TEE 隱私以外的未來

TEE 的核心功能之一是透過單獨的認證流程來驗證其正確的配置。認證過程為 TEE 的硬體和配置元素提供加密驗證，以保障其隔離處理的安全性。

作者： Yiping，Jiawei，Danny @IOSG

原用標題： IOSG Weekly Brief｜TEE 隱私以外的未來 #261

封面： Photo by  Komarov Egor   on  Unsplash

本文僅供學習交流使用，不構成任何投資建議。轉載請註明出處，並與 IOSG 團隊聯繫以取得授權及轉載須知。文章中提及的所有項目並非推薦或投資建議。

什麼是 TEE？

TEE 在處理過程中將敏感資料隔離在受保護的 CPU 隔離區。隔離區的內容（包括正在處理的資料和處理方法）僅對授權的程式碼可見，其他任何人或事物（包括雲端服務提供者）都無法存取或了解。

TEE 的配置決定了哪些實體被授權輸入資料、可以處理的資料集和程式類型，以及允許的輸出結果。 TEE 的核心功能之一是透過單獨的認證流程來驗證其正確的配置。認證過程為 TEE 的硬體和配置元素提供加密驗證，以保障其隔離處理的安全性。

TEE 的發展與演變

TEE 的演變主要圍繞在三個概念：

• 開發者體驗
• 效能
• 安全性

Intel SGX 革新了安全硬件，提供了接近本地性能的強隔離能力，但其開發者體驗存在挑戰。開發者需要對應用程式進行大量重寫以適應 SGX 的程式模式，這一複雜性限制了其在金鑰管理等少數領域以外的應用。

随着像 Gramine 这样的框架的引入，开发者体验显著提升。Gramine 为 CPU 隔离区提供软件抽象，开发者可以直接将应用编译为二进制文件并运行在 SGX 中。Gramine 的作用类似于将 SGX 环境与常规 Linux 环境连接的 “粘合剂”。

隨著 TEE 發展為 Confidential VMs 和 GPU（如 Intel TDX 和 H200），開發者可以直接部署未經修改的應用程式。開發者可以將整個生產環境打包並直接運行在加密虛擬機器中。 H200 是首個提供 GPU 等級 TEE 的產品，能夠運作更多 AI 與影像處理相關的應用。

例如，dStack 平台進一步簡化了開發者在機密運算環境中的部署和擴充。 dStack 基於微服務架構，支援多個微服務在單一 TEE 實例中部署並安全通訊。這種模組化設計使得更複雜的工作流程能夠在 TEE 中安全運作。

TEE 的安全性依賴於硬體製造商提供的信任根，但這也帶來了對專有硬體和閉源實現的依賴，可能引發透明性和潛在後門的擔憂。為了解決這些問題，開源 TEE 解決方案（如 Keystone 和 OpenTEE）正逐步成為可行的替代方案。儘管目前性能遜色於專有解決方案，但其透明設計和可驗證的製造過程增強了硬體完整性的信任。

開發者還可以結合不同供應商的多個 TEE，運行相同的工作負載並對比輸出結果，透過這種交叉驗證降低單一 TEE 潛在漏洞的風險。

另一個關鍵的安全挑戰是側通道攻擊（side-channel attacks）。這類攻擊透過時間、功耗或電磁洩漏等物理特性來提取 TEE 中的敏感資料。一種新穎的解決方案是將 TEE 部署在完全隔離的環境中。例如，SpaceCoin 計畫將 TEE 發射到軌道衛星中，透過衛星的物理隔離性來消除基於接近的攻擊威脅。透過在太空中運行計算，這些 TEE 實現了對側通道攻擊及其他物理威脅的保護。

TEE 的未來

隨著 TEE 進一步發展，權衡變得更加複雜：

• 提升開發者體驗可能會增加可信任計算基（TCB）。
• 開源指令集可能會降低效能，但可提高可驗證性。
• 透過 Yocto 專案改進 TCB 可能會使部署更複雜。

從創造有趣的社交體驗，到建立公平的全球金融系統、訓練帶有敏感資料的大型模型，再到實現全球規模的隱私身分管理，我們需要達到 TEE 的第五級—— 加密運算的聖杯，未來前景令人振奮。

早期 TEE（如 SGX）要求開發者編寫自訂 C 程式碼，或使用像 Gramine 這樣的抽象層提供類似 Linux 的介面。

進階解決方案（如 TDX 和 Nitro）現在支援類似 Docker 的容器化工作流程，但偵錯仍然困難。

Paradigm 展望透過多方計算（MPC）或全同態加密（FHE）實現多隔離區協作，以緩解單一隔離區故障的風險。

對於 Crypto x TEE，Phala、Automata 和 Flashbot 正在推動標準的建立。透過提供標準並完善 Tee 相關基礎服務，讓 Crypto TEE 被更多協議所快速採用。

TEE 的用例

去中心化網路中的 TEE 硬體創造了一個可信任的運算環境，稱為 Decentralized Confidential Computing，催生了加密領域眾多有趣且具有市場關注度的用例，包括 Agent、DePIN 和社群媒體帳號管理。在眾多新興基礎設施中，Unichain、Flashbots 和 Taiko 也正在利用 TEE 來優化其服務。

MEV 相關用例

身為 MEV 領域的先驅，Flashbots 早在 2022 年 12 月就開始探索像 TEE 這樣的隱私技術在交易生命週期中所扮演的角色。其主要目標是實現交易供應鏈中的信任無關協作，包括去中心化區塊建構和訂單流共享。 Flashbots 進行了一系列與 TEE 相關的研究和實驗，例如在 Intel SGX 中執行 Ethereum 用戶端 Geth，以及在 SGX 中執行區塊建構器的操作。

長期以來，Ethereum 區塊的 90% 都由僅兩個區塊建構者構建，這對 Ethereum 的去中心化、彈性和抗審查能力構成了持續的風險。為了增強區塊建構的去中心化，Flashbots 推出了 BuilderNet，一個由 TEE 提供支援的 Ethereum 去中心化區塊建構網路。該網路還支援向來自 dApp、錢包和用戶的上游訂單流提供退款，同時確保安全性和效能。

隨後，Flashbots 停止了其在主網上的集中化區塊構建器的運行，並遷移至 BuilderNet。目前 Ethereum 排名第一的區塊建構者 Beaverbuild 也將其軟體、基礎設施和訂單流整合到這個去中心化網路中。

幾個月前，Flashbots 聯合 Uniswap Labs 和 OP Labs 在 Unichain 上推出了 Rollup-Boost，這是一個基於 TEE 支援的可驗證 Rollup 區塊建立平台。

基於類似的 TEE coprocessor 技術，Flashbots 也發布了 Teleport——一個應用程序，它利用 TEE 協處理器實現了智能合約對 Twitter 帳戶的控制。

AI 相關用例

Crypto 和 AI 結合誕生了諸多環節，這點在 IOSG 之前的文章中有所闡述。隨著 TEE 跑在 GPU 的支持增加，AI 各個環節對於 TEE 的需求得到落地，包括

• 數據收集&標註
• 模型訓練
• 模型推理
• 自治 agent

在 Scailing law 的影響下，數據成為了 AI 發展最重要的一環。而 Crypto 在資料層能為 AI 提供最大的幫助是透過去中心化的機制，鼓勵使用者貢獻私有資料、貢獻資料標註，彌補無法在公開網路中獲得的資料集尤其是標記資料。透過 TEE 能夠提高資料收集和標註的隱私性和安全性。

以 Vana 舉例，Vana 是一個去中心化資料網絡，其中 Satya 類型的驗證者專門提供 TEE 環境。透過 TEE 驗證節點，Vana 中作為資料市場的資料流動池（DLP）能夠在不暴露原始資料的情況下，確保資料的溯源性和準確性，並安全地提供資料。用戶提交加密資料到智能合約，智能合約為用戶創造資產標識。用戶資料透過端對端加密協定（如 TLS）傳輸到 TEE 節點，資料在 TEE 節點中解密，產生品質證明。

從用戶角度來看，TEE 將數據轉化為了可驗證的資產，數據變成一種 “使用權”，用戶保留數據的所有權，獲得對應類型的代幣獎勵並透過治理機制參與決策。

尤其是對於醫療或金融等敏感數據，TEE 使數據的提供和標記隱私化。這對於維護用戶放心大膽提供資料和在合規層面遵守 GDPR 和 CCPA 等資料保護法規至關重要。

TEE 的獨立性意味著其是模型訓練的最佳地點。隨著基於 GPU 的 TEE 的普及、硬體效能的提高，TEE 能夠支援更多訓練的場景。目前，透過 Nvidia H200 GPU，可以對 Llama-3.1-8B 類開源模型進行 fine tuning，不僅能確保訓練資料和運算的隔離與加密，還可以產生加密證明和模型指紋，供公眾驗證。在參數適當的情況下，TEE 的模型訓練性能足以支撐大部分模型。在 H200 GPU 的 TEE 中訓練 Llama-3.1-8B，僅用 1 小時完成 30 輪訓練，達到 98% 的準確率，幾乎無效能損失。

Tee 依賴硬體的性質決定了需要一個去中心化的 GPU 網路才能夠支援其訓練的穩定性。如 Hyperbolic 利用 TEE 支援分散式節點間的 AI 訓練，相比 OpenAI 等中心化 GPU 供應商，成本更低，同時還能提供可驗證的執行證明。

對於 AI 訓練有強大需求的平台都可以較為輕鬆地連接 TEE 技術，如 Near 透過和 phala 一同建構 TEE 的模型訓練能力

從使用者的角度來看，最在意的是使用模型是否真的經過了對應模型的計算。上至 Chatgpt 接口，下至 TEE 環境內的開源模型。 TEE 支援的推理過程可以讓模型的推理結果得到驗證，Nvidia GPU TEE 讓推理過程在不犧牲速度和準確性下能夠保護用戶隱私。服務如 Phala 的保密 AI 推理，會為每個輸出產生驗證證明，使用者可以驗證推理是否真正發生在 TEE 內，提升對 AI 輸出結果的信任。平台如 0G 將 TEE 整合至 AI 推理服務中，確保從請求到回應的端對端資料保護和可驗證性。

對於 AI 訓練有強大需求的平台都可以較為輕鬆地連接 TEE 技術，如 Near 透過和 phala 一同建構 TEE 的模型訓練能力

Crypto Agent 正逐漸成為鏈上活動的重要參與者。而真正讓 agent 更有效的參與鏈上金融體系，則需要給予 agent 自治和主權能力。

自治，意味著 Agent 的運作、決策、輸入、輸出不受人為幹預。舉例來講，自治意味著 Truth Terminal 推上的輸入、輸出內容無法由 Andy 控制。目前雖不是直接幹預，但仍有後台 prompt 引導嫌疑。主權，則強調所有權。包括 Crypto 資產和運算資源。 Agent 對資產 100% 操控權和對自身運作環境的獨立控制。

自治和主權的 agent 是開啟更多用例的前提。只有 Agent 擁有自主權才能夠扮演更多經濟活動中的角色。同時這是從未有過的社會實驗，而且只能在 Crypto 中發生，任何的進展都是超級 Meme，在 crypto 市場中會產生極大的注意力經濟。

目前，最廣泛使用的 ai16z 的 Eliza 框架已經整合了 TEE 技術，開發者可以快速透過 Eliza 部署具有 TEE 特性的 agent。 Agent 透過 TEE 能夠自主的取得對於推特帳號、錢包、計算資源的控制權。

最早的 TEE agent 實驗是來自 Pet rock，一個跑在 TEE 環境並掌握推特權限的 agent。後來的 AI pool 是透過 Agent 在 TEE 中的操作不受外界干涉這一特質，提供了一個公平發射並富有隨機性的 launchpad。只需要在特定地址打錢，agent 會以安全參數進行初始化，初始化後，待打錢過程完成，agent 會自動選取隨機時間、隨機 Ticker，並部署流動性以及發射代幣。這一切操作都運作在 TEE 保護的環境中，人類無法干涉。 Spore.fun 更是透過 TEE 展現了 Agent 管理錢包這一過程。

任何的 TEE agent 都有對應的驗證流程，能讓使用者隨時進行 agent 是否跑在 TEE 中，是否真的權限不受人類控制相關的驗證。這一點除了 TEE 也可以透過 ZK 做到。

許多 TEE 專案在嘗試和 Agent 專案合作創造一些比較有新意的玩法。

隨著 Agent 更加智能，在鏈上生態中扮演的角色更加重要，減少其受人類影響的重要性也更高。將 TEE 嵌入 agent 的生命週期是最可見的實作方式。

TEE 的用例

對 Crypto 來說，TEE 是目前可用性較強，應用發展速度較快的一個可信計算工具，其發展圍繞著開發者體驗、性能、安全性三個方向發展，並同時受制於硬件，隨著英偉達主導的 GPU 發展，TEE 從 SGX 逐漸過度至 TDX 。

應用層面，AI、社交、depin 是 Toc 的強應用的方向，區塊搭建則是偏 infra 的應用方向。隨著 AI 敘事的發展，TEE 在去中心化計算上能夠貢獻不同 AI 環節的計算隱私、模型/資料溯源能力，並能夠賦予 Agent 獨立自治運行的能力。社交和 depin 則是不斷探索的零售新方向。對於區塊鏈本身的運作來說，TEE 未來將扮演重要的節點能力，為區塊鏈帶來隱私和公平性。

隨著底層服務/SDK 越來越成熟，各類項目對 TEE 技術的運用門檻也越來越低。專注於 TEE 之於 crypto 應用的服務供應商們正在往規範統一標準、成熟的開源技術支援等方向積累，並且已經誕生出不小新的用例。隨著這樣的垂直整合發生，我們期望看到更多基於 TEE 應用的爆發。

免責聲明：作為區塊鏈資訊平台，本站所發布文章僅代表作者及來賓個人觀點，與 Web3Caff 立場無關。文章內的資訊僅供參考，均不構成任何投資建議及要約，並請您遵守所在國家或地區的相關法律法規。