AI Agent时代来临,OpenClaw快速普及的同时,提示词注入、供应链攻击、内存泄露、底层窥探等安全风险愈发突出,软件防护已难以满足产业刚需。GCC机密计算专委会持续关注AI 安全与算力可信发展,近日,GCC白金会员单位、机密计算专委会核心成员单位华为技术有限公司发布鲲鹏CCA 机密计算架构,通过机密域隔离、管理权与访问权分离、端到端数据加密等关键能力,为智能体应用提供可信运行环境。这一技术实践为行业树立安全标杆,助力企业合规部署智能应用,共筑安全可控的 AI 计算生态。
-
繁荣背后的阴影:AI Agent面临的“生存威胁”
间接提示词注入(Indirect Prompt Injection):这是Agent时代的“特种病毒”。攻击者无需直接攻击你的对话框,只需在Agent抓取的网页、邮件或文档中埋下一段“隐形指令”。当OpenClaw读取并解析这些内容时,恶意指令会瞬间控制Agent的大脑,诱导其执行恶意操作。
“Dirty Skills”与供应链攻击:OpenClaw极度依赖社区提供的Skills。恶意开发者可能发布看似实用的“日历同步”插件,实则暗含攻击后门。一旦安装,Agent 就成了运行在内网的“合法间谍”。
数据安全风险:由于智能体通常携带着高权凭证在开放环境下运行,极易因注入攻击或内存嗅探而成为权限滥用的‘突破口’,调用服务时所依赖的敏感凭证、运行时上下文以及长期记忆都面临着数据泄露的风险。
特权级窥探(Hypervisor/Host Snooping):即便软件层足够稳固,但在云端或共享环境下,宿主机操作系统(Host OS)或虚拟机监视器(Hypervisor)拥有最高权限。一旦底层受损,Agent内存中的所有私密数据、推理过程和上下文数据,对攻击者而言都是“裸奔”的。
面对上述挑战,传统的软件加固已无法满足。鲲鹏(Kunpeng)处理器引入的机密计算架构(Confidential Computing Architecture, CCA),提供了一种从硬件底层彻底阻断威胁的解决方案。
鲲鹏CCA机密计算安全架构
其核心组件包括:
Realm(机密域):开发者可以将OpenClaw的核心执行逻辑包裹在一个个 Realm 中。Realm就像一个透明的物理防弹盒:外面的人(宿主机管理员、黑客)可以看到盒子在运作,但绝对无法透视盒子里运行的数据流,也无法向盒内注入攻击代码。
TrustZone(Secure高安域):可以为OpenClaw服务提供密钥管理、加解密、安全存储、设备认证等服务,确保系统核心数据加密密钥的安全性。
RMM (Realm Management Monitor):作为机密域的管理枢纽,RMM确保了即便是拥有最高权限的Hypervisor,也只能负责“分配资源”,而无权“访问内容”。管理权与访问权的彻底分离,从物理层面解决了“家贼难防”的安全难题。
内存加密引擎(MEE):支持内存国密算法加密,内存中运行的应用程序和用户数据,只有被授权的CPU核才能看见和修改,其他任何组件、任何权限、任何物理手段都碰不到明文数据。
可信IO:鲲鹏具备强大的可信IO能力:既有独创的PCIPC能力,实现Legacy设备安全直通到安全域,将CPU TEE拓展到PCIe外设上,防止Host侧和其他Realm虚机对该设备的非法访问;也兼容业界TDISP安全IO协议,实现Realm虚机对TDISP设备安全认证,以及设备直通到Realm虚机。在保证Realm虚机与设备间安全通信的同时,提高系统IO性能。
-
强强联手:OpenClaw+鲲鹏CCA的深度化学反应
当OpenClaw的灵活性遇上鲲鹏CCA的坚固性,一套专为AI Agent设计的“纵深防御体系”应运而生。
鲲鹏CCA机密计算架构使能OpenClaw安全部署
硬件级隔离的“代码实验室”
在OpenClaw执行Python脚本或操作数据库时,系统会自动在鲲鹏Realm中启动一个机密沙箱(Confidential Sandbox)。即便 Agent遭受了提示词注入攻击,试图执行恶意代码,该行为也会被约束在沙箱内部,无法攻击真实主机系统和其他工具。同时,Host特权软件也无法访问Agent运行内存中的任何上下文。
端到端的数据安全和隐私保护
AI Agent的推理过程通常涉及大量个人隐私数据。在鲲鹏CCA的加持下,OpenClaw处理的所有任务(如用户行程规划、财务管理)均在加密内存中运行。即便是在公有云环境下部署,用户也能拥有如同“私有化部署”般的绝对掌控感。即使攻击者通过物理方式发起内存嗅探攻击,也无法获取Agent运行时数据。
不可伪造的“远端证明”
通过鲲鹏CCA提供的硬件级远程证明(Attestation)机制,OpenClaw 在与外部系统交互前,可以先向用户出示一份“身份凭证”。这份凭证由鲲鹏处理器硬件签名,证明当前的Agent运行在受保护的机密域中,且核心程序逻辑未被篡改。
安全算力性能飞跃提升
不同于传统的加密方式会导致性能剧降,鲲鹏处理器在CCA模式下依然能完美利用向量加速指令。在保证 Agent 安全性的同时,大幅提升其处理复杂数据和向量计算的效率,真正做到“鱼与熊掌兼得”。
TrustZone + 安全芯片双重防护
鲲鹏CCA通过TrustZone为OpenClaw业务提供经过国密认证的高性能密码服务接口,支持OpenClaw上下文、数据的高安加密。并通过高等级安全芯片实现分层密钥管理和保护,防止用户密钥泄露。
虽然鲲鹏CCA构建的可信执行环境(TEE)大幅提升了智能体运行时的数据安全,但传统防护手段依然关键,例如安全配置、权限控制、白名单策略、安全护栏等措施需同步落实,具体实施细节不在本文讨论范围内。
随着《个人信息保护法》等法规的深化落实,AI的安全性早已不再是“选配”,而是“标配”。鲲鹏CCA与OpenClaw的结合,为国内算力平台树立了安全标杆。这不仅是一次技术栈的迁移,更是一次关于Agent时代“数字主权”的重构。我们不仅要拥有强大的AI,更要拥有一种“无法被背叛用户”的 AI。在鲲鹏CCA筑起的“机密城堡”中,OpenClaw将不再是安全噩梦,而是通往未来智能世界的坚实桥梁。
全球计算联盟(英文“Global Computing Consortium”,简称“GCC”)作为中国首个计算领域的国际性产业与标准组织,由计算领域的技术提供者、生产商、系统集成商、企业用户、科研院所等共同发起成立,以“新型计算赋能数智社会”为愿景,秉持“开放、创新、协作、共赢”的价值观,致力于推动计算产业开放创新,构筑强健繁荣的生态,支撑数智社会可持续发展。
