从 “被动安全” 到 “主动验证”，CMaaS 如何守住企业核心数据？

引言：AI 落地背后的信任困局

当 MaaS（模型即服务）成为企业落地 AI 的主流形式，一场围绕数据安全与隐私的信任危机也随之而来。企业为追求更好的部署效果，不得不将一线业务机密、组织敏感数据上传至 MaaS 平台，但传统 MaaS 的“黑盒逻辑”让数据在传输、计算、存储全链路中暴露于风险之下——第三方入侵、运维人员偷窥、合规性缺失、服务透明性不足等问题，逐渐成为 AI 规模化应用的阻碍。

在此背景下，Confidential MaaS（机密 MaaS，简称 CMaaS）作为融合机密计算技术的新范式，正试图通过“技术可验证信任”打破传统契约式信任的局限。「AI 进化论：智算时代 OS 的破局之路」第三期直播，聚焦「 CMaaS 如何重塑 AI 时代的信任边界 」，邀请英特尔数据中心与人工智能集团首席工程师宋川、OPPO 私密计算云技术专家庞洪福，以及龙蜥社区机密计算 SIG Owner 张佳，从硬件、终端、云端等视角，拆解 CMaaS 的技术逻辑、落地实践与未来方向。

点击图片，观看完整直播回放

以下为经编辑整理的专家访谈实录。

Part 1：行业趋势与核心挑战（“为什么需要 CMaaS？”）

Q1：当前 MaaS 模式在快速发展中，企业最担忧的信任问题集中在哪些方面？传统安全架构在 AI 推理链路中暴露出哪些局限性？

@庞洪福（OPPO）

现在 MaaS 发展越来越快，更多终端用户通过 MaaS 做 AI 推理，大量用户数据上传后若发生泄露，会给企业和用户带来巨大损失。站在企业和用户角度，核心担忧集中在四点：一是安全问题，MaaS 平台能否防住第三方入侵，日志、指标导出是否会意外泄露数据；二是隐私问题，平台软件栈或运维人员是否会偷窥用户数据；三是法律与监管问题，当前服务是否满足日益严格的 AI 监管要求；四是透明性问题，实际提供的服务是否与预期一致，比如购买昂贵的 V2 版本，却被提供便宜的 V1 版本。

@宋川（英特尔）

MaaS 是多方协作的服务，涉及模型使用方、发布方、平台方，各方的信任痛点不同。用户（模型使用方）担心输入数据（个人信息、企业知识库）和输出结果的隐私泄露；开发者（模型发布方）担心大量投入资源构建的模型被泄露、复制，商业机密受损；平台方则要承担多租户隔离、运维面与用户面隔离的责任，还要应对硬件固件、操作系统的安全漏洞风险。传统安全架构依赖“平台不作恶”的契约，却无法从技术上解决这些多方协作中的信任断层。

@张佳（龙蜥社区）

从云端视角看，传统 MaaS 在计算、存储、网络三要素上存在数据泄露的风险点，比如消费电子厂商会担心终端用户数据对云端可见。具体来说，终端用户数据脱离客户端后，在通过云端配置不当的负载均衡器时，TLS 可能会被卸载，导致终端用户数据在之后的传输过程中变为明文传输，存在终端用户数据在传输过程中的数据泄露风险；再比如在企业上云时用公有云算力做 AI 推理/训练的场景，如果使用不当，内部敏感数据可能在计算、存储环节暴露；此外还有用户数据留存问题，因为用户会担心推理数据被留存用于其他用途；另外私有大模型、私域数据上云部署还可能存在知识产权保护的问题。总之，传统 MaaS 的用户数据安全保护能力完全依赖平台，但平台提供的传统用户数据安全保护能力无法满足“用户数据可用不可见”的要求，如果不做改进，是无法顺应当今 AI 数据安全与隐私保护这一发展趋势的。

Q2：从“契约式信任”到“技术可验证信任”，如何理解“技术可验证信任”？这种转变对 MaaS 生态意味着什么？/ 机密 MaaS（CMaaS）作为新范式，其核心价值如何体现？

@张佳（龙蜥社区）

“技术可验证信任”的关键是用技术手段让用户能够自主独立地验证执行环境的安全性，而非完全依赖背书。过去传统 MaaS 处理的用户数据对平台方来说“可用又可见”，因此平台通过合规方式向用户背书并担保其数据安全；如今最新的 CMaaS 将结合机密计算技术，构建最小可信执行环境（TEE），把 AI 推理环境完全封装到可信边界之内，并对计算、存储、网络提供运行时全链路加密，最终实现“用户数据可用不可见”。这种转变对 MaaS 生态的意义在于能够大幅降低用户对平台的信任成本——用户不用再需要完全信任平台，而是能够通过远程证明等技术验证执行环境（比如机密虚拟机硬件隔离环境）的安全性和可信度，让用户从技术上相信其数据仅在 TEE 提供的类似“远程保险箱”的环境内被解密和使用。

@宋川（英特尔）

契约式信任在 AI 时代已走不通，因为它只靠纸面承诺背书，没有技术保障。比如用户用模型服务查股票、行业新闻，未来还可能交互更多敏感信息，一旦出问题，契约无法兜底。“技术可验证信任”是通过密码学、机密计算、度量技术，让信任可验证，实现“代码即信任、代码即契约”。CMaaS 的核心价值就是为 MaaS 生态提供技术信任基石——只有用技术手段保证信任，MaaS 才能健康发展，甚至支撑未来智能 Agent 时代的复杂协作。

@庞洪福（OPPO）

从终端视角看，“技术可验证信任”是获取用户信任的关键。我们作为终端厂商，要给用户提供可信、透明的服务，就得用技术手段让用户验证我们的安全承诺；同时我们也是 MaaS 使用方，用户的安全诉求会转嫁到 MaaS 上，所以 MaaS 必须给我们提供可验证的透明与信任。CMaaS 的核心价值在于兼顾 AI 能力与安全——我们能把 CMaaS 集成到系统，通过它的可验证信任，让用户信任应用，进而信任产品，最终提升品牌影响力和市场差异化。

Q3：服务器操作系统作为底层基石，在支撑 CMaaS 实现可信计算中扮演什么角色？当前面临的技术挑战有哪些？

@张佳（龙蜥社区）

服务器操作系统在 CMaaS 中扮演着“压舱石”的角色，其安全可信能力决定了 CMaaS 的整体安全水平——简单来说，如果 OS 不安全，CMaaS 就无从谈起。OS 的核心角色是支撑 TEE 硬件环境（比如英特尔 TDX）、构建远程证明体系，还要保障运行时的可信性。当前面临的挑战不少：一是多 TEE 硬件适配，要兼容不同厂商的 TEE 技术；二是远程证明复杂性，不仅要支持 CPU TEE，还要支持 GPU 等异构 TEE 和不同 CPU TEE 的交叉验证，未来甚至还要处理存储和网络 TEE 设备的联合证明；三是软件供应链安全，OS 镜像作为运行在 TEE 中最庞大复杂的制品，必须要具有可溯源、可重复构建、可验证构建等能力，比如需要通过 SBOM（软件物料清单）描述制品成分，需要用可重复构建技术建立可审计的源码与二进制制品之间的一致性。但现实情况是很多 OS 组件在历史设计没有考虑过可重复构建，即使是相关的社区项目也没有将可重复构建率达到 100%。

@宋川（英特尔）

硬件提供隔离、加密、可信根能力，但这些能力要通过 OS 的可信服务、安全服务，才能转化为 CMaaS 需要的度量、证明等流程——OS 是硬件能力交付给用户的桥梁。当前的挑战是硬件演化快，软件（尤其是 Linux 生态）走上游社区流程慢，从上游到下游再到用户，交付周期长。比如英特尔 TDX 技术从 1.0 到 2.0 迭代，增加了异构计算支持，但 OS 要适配这些新能力，得经过上游社区开发、下游社区集成，而用户需求又很迫切，怎么让硬件能力、OS 交付、用户需求匹配，是个难点。不过龙蜥社区在这方面做得好，提前适配 TDX 等技术，能快速把硬件能力落地给用户。

Part 2：技术突破与实践路径（“CMaaS 如何实现？”）

Q4：TEE（硬件可信执行环境）和远程认证是 CMaaS 的核心技术，它们如何在实际场景中保障 AI 推理环境的“代码即身份”？/ 服务器 OS 层面如何适配这些技术以发挥最大效能？

@宋川（英特尔）

TEE 的核心是硬件级隔离与可信根。以英特尔 TDX 为例，它把整个虚拟机变成可信执行环境，每个机密虚拟机（CVM）创建时会分配一把硬件管控的密钥，软件看不到。用户数据写入内存时，经内存控制器实时加密，只有在 CVM 内才能解密，从硬件上杜绝数据泄露。远程认证则是在 CVM 启动时，通过硬件可信根度量环境组件（固件、OS、模型），生成带硬件签名的度量报告——报告里的环境指纹就是“代码身份”，用户拿到报告后，能验证服务端运行的是否为预期的代码和环境，实现“代码即身份”。

@张佳（龙蜥社区）

OS 层面适配要围绕“释放 TEE 能力、保障可验证性”展开。首先是适配多种 TEE 硬件类型，比如龙蜥 OS 已经适配了英特尔 TDX、海光 CSV、AMD SEV 等，让 OS 能运行在不同 TEE 当中；其次是构建远程证明体系，OS 要支持不同 TEE 的证明协议，还要实现跨 TEE 的安全可信通信，比如 TEE A 和 TEE B 通信时，能互相验证对方的证明证据；另外还要优化 TCB（可信计算基），通过裁剪 OS 组件，尽可能减少位于可信边界内的冗余功能，降低攻击面和潜在的安全风险。

Q5：在端到端密态流转中，服务器 OS 的加密架构设计需要兼顾哪些维度？如何在复杂分布式场景下实现全链路数据“可用不可见”？

@庞洪福（OPPO）

端到端密态流转要从纵向、横向两个维度设计。纵向是单 AI 节点的安全——用 TEE 或双向沙箱技术构建“牢固的笼子”，黑客进不去，明文数据出不来，加密数据只有进笼子才能解密；横向是节点间的协同——让这些“笼子”通过远程认证互相证明身份，再基于证明结果生成会话密钥，建立端到端加密通道，笼子间传输的加密数据只有在笼子里能解密。这样用户数据从终端加密传输，到笼子里解密使用后立即删除，全链路“可用不可见”，不会流传到其他地方。

@张佳（龙蜥社区）

服务器 OS 的加密架构要覆盖计算、存储、网络三个维度。网络上，区别于传统 TLS 协议的做法，需要把信任锚点从 CA 证书转向可通过远程证明验证的 TEE 身份——比如 AI 推理时，客户端先验证服务端 TEE 的证明结果，在确保服务端的执行环境是安全可信这一前提下，再动态生成会话密钥，保证端到端通信安全可信。如果这一安全连接只依靠传统的 CA 证书来背书，那么位于服务端的攻击者能够通过滥用合法 CA 证书的方式部署恶意执行环境，窃取来自用户的数据；存储上，模型要先在用户侧加密再上传云存储；OS 在 TEE 内加载模型时，通过远程证明获取解密密钥并仅在 TEE 内解密模型，确保云存储看不到模型明文；计算上，结合硬件内存加密（如 TDX 的内存加密引擎）和微架构上的隔离能力，确保数据在计算中始终密态处理，并以此为信任基础扩展至基于 TEE 的存储安全与网络安全（区别于传统上基于平台的存储安全和网络安全），覆盖用户数据的全生命周期。在分布式场景中，依靠上述提到的“TEE 信任链+全链路全生命周期加密”，让每个节点都只处理密态数据，并确保只在 TEE 内才能进行数据解密和计算。

Q6：构建可审计的 AI 软件供应链对 CMaaS 至关重要，透明日志等技术如何与 OS 层能力结合，确保推理引擎与运行环境的可信性？

@庞洪福（OPPO）

透明日志与 OS 的结合，是构建“源码-构建-运行”可信链的关键。首先从源码构建二进制时，生成基准值并发布到透明日志系统；然后 OS 通过底层可信度量能力，在软件启动时收集固件、内核、服务的数字指纹（度量值）；最后用户或安全人员拿 OS 生成的度量值，与透明日志里的基准值比对——如果一致，就说明运行环境可信。透明日志系统自身的可信性，可以用区块链实现：把基准值的发布、吊销操作写成区块链交易，利用区块链的去中心化、防篡改特性，让每笔交易都能公开验证，甚至通过智能合约实现自主治理，突破传统信任边界。

@张佳（龙蜥社区）

透明日志与 OS 层的结合，核心是补全“OS 可审计”能力。比如在部署 AI 推理系统前，会把运行在 TEE 中的 OS 等制品组件的相关构建信息（源码地址、编译参数等）、代码的身份信息（版本、commit 哈希等）上传到透明日志中，并进行签名。透明日志底层可以采用 Merkle Tree 算法来保证其完整性，同时定期发布签名的树根哈希值。在后续运行的过程中，若要验证 OS 等制品的可信度，就可以从透明日志拉取出对应的记录，在验证签名有效性后，与本地参考值进行比对。透明日志系统自身的可信性有两种保障方式：一是信任委任方式，比如让权威的第三方来运维透明日志服务，虽然增加了一点信任成本，但整体的信任成本仍旧比传统 MaaS 低；二是采用 TEE 化部署，即把透明日志服务独立地运行在 TEE 环境中，同时裁剪 OS 并最小化 TCB，确保整个 TEE 只用来支撑透明日志这一单一功能，大幅降低被攻击的风险——就像远程证明服务可以 TEE 化一样，透明日志服务也同样能够通过 TEE 化提升其安全性和可信度。

@宋川（英特尔）

透明日志的价值是让可信可追溯，它与 OS 的度量能力结合，才能实现全流程可信。OS 的度量能拿到运行时指纹，但透明日志能记录软件执行环境构建过程的信息（比如组件来源、签名），两者结合才能证明“运行的软件就是预期构建的软件”。透明日志系统的可信性，本质是平衡成本与安全——去中心化的区块链方案防篡改能力强，但部署复杂；中心化方案便捷，但要靠技术（如 TEE）或监管保障可信。未来需要行业协同，制定日志的标准格式和验证流程，让不同厂商的日志能互认，才能真正发挥可审计价值。

Part 3：场景价值与未来展望（“CMaaS 能带来什么？”）

Q7：CMaaS 在数据敏感类场景已经取得了哪些落地成果？

@庞洪福（OPPO）

OPPO 多年前就涉足机密计算，现在已构建覆盖全球、多云协同、混合异构的私密计算云。在智能手机场景，我们的私密计算云能结合 CMaaS——通过 CMaaS 的可验证信任特性，与云端可信对接，既丰富了终端 AI 服务能力，又保障了用户数据安全。比如用户用终端 AI 服务时，敏感数据加密传输到 CMaaS 环境，处理后立即删除，终端用户不用再担心隐私泄露，这也提升了我们产品的品牌信任度和市场差异化。

@张佳（龙蜥社区）

在云端场景中，CMaaS 已有不少潜在落地方向。一是智能驾驶场景，车企需要借助公有云算力做大模型预训练和微调，又要对来自智能驾仓的各种多模态隐私数据提供保护；同时，借助 CMaaS 能提供数据收集-训练-部署的全链路流水线，实现“密态训推一体”；二是 Web3.0 场景，比如某些 Web3.0 初创公司希望用区块链托管公司的部分数据资产，同时用 AI 驱动决策；CMaaS 能将区块链节点以及 AI 决策逻辑放在 TEE 中，确保核心数据和决策逻辑的安全性。这些场景都对影虎数据安全要求极高，CMaaS 的“可用不可见”特性正好匹配这些需求。

@宋川（英特尔）

英特尔不直接做 MaaS 业务，但一直在为 CMaaS 提供底层硬件支撑。比如我们与云厂商合作，把 TDX 机密虚拟化能力落地为云服务（机密虚拟机 CVM、机密容器），用户能便捷拿到机密算力部署 CMaaS；针对 AI 异构加速需求，我们还推动 TDX 与 GPU 的协同，通过云服务商提供一机一卡、一机八卡的异构机密计算能力，让 CMaaS 能用到 GPU 的机密加速能力。现在云上已经能方便获取这些硬件支撑的机密算力，为 CMaaS 落地打下了基础。

Q8：龙蜥社区作为开源操作系统生态，在推动机密计算技术适配与 CMaaS 落地中，正在做哪些探索？开源协作对构建 CMaaS 生态有何意义？

@张佳（龙蜥社区）

龙蜥社区的核心探索是“打通上游技术到技术解决方案的落地链路”。首先，我们的开发同学很多都是机密计算上游社区（如 Coco 等）的 maintainer 或贡献者，他们能够第一时间把上游最新特性集成到龙蜥 OS 中，比其他发行版更早交付给用户试用和体验；其次，我们在 OS 中集成软件供应链安全能力，比如 SBOM 等，让 CMaaS 需要的“组件可溯源、二进制可验证”成为内置的基础能力；另外，我们还联合英特尔等硬件厂商，共同开发和提供 CMaaS 开源解决方案，比如即将在云栖大会 Intel 展台上展示的 CMaaS 推理/训练场景 Demo，让用户能够进行实际体验。

开源协作对 CMaaS 生态的意义，关键在于“降低信任门槛和提升可验证透明度”。CMaaS 需要系统透明性，而开源能让 OS 等核心组件的源码是可审计的，因此用户不用再信任闭源的黑盒；同时开源能汇聚多方力量——硬件厂商、云厂商、终端企业一起共同优化技术栈，比如龙蜥社区与英特尔合作适配 TDX，比单一厂商推进更快。而且开源不只是分享代码，更是传递“可验证的制品才是可信的”这一思想的最佳载体。将机密计算技术与软件供应链安全进行结合的做法，能让整个 CMaaS 生态少走弯路。

Q9：未来 3-5 年，CMaaS 将迎来哪些发展趋势？企业需要重点关注哪些技术方向？

@张佳（龙蜥社区）

未来 3-5 年，CMaaS 会从“推理场景”向“全场景覆盖”演进，比如不仅支持 AI 推理，还能支撑训练、训推一体，甚至延伸到数据预处理、模型部署全流程。企业需要关注三个技术方向：一是硬件级安全能力的适配，比如 GPU、智能网卡等异构设备的 TEE 支持，这会影响 CMaaS 的性能和场景覆盖；二是软件供应链与机密计算的深度融合，比如如何实现“从源码到运行”的全链路可验证，这是提升系统可信性的核心指标；三是合规与技术的结合，未来监管可能会强制要求敏感 AI 场景用机密计算，企业要提前布局，让 CMaaS 方案符合合规要求。

@宋川（英特尔）

趋势上，CMaaS 会成为 AI 基础设施的“标配能力”，就像现在云服务都提供虚拟机一样，未来机密 MaaS 会成为主流选择。企业需要关注两个方向：一是异构协同，随着 AI 大模型对算力需求增加，CPU、GPU、DPU 的协同会更重要，要关注这些异构设备的机密计算协同技术（如 TEE-IO 技术），这会直接影响 CMaaS 的性能；二是“轻量化可信”，现在 CMaaS 的部署和验证还比较复杂，未来会有更简化的工具链和框架，企业要关注如何低成本接入 CMaaS，比如通过云厂商提供的托管式 CMaaS 服务，降低自身技术投入。

@庞洪福（OPPO）

从终端企业视角，未来 CMaaS 的趋势是“更低成本、更高兼容性”。企业需要关注的技术方向：一是用户信任技术的深化，比如如何实现“零信任”理想目标，让用户完全不用依赖平台；二是可验证技术的落地，比如非开源二进制组件的可信验证，以及如何搭建能稳定生成相同二进制的可重复构建系统；三是 CMaaS 的标准化，希望未来能有统一的硬件-OS-服务接口标准，降低终端企业接入、迁移 CMaaS 的成本，同时期待出现性能好、成本低的异构硬件替代品，让 CMaaS 能大规模普及。

结语：共建 AI 时代的可信生态

CMaaS 的价值，不只是解决 MaaS 的安全问题，更是重塑 AI 时代的信任逻辑——从“被动信任平台”到“主动验证技术”，从“单点安全”到“全链路可信”。这场变革需要硬件厂商提供底层可信基石，OS 社区构建中间可信桥梁，终端与云企业落地场景价值，更需要监管与行业协同制定标准。

正如嘉宾们所言，未来的 CMaaS 生态，会是一个“技术+合规+协作”的共同体。当数据能在密态下自由流动，当 AI 服务能被自主验证可信，CMaaS 才能真正释放 AI 的价值，成为智能经济的信任底座。

栏目介绍：

在 AI 重塑产业格局与国产化替代加速推进的双重浪潮下，《AI 进化论：智算时代 OS 的破局之路》以云、AI、安全等技术与服务器操作系统如何融合演进为主线，聚焦服务器操作系统在智算时代的进化之路，特邀学术权威、行业专家、客户代表围绕原生智能、原生安全、软硬协同等热点议题展开深度对话，并以阿里巴巴服务器操作系统为例，系统性解析其技术架构、演进之路及场景应用价值，以期给行业带来启示与借鉴。

🔍 更多关于 CMaaS 的技术细节与场景探索，请参见《Confidential MaaS：可验证推理数据密态流转》。