器拥有独立的虚拟地址空间和专用 GPU 上下文。hypervisor 通过页表隔离和 GPU 内存分区实现严格分离。
- 差分证明协议 – 当代理启动时,平台生成包含代理代码哈希、策略包以及所使用硬件 enclave 的加密证明。每个利益相关者仅验证与其相关的部分,避免单一的整体证明泄露其他方的机密。
- 策略引擎与溯源日志 – 策略解释器运行在 CVM 内,拦截所有 I/O(文件读取、网络调用、GPU kernel 启动)。在操作执行前,引擎检查策略并在允许时记录一条签名日志,将该操作关联到具体的代理和数据项。
- 评估设置 – 原型在配备 AMD EPYC 处理器(SEV‑SNP)和 NVIDIA H100 GPU(机密模式)的服务器上运行。基准包括 LLM 推理(如 Llama‑2‑70B)、工具调用工作负载以及多代理编排场景。
结果与发现
| 指标 | 基线(普通 CVM) | Omega(机密 + 策略) |
|---|---|---|
| LLM 推理延迟(每 token) | 1.8 ms | 2.1 ms(+17 %) |
| GPU 利用率开销(因隔离) | – | 5 % |
| 每个 GPU 上的代理数量(受内存限制) | 4 | 12 |
| 策略执行延迟(每 I/O) | N/A | 0.3 ms |
| 溯源日志大小(每 1 k 操作) | N/A | 12 KB |
- 性能影响适中:加入完整的机密性和策略检查仅使 LLM 推理延迟增加不到 20 %,对多数 SaaS 场景是可接受的。
- 可扩展性:嵌套沙箱使同一 GPU 上的代理数量提升三倍,相比于每代理单独 VM 隔离,得益于高效的内存分区。
- 安全保证:论文附录中的形式化分析表明,任何数据外泄或未授权工具使用都会被策略引擎检测并阻止,证明日志为审计员提供了加密证据。
实际意义
- 安全的 AI 即服务:云服务提供商现在可以提供 “可信 AI 代理”,让客户在共享硬件上运行而无需担心数据泄漏给其他租户或提供商本身。
- 合规监管:策略语言可以编码 GDPR、HIPAA 或行业特定约束(如 “不将 PHI 导出至欧盟以外”),不可变的溯源日志满足审计要求。
- AI 工具市场:第三方工具供应商可以向代理公开其工具(如代码生成插件),同时保留控制权——Omega 的差分证明向供应商证明只有授权代理在调用其代码。
- 成本效益部署:通过在单个机密 GPU 上容纳大量代理,运营商可提升利用率,降低安全 AI 服务的价格。
- 开发者工作流:团队可以使用熟悉的语言(Python、Rust)编写代理,只需打包一个策略文件;Omega 运行时负责隔离和证明的繁重工作。
局限性与未来工作
- 硬件依赖:Omega 依赖 AMD SEV‑SNP 与 NVIDIA H100 机密 GPU;其采用受限于提供这些特性的云平台。
- 策略表达力与性能的权衡:非常复杂的策略(如深度数据流约束)会增加执行延迟;作者计划研究策略编译技术以缓解此问题。
- 侧信道考虑:虽然内存和 GPU 状态已加密,论文指出微架构侧信道(如缓存计时)尚未完全解决,后续研究将重点关注。
- 动态代码加载:当前实现假设代理为静态二进制;支持即时模型更新或插件加载需要对证明协议进行扩展。
Omega 推动了云端可信 AI 服务的可能性边界,提供了硬件根安全、细粒度策略控制与可接受性能的务实组合,或将在下一波云 AI 平台中使 “机密 AI 代理” 成为主流。
作者
- Teofil Bodea
- Masanori Misono
- Julian Pritzi
- Patrick Sabanic
- Thore Sommer
- Harshavardhan Unnibhavi
- David Schall
- Nuno Santos
- Dimitrios Stavrakakis
- Pramod Bhatotia
论文信息
- arXiv ID: 2512.05951v1
- 分类: cs.CR, cs.AI, cs.MA
- 发表时间: 2025 年 12 月 5 日
- PDF: Download PDF