您的 AI 知道太多：机密 AI 不再是可选项

生成模型正在从研究实验室转向常规业务流程 —— 与此同时，一种沉默的、结构性的弱点也正在不断增长。

以此为例：Microsoft Copilot 访问了几乎每个组织在 2025 年上半年近三百万条敏感记录。这样的数字意味着 AI 的方法存在系统性问题。公司已经建立了强大的数据处理引擎，但它们没有为所使用的数据提供足够的保护。

大型语言模型和助手工具通常在没有硬件保护的情况下计算文档、消息和数据库。这一缺口，在推理过程中揭示了“使用中的数据”，现在直接威胁到优先考虑隐私、合规性和客户信任的企业。

正是在这里，机密计算发挥作用。该过程使用硬件辅助的 可信执行环境 (TEEs) 来保护代码和数据在使用过程中的安全性。这些 TEEs 是与主机操作系统和虚拟机监控程序隔离的内存区域。

这种保护改变了安全模型，允许在不暴露给堆栈其余部分的情况下处理机密信息。Microsoft 和其他云提供商现在提供私有推理和虚拟机 (VMs)，这些虚拟机将推理集成到 TEEs 中。

为什么隐私对于规则和治理很重要

传统的加密通常保护静态或传输中的数据，而正在被积极处理的数据则没有相同的保护，尽管这正是生成式 AI 与私有输入最常互动的地方。

今年早些时候，康奈尔大学研究人员关于可信计算单元的研究 揭示了如何使用硬件支持的隔离和证明来减少各方之间的信任需求。此外，去年，分析师估计私有计算基础设施的价值 超过 130 亿美元，预计到 2032 年将增长到 3500.04 亿美元。

简单地说，更多的人正在使用这项技术，因此监管机构和合规团队比以往任何时候都更加关注 AI 系统。因此，一个确保敏感数据在模型查询期间永远不会离开受保护的执行环境的框架将使审计跟踪变得更加容易，减少法律问题的风险。

然而，如果运行时保护不成为常态，那么这可能会使监管机构更难接受在严格监管领域的 AI。

现实生活中需要隐私的场景

有几个企业场景表明为什么机密 AI 不再是一种奢侈，而是每个组织都必须具备的东西。

例如，在金融领域，这可能适用于需要在不向外部模型运营商提供原始记录访问权限的情况下对客户交易历史运行欺诈检测和风险模型的机构。

在医疗保健领域，可能存在需要在保护患者隐私和满足严格监管义务的同时在受保护的临床数据上运行诊断模型的情况。此外，政府和国防机构可能需要经过验证的执行来在第三方云上运行敏感工作负载。

还有一些研究管道，它们将来自多个来源的数据集结合起来，特别是联邦健康研究，只有当每个参与者都相信他们的输入在计算过程中将保持不可读时，研究才能继续。

学术界和工业界的研究继续记录医疗工作流程中保密的机器学习方法，这些方法与机密执行很好地配对。

机密执行如何保护使用中的数据

机密执行依赖于两个相互连接的系统：硬件隔离和证明。硬件隔离防止安全区域外的软件读取安全区域内存。

证明是一种可验证的方法，用于检查安全区域内运行的代码以及安全区域本身的真实性。这些功能使模型所有者能够展示模型将在经过验证和密封的环境中与输入一起工作，并且只有在安全区域的规则得到遵守后，输出才会产生。

结果是数据所有者、模型运营商和云提供商之间的契约，使他们不太可能需要对抗性法律变通或诉诸脆弱的政策杂技。

现实的限制和障碍

当然，采用机密 AI 也带来了自己的挑战。证明和能够在安全区域中工作的硬件使部署更加复杂，因为传统的模型服务工具和安全区域感知运行时之间存在生态系统差距。一些安全区域运行时会带来巨大的开销，花费高达十倍的运行成本，并且可能会根据工作量的大小而有不同的性能权衡。

此外，成本现在比普通云推理更高，这可能会使小型企业难以理解这些数字。此外，还存在更改互操作性标准的问题，这可能会使一些早期采用者面临被供应商锁定的风险。

然而，这些问题只是暂时的工程问题，可以得到解决。云提供商和芯片制造商不断推出新产品，软件项目正在创建将当前的机器学习堆栈和 TEEs 链接起来的中间件。

如果有什么不同，那些认为标准加密和访问控制足够的公司面临更大的风险，因为当模型处理大量敏感记录时，他们将容易受到攻击。

呼吁企业实践的改变

风险管理团队需要改变购买和使用 AI 的规则。数据分类和治理仍然很重要，但在使用过程中需要得到技术保证的支持。

与第三方模型提供商的合同应该要求他们提供证明。采购团队应该要求提供性能基准和经过审计的机密执行选项。红队演练应该将安全区域感知测试作为工作的一部分。这些步骤将责任从临时承诺转移到可以检查的控制中。

此外，公共政策和行业标准集团需要设定期望。审计员、合规官员和监管机构应该要求对处理受监管数据的工作负载类别进行可验证的运行时保护。

这些规则将降低以后发生的违规行为的数量，并给该行业带来在不担心法律问题的情况下创新和发展的自由。这将使金融、医疗保健和公共部门工作流程能够在没有监管障碍的情况下使用新模型。

保密性作为标准

生成式 AI 已经成为处理非常私人信息的企业中的一种有用工具。这种现实意味着机密执行不再是一种小众选项；它必须成为任何处理受监管、专有或个人数据的 AI 系统的标准做法。

已经有可用的工具，如 TEEs、证明服务和私有 VM 产品，而且经济效益正在迅速改善。另一个选择是保持敏感资产对推理时泄漏的开放，这可能会带来法律、财务和声誉方面的影响，这些影响企业已经无法承受了。例如，根据 IBM 2025 年数据泄露成本报告，平均全球泄露成本 达到几乎 500 万美元，监管机构如 GDPR 施加的罚款最高可达 2000 万欧元，用于严重违规行为。

将隐私放在 AI 治理的首位的公司将拥有优势：它们可以运行更彻底、更合规的测试，并在外部创新曾经被禁止的领域使用模型。简而言之，在模型运行过程中保护数据并不是采用障碍；这是企业和政府中负责任、可扩展的 AI 的基础。