2025 年机密人工智能现状：谁赢谁输

每个人工智能很快都会处理敏感数据（或已经处理了）。

真正的问题是：它能在不暴露的情况下做到这一点吗？

当人工智能处理你的信息（例如健康诊断或财务数据）时，它比你想象的更容易暴露。虽然数据在存储或发送时是安全的，但当人工智能使用它时，它就变得脆弱了。为了处理你的数据，人工智能必须对其进行解密，这使得数据可读，很容易成为恶意软件或黑客的攻击目标。

如果这在传统系统中是有风险的，那么在公共区块链上风险就更大了。

在去中心化的基础架构中，大多数数据不仅在使用时暴露，还会在数千个节点之间复制。金融交易、智能合约输入、游戏逻辑和身份数据默认都是全局可见的。

这种程度的透明度破坏了隐私。

• 交易者可以抢先交易。
• 策略是可以复制的。
• 可以实时利用位置。

对于去中心化身份或信用评分等非金融用例，完全透明使得合规性和保密性几乎不可能实现。

这是迈向可编程隐私的更大趋势的一部分，在这一趋势中，技术不仅用于隐藏数据，还允许不同群体安全地使用和受益，而无需暴露原始信息。Archetype 的“隐私 2.0”报告通过私有共享状态的概念强调了这一点，即多方可以在保持机密性的同时处理敏感数据集。

这正是Confidential AI 的目标：安全地弥补“使用中”的差距，以便敏感的 AI 工作负载能够以可验证的安全性运行。

本文将探讨如何弥合这一差距。我们将深入分析实现机密人工智能的核心技术，探讨其利弊权衡，并分析哪些企业已在生产环境中使用这些技术。在此过程中，我们将了解为什么 2025 年标志着大规模私有实时人工智能不再停留在理论阶段，而是开始成为基础设施。

机密人工智能：缩小“使用中”差距

机密人工智能解决了这个确切的弱点：在推理过程中（人工智能模型处理您的输入以生成结果，如预测或答案的阶段），您的数据最容易受到攻击。

它不仅在模型运行前后，而且在模型运行过程中，都会保持数据密封。这包括：

• 输入：医学扫描、投资策略、个人信息
• 模型：由 OpenAI、Anthropic 和 Meta 训练的专有 LLM
• 输出：模型产生的答案、建议或预测

核心思想：在密封、防篡改的环境中运行模型，这样任何人，甚至是基础设施提供商，都无法检查内部发生的情况。

为什么机密人工智能现在更加重要

企业在法学硕士（LLM）项目上的支出已超越试点阶段。根据2025年6月对100位全球首席信息官的调查，人工智能预算同比增长约75% ，现已被视为核心IT支出，不再局限于实验性项目或短期创新基金。

推动支出的用例：

1. 即时文书工作：在医院，人工智能工具会自动将医患对话转换为结构化的医疗记录，从而减少手动打字的时间。
2. 一线聊天与支持：企业使用低成本的开源AI来处理常见问题，并将昂贵的高级AI模型用于棘手或不寻常的情况。这种组合将客户服务成本降低了20-40% 。
3. 更快的创意工作：电影工作室使用 AI 视频工具在数小时而不是数周内完成视觉效果，从而无需更换创意团队即可加快制作速度。

这些用例正在推动 AI 更深入地融入核心业务流程。但为了释放更多价值，企业需要将强大的模型与私有数据安全地结合起来。这正是私有 AI 数据市场的用武之地。

私人人工智能数据市场：下一个大前沿

1. 模型供应商（例如 OpenAI）提供高质量的基础模型。
2. 独立数据所有者贡献专门的数据集，如医学扫描、卫星图像或客户对话，以微调其特定领域的基础模型。

• 保密性为何至关重要：模型参数是供应商的珍宝；原始数据集是数据所有者的竞争优势。在微调运行期间，两者都必须保持隐藏，但双方仍然需要加密证明来证明对方的行为正确。
• 其实现原理：机密计算让基础模型和私有数据集在密封的区域内相遇，进行微调，并仅导出商定的权重：不偷看，不泄漏。

如果没有这种保证，模型提供商和数据提供商都不愿意参与，市场就会停滞。

有了它，全新的数据模型经济将变得可行，并在 2025 年人工智能支出激增中开辟另一条主要预算线。

 

是什么让这一切成为可能：机密的人工智能堆栈

机密 AI 是通过基于硬件的隔离和高级加密技术的组合实现的。这些技术由三个关键组件提供，我们将按以下顺序介绍：

1. TEE（硬件强制隐私）

TEE 是 CPU 或 GPU 内部一个安全隔离的区域，可以在此私密地处理数据。可以将其想象成芯片内部的一个密封房间。代码一旦在此运行，就无法被篡改，并且任何人（即使是操作系统或云提供商）都无法查看其中的内容。

对于人工智能来说，这意味着输入（如医疗记录）、模型权重（如专有 LLM）和输出（预测或分数）在模型主动运行的最脆弱阶段受到保护。

到 2025 年，TEE 将内置于大多数主流处理器中：Intel SGX/TDX、AMD SEV-SNP 和 Arm TrustZone。

人工智能的最大飞跃来自 NVIDIA 的 H100 和 Blackwell GPU，它们将机密计算直接添加到高性能推理中，从而可以在共享硬件上安全地运行大型模型。

性能测试仅显示轻微的减速：

• 吞吐量下降约 6-9%，生成第一个令牌（初始响应）的时间增加约 20%。
• 在第一个令牌之后，生成速度几乎与没有 TEE 的情况下运行的速度相同，并且在某些情况下，例如长提示或批处理，性能几乎与非 TEE 运行相同。

主要的权衡是您仍然需要信任硬件供应商并确保系统其余部分的安全。

底线：如果您今天需要对敏感数据进行实时 AI，请从 TEE 开始。

2. 零知识证明（ZKP）

零知识证明 (ZKP) 允许证明者在不暴露证明本身的数据、模型或代码的情况下证明计算正确。在人工智能 ( “ZK-ML” ) 中，这意味着在不暴露输入或架构的情况下证明模型给出了正确答案。

限制：

• 深度模型的证明生成速度很慢（需要数小时或数天）、资源密集，并且会产生大量证明，不适合实时推理。
• 而且重要的是，ZK 仅在证明中隐藏数据；在证明生成期间（即推理期间），服务器仍然可以看到所有输入和模型细节。
• 这种不匹配就是为什么在 TEE 内部运行 ZK 生成的趋势越来越明显，将 ZK 的可验证性与 TEE 的运行时隐私性结合起来。

3. 完全同态加密（FHE）

FHE 允许您对加密数据进行计算，因此纯文本永远不会出现。

这是最强大的隐私形式，但速度极慢：通常比正常执行慢几十到几百倍，在某些情况下甚至更慢，这取决于模型和操作。

密文很大，非线性 AI 函数（例如 ReLU 或 Softmax）需要一些变通方法。目前，它最适合用于安全聚合、搜索或批量推理，而非实时 AI。

4. 多方计算（MPC）

多方计算 (MPC) 允许多方共同计算，且彼此之间无需透露输入。它提供了强大的隐私保护功能，但通信量较大，从而增加了延迟。

最适合参与人数有限的小型、简单计算。通常与 TEE 或 ZKP 一起使用，以平衡速度和隐私。

混合期货：将 TEE 与 ZK 和其他工具相结合

隐私工具与 TEE 的快速密封执行相结合效果最佳，可以与加密证明或多方协议配对，以创建高性能且可验证的系统。

• 例如，TEE 可以实时提供 AI 查询，然后输出 ZKP 证明它在正确的数据上运行了正确的代码。
• TEE 还可以通过签署其运行的代码和硬件的证明来充当可验证的预言机，这些证明可以发布在链上以供智能合约信任。
• 借助 NVIDIA 的 H100/H200 等 GPU TEE，甚至模型训练也可以在私有数据的区域内进行，并添加 ZK 或 MPC 以实现选择性可审计性。

这些方法已经在生产中得到部署。在各个领域，机密计算正在从研究转向现实世界的基础设施，这引出了下一个问题：

全球范围内谁在使用机密人工智能？

机密计算已经在企业环境和分散生态系统中大规模运行。

在几乎每一次部署中，都有一项基础技术为其提供支持：TEE。

• 微软（Azure 机密计算）：运行由 TEE 支持的虚拟机，用于处理医疗保健、金融和政府领域的敏感工作负载。用于在私有数据上安全地训练和部署 AI 模型。
• NVIDIA ：机密计算现已直接内置于其 Hopper 和 Blackwell GPU 中，从而可以以最小的性能损失安全地运行大型模型。
• 苹果（私有云计算）：机密人工智能领域的一个重要行业里程碑。私有云计算通过将 iPhone 上的客户端可信执行环境 (TEE) 与 Apple Silicon 上的服务器端可信执行环境 (TEE) 相结合，即使在处理过程中也能保持用户输入和 AI 输出的加密。苹果还在数据离开设备之前执行严格的屏蔽规则，确保仅发送最少的必要信息。该设计引起了广泛关注，其他手机制造商也正在采用类似的架构。
• 亚马逊（AWS Nitro Enclaves）：为安全操作提供隔离的计算环境，目前用于测试机密的 AI 推理和数据分析。
• Fireblocks ：将 TEE 与 MPC 相结合，以保护私钥并为机构数字资产实现安全交易签名。

谁在 Web3 中构建机密 AI？

计算网络：

• Phala Network提供去中心化的 GPU-TEE 云，将运行时隐私与 ZK/MPC 证明相结合，并率先在安全区域内对大规模 LLM 推理进行基准测试。
• Mind Network为 AI 代理添加了基于 FHE 的机密计算层、加密的 LLM 推理以及自己的 MindChain 区块链（Mind Network 正在与 Phala Network 合作）。
• iExec在 TEE 内部运行链下 AI，用于隐私保护应用程序和 DePIN 协调，并使用 iApp Generator 等工具轻松部署。
• Oasis提供 Sapphire（一种由 TEE 支持的 EVM）和 ROFL 用于链下 AI 处理，为WT3 （一种无需信任的 AI 交易机器人）等项目提供支持。

DeFi 和区块构建：

• Unichain在 TEE 内部构建区块，使用加密的内存池和优先级排序来阻止 MEV。
• Toki使用 TEE 进行跨链执行和桥中的机密密钥交换。

保管和密钥管理：

• Clave使用密码和生物识别登录保护 GPU TEE 中的钱包，以实现人工智能驱动的金融。
• Fireblocks融合了 TEE 和 MPC 来保护机构资产并实现基于 AI 的机密交易签名。

新兴参与者：

• 超级协议 (Super Protocol)正在创建一个去中心化的机密 AI 计算市场。PIN AI 专注于隐私优先的 AI 推理，并提供运行时保护。
• Fhenix将 FHE 引入以太坊 L2，以实现机密合约和 AI 逻辑。
• Privasea集成了Zama 的FHE 工具，以实现隐私优先的 AI/ML 工作流程。
• BasedAI将 FHE 与零知识技术相结合，进行私有 LLM 推理。

在所有这些示例中，TEE 都承担着重任。其速度、硬件强制隔离以及跨 CPU 和 GPU 的广泛硬件支持，使其在处理生产环境中的敏感工作负载方面拥有独特的优势。

为什么 2025 年标志着机密人工智能的重大转变

在四大核心发展的推动下，机密计算的应用在 2025 年达到了一个可衡量的转折点：

• 市场规模：机密计算目前是一个价值 90 至 100 亿美元的产业，每年增长率超过 60%。
• 风险投资：隐私保护人工智能基础设施的投资已超过 10 亿美元。
• 硬件可用性：NVIDIA（H100、Blackwell）、Intel（TDX）和 AMD（SEV-SNP）的处理器现已内置安全区域。这些处理器已在生产环境中用于运行超过 700 亿参数的模型，性能开销不到 7%。
• 云支持：所有主要提供商，AWS、Azure、Google Cloud、Oracle、阿里巴巴、腾讯，都使用 TEE 提供机密计算实例。

TEE 是目前唯一能够处理实时 AI 工作负载并兼具必要保密性和速度的解决方案。其他加密方法（例如 ZKP、MPC 和 FHE）对于一般的低延迟任务来说速度太慢。

然而，TEE 存在局限性：它们依赖于硬件供应商，并且需要额外的工具进行验证。因此，现在许多系统采用混合方法，将 TEE 的速度与加密工具的正确性相结合。

虽然 TEE 并非终极解决方案，但在 2025 年，它将是机密人工智能最实用的基础。业界目前正致力于将其与加密证明相结合，以在不牺牲性能的情况下提升透明度和信任度。