【TEE从入门到精通及实战】72 在Enclave中安全加载模型：避免“边信道”攻击的实战指南

开篇故事

上个月，我帮一家金融科技公司做安全审计。他们的核心业务是在Intel SGX Enclave中运行反欺诈模型——听起来很完美，对吧？直到我看了他们的模型加载代码。

“等等，你们在Enclave外部解压模型文件？”我问。

“是啊，PyTorch的torch.load()在Enclave里跑不动，我们就在外面解压，然后把权重数据传进去。”架构师小刘一脸坦然。

我让他演示了一下。模型加载过程中，Enclave外的内存里明晃晃地躺着完整的模型参数——包括决策树的每个分裂阈值、神经网络的每层权重。攻击者只要在这个时刻做一个内存dump，就能把整个模型偷走。

更糟的是，他们还在日志里打印了模型加载的耗时：“model loaded in 2.3 seconds”。这个时间戳泄露了一个关键信息：模型大小。结合其他侧信道信息，攻击者甚至能推断出模型结构。

这不是个例。在我审计过的十几个TEE项目中，超过70%的模型加载实现存在安全漏洞。今天，我就带你彻底解决这个问题。

痛点拆解

常见错误实现

来看一个典型的“伪安全”实现：

# 错误示例：在Enclave外解压和校验模型importtorchimport</