机密计算是人工智能重获已失去信任的方式——以及为什么它需要成为新标准

简要概述

随着人工智能的采用速度超过公众信任，ORGN的艾哈迈德·沙迪德（Ahmad Shadid）提出，机密计算和可验证执行提供了单凭隐私政策无法实现的密码学证明。

人工智能系统正快速进入敏感工作流程——编写代码、处理客户数据以及支持金融、医疗等受监管行业的决策。这一整合速度带来了行业尚未充分应对的结构性问题。

挑战在于信任。一项由墨尔本大学与毕马威合作进行的调查，覆盖47个国家的超过48,000人，发现虽然66%的受访者经常使用AI，但不到一半——仅46%——表示愿意信任AI系统。使用率与信心呈背离趋势，且差距在不断扩大。

这一信任赤字中，数据隐私问题尤为严重。根据斯坦福2025年AI指数，全球对AI公司保护个人数据的信心从2023年的50%下降到2024年的47%，而且比去年更少的人相信AI系统是无偏见和不歧视的。这一下降正值AI在日常生活和专业环境中深入嵌入之际，使得信任失误的风险大大增加。

ORGN的CEO艾哈迈德·沙迪德（Ahmad Shadid）认为，AI的下一阶段将不再建立在信任之上，而是建立在证明之上。机密计算和可验证执行使得可以明确展示数据的处理方式，而不仅仅是承诺其安全。

在与MPost的对话中，他解释了这些技术如何弥合传统安全措施在AI工作流程中留下的隐私和信任空白，以及它们成为主流所需的条件。

当前AI公司通常如何保护数据——以及为何这还不够

目前，大多数AI公司依赖加密、访问控制和治理政策的结合来保护敏感数据。数据静态存储和传输时采用已建立的算法进行加密，而基于角色的访问控制、日志记录和异常检测则管理谁可以与系统交互以及在何种条件下。这些措施代表行业的基本标准，对于许多用例来说已足够。

问题出现在一个特定且常被忽视的环节：在模型训练或推理过程中，数据在内存中被解密的瞬间。此时，暴露窗口被打开。机密计算通过在硬件内部对数据进行加密，直接解决了这一问题，确保即使基础设施运营者也无法看到机器内部的内容。

沙迪德指出，标准安全方法未能完全堵住的结构性漏洞。当数据在客户无法直接控制的服务器（如公共云环境或第三方AI平台）上被解密时，客户没有技术手段验证数据的实际处理情况。实际上，他们只能依赖供应商的承诺。

这一担忧不仅限于终端用户。在受监管环境中，CISO、合规审计员和监管机构也面临同样的问题。他们通常依赖ISO 27001证书、SOC 2报告和政策文件——这些工具，正如沙迪德所说，更能证明意图而非实际数据在使用中的状态。通过带有证明的机密计算（attestation），可以提供防篡改的密码学证据，证明特定模型版本在受信任的执行环境中运行，且软件堆栈已获批准。这一保证从“意图证明”转变为“技术事实的验证”。

这种转变的监管动力已初现端倪。根据IDC 2025年7月的机密计算研究，欧盟数字运营韧性法（DORA）的引入使77%的组织更倾向于考虑机密计算，已有75%的组织以某种形式采用。报告的主要好处包括改善数据完整性、提供可信的保密保证以及增强合规性。

可验证执行在实践中的含义

对于非技术受众，沙迪德将可验证执行描述为在AI系统处理数据后收到的密码学凭证。该凭证以数学可验证的方式证明，AI在经过认证的硬件上运行，执行了预期的软件版本，且没有其他内容，同时环境在解锁敏感数据前已得到适当保护。过程的完整性不再依赖于供应商的保证，而是依赖于验证证据。

在技术层面，这通过三种互相关联的机制实现。可信执行环境（TEE）允许处理器在硅级别创建一个封闭的隔离区——内存和执行环境被隔离——操作系统、虚拟机监控程序或云运营商都无法读取内部内容。远程证明（attestation）允许外部方验证真正的TEE是否运行了经过批准的软件堆栈，然后才释放解密密钥或敏感输入。最后，可验证的输出允许某些系统用与证明相关的证书签名其结果，确保接收方可以确认结果来自受保护环境中的预期应用，且未在传输中被篡改。

沙迪德认为，机密计算的优势贯穿整个AI价值链。AI开发者可以在共享云环境中训练和运行敏感或受监管的数据集，而无需暴露原始数据给平台运营者。企业方面，这项技术通过提供可验证的证据，减少法律和声誉风险，确保个人数据在AI处理过程中得到保护——支持GDPR级别的隐私要求和行业特定法规。它还为跨组织数据合作打开了大门，因为每一方都可以验证其数据仅在经过验证、符合政策的环境中被处理，从而消除合作AI项目的主要障碍之一。

对于终端用户，这意味着更强、更具体的保证：他们的个人数据在AI系统运行时不会被运营商、内部人员或其他云租户访问。这也使得一些高价值服务成为可能——如个性化医疗建议或详细的财务咨询——这些在过去被认为过于敏感，无法通过云基础设施提供。

沙迪德以自己作为软件工程师的经验，说明了一个较少被讨论的风险：开发者经常将专有代码、配置文件、API密钥和令牌粘贴到AI编码工具中，而对这些数据的存储和使用方式知之甚少。行业的快速发展使得避免使用这些工具变得困难。正是这种在快速推进与IP暴露之间的紧张关系，促使他建立了ORGN——一个基于机密计算原则的机密开发环境。

为什么主流采用尚未到来

尽管在某些企业中已有75%的采用率，IDC的研究发现，只有18%的组织已将机密计算引入生产环境。沙迪德指出，主要的障碍有三：验证证明的复杂性、对该技术的持续认知偏见，以及缺乏相关技能的工程师。

他解释说，验证证明在实践中比看起来要复杂得多。证明证据以二进制结构或JSON对象的形式出现，包含测量值、证书和补充资料，必须被解析、与供应商根证书比对，并验证其新鲜度和吊销状态。开发者还必须确定哪些固件版本、镜像哈希和应用测量值是可信的，并将这些逻辑集成到自己的控制面或密钥管理系统中。包括AWS、Azure和Oracle在内的主要云提供商已提供成本大致与标准基础设施相当的机密计算服务，因此障碍不在于访问或价格，而在于将验证正确落地所需的工程深度。

沙迪德认为，更广泛的采用将依赖于三股力量的共同作用。第一，验证证明需要变得更易获取——无论是通过标准化，还是通过抽象复杂性的开源工具。第二，监管压力将持续推动采用，就像DORA已推动一样——如果其他行业的框架也走上类似轨迹，企业对机密计算的需求将变得难以忽视。第三，也是最根本的，公众对AI系统中数据处理过程的认知需要提高。大多数人对提交提示到消费者AI工具时发生了什么一无所知。提高这一认知——无论是开发者还是普通用户——都将带来社会压力，从而比单纯的技术论证更有效地推动采用。

展望未来，他认为如果机密计算和可验证执行成为默认基础设施，AI服务的设计、销售和治理方式将发生实质性变化。客户将获得关于其数据处理方式的密码学证据，而非政策保证，从而使企业能够以具体的方式向监管机构和董事会证明合规性。沙迪德的比喻是存储和网络加密，从可选的安全措施转变为普遍的基础设施。他认为，机密执行的方向也是如此——一旦实现，每一次推理、微调任务和数据交接都将携带密码学证明，使管道的完整性成为可验证的事实，而非制度信任。