机密计算
机密计算是一种通过在基于硬件的可信执行环境中执行计算来保护正在使用中的数据的安全范式[^c1]。全球机密计算市场2025年估值约122.8亿美元,预计2026年达166.9亿美元(年复合增长率36.0%),另有研究给出2025年约105亿美元、2034年达1209亿美元的估计[^c2][^c37]。机密AI已成为主要增长驱动力。IDC研究显示75%的组织正在采用机密计算,88%将改进数据完整性列为主要驱动因素[^c15]。Broadcom 2026年调研报告显示56%的组织正在或计划在私有云上运行生产级AI推理[^c6]。
技术演进
TEE 技术经历了三阶段演进:2003-2014年以TPM和ARM TrustZone为核心奠定硬件信任根基;2015-2018年Intel SGX、AMD SEV和RISC-V Keystone推动架构标准化;2019年至今Intel TDX、AMD SEV-SNP、ARM CCA等VM级抽象成为主流,TEE从CPU向GPU/NPU/FPGA扩展[^c41]。
TEE.fail攻击以不足1000美元硬件通过DDR5内存总线截获攻破Intel TDX、AMD SEV-SNP和NVIDIA GPU CC[^c36][^c44]。Fabricked漏洞(CVE-2025-54510)以100%确定性暴露了AMD SEV-SNP的Infinity Fabric架构缺陷[^c4]。IBM Research对NVIDIA GPU-CC的逆向工程揭示其缺乏运行时内存加密,仅依赖访问控制保护GPU内存。AgenTEE发表于EuroMLSys '26(ACM),基于Arm CCA在边缘设备上部署机密LLM Agent,运行时开销低于5.15%。Bifrost(ATC'23)首次系统分析CVM网络I/O开销,优化后CVMs可超越传统VM最多21.50%;Bifrost混合TEE-FHE推理架构(arXiv 2026年6月)在LLaMA 3上减少投影延迟9.91倍。
在开源层面,TrustMee提出自验证远程证明机制,使验证逻辑以Wasm组件形式随证明证据分发[^c22]。openEuler社区的secGear框架提供跨多TEE平台的统一开发接口[^c48]。EBCC提出OCI兼容的机密容器运行时架构C4抽象,在SGX、TDX和OP-TEE三平台验证。ETSI于2026年5月发布TS 104 875硬件信任根技术标准,定义13项信任根安全控制功能[^c47]。CCxTrust(arXiv 2024年12月)提出结合TEE黑盒信任根与TPM白盒信任根的多信任根协作架构。海光C86 CSV凭借"CPU+DCU"双芯架构和国密算法加速,与Intel TDX、AMD SEV-SNP形成中国市场的直接对标。
机密AI
2026年涌现多项突破性进展。0G Private Computer上线,16000+活跃节点每日处理超25万次推理请求。0G Tapp三层防御架构移除SSH等后门工具,以受控gRPC API和dm-verity完整性验证替代无限制的终端访问[^c5][^c9][^c49]。谷歌云发布Confidential G4 VM(AMD EPYC Turin + NVIDIA RTX PRO 6000 Blackwell GPU)及开源Prompt Encryption SDK[^c59]。NEAR AI Cloud正式发布生产级TEE推理服务,采用Intel TDX与NVIDIA机密计算,性能开销仅5-10%[^c60]。
苹果在WWDC 2026上正式确认与Google和NVIDIA合作,将PCC扩展至Google Cloud中的NVIDIA GPU,AFM Cloud Pro模型运行于NVIDIA Blackwell B200之上[^c51]。Dell推出Deskside Agentic AI与NVIDIA OpenShell全线支持,客户可节省高达87%的云端API成本。Alibaba Cloud发布基于gn8v-tee的CRAG机密RAG方案[^c52]。Confidential Agents发布首个客户端可验证AI代理私有运行时[^c61]。Bifrost提出混合TEE-FHE推理架构,选择性使用同态加密委托线性层计算[^c54]。Fortanix Confidential AI部署于Dell AI Factory with NVIDIA之上,通过复合CPU+GPU证明门控密钥释放,已服务超过5000家企业客户。
AI代理治理
2026年6月机密计算峰会2026在旧金山举行,Apple安全工程负责人Ivan Krstić罕见出席[^c57]。Linux基金会宣布[[项目/agent-name-service.md|Agent Name Service(ANS)]]旨在为AI代理提供类DNS的加密身份标识[^c56]。OPAQUE在峰会上发布OPAQUE 3.0,推出开放标准Agent Manifest和首个Confidential MCP实现,使企业能够以硬件强制的方式证明AI代理的行为[^c63]。Anjuna Security发布业界首个基于机密计算的可信控制面Anjuna Overwatch,在TEE内实时治理自主AI代理[^c58]。EQTY Lab发布Verifiable Runtime将NVIDIA机密计算扩展至BlueField DPU,为AI代理创建专用硅基执行层[^c29]。