【TEE从入门到精通及实战】92 TEE与机密AI推理:当模型权重比黄金更贵
92 TEE与机密AI推理:当模型权重比黄金更贵
去年秋天,我帮一家医疗影像公司做TEE改造。他们的核心资产是一套肺结节检测模型——训练花了两百多万,标注用了三年。
客户要求:模型必须跑在云端GPU上,但绝不能离开TEE环境。当时工程师的做法是:把整个PyTorch模型序列化后塞进enclave,结果内存爆了,推理速度从50ms飙到2.3秒。
问题出在哪?他们把TEE当成了“加密沙箱”,以为把模型整个丢进去就安全了。
实际上,模型推理的机密性挑战远不止于此——模型权重的保护、输入数据的加密传输、推理结果的防篡改,每一步都有坑。今天我们就来啃这块硬骨头。
痛点拆解:那些“看起来安全”的错误实现
最常见的错误是把模型加载和推理混在同一个enclave里,不做任何分层。我给你看一个反面教材:
# 反例:全部塞进enclave的“暴力方案”importtorchimporttensealastsfromcryptography.fernet