Polyhedra引入可信執行環境（TEE），強化跨鏈與可驗證AI安全

作者：Weikeng Chen

原文鏈接：https://blog.polyhedra.network/tee-in-polyhedra/

Polyhedra 正在為其跨鏈橋接協議、預言機系統以及可驗證 AI 市場引入新一層安全機制，依託 Google Confidential Computing 技術實現可信執行環境（Trusted Execution Environment，簡稱 TEE）。在廣泛調研當前主流 TEE 解決方案後，Polyhedra 選擇基於 Google Confidential Space 搭建 TEE 安全模塊，並率先驗證了其零知識-TEE 結合（ZK-TEE）的全新證明機制 —— 實現在 Google Cloud 上運行的計算結果可被 EVM 鏈端驗證，開闢了可信計算與區塊鏈原生互操作的新路徑。

該安全層將逐步部署至 Polyhedra 旗下多款基於零知識的核心產品，涵蓋多個鏈之間的跨鏈互操作系統。同時，Polyhedra 還計劃通過預編譯合約形式，將 TEE 證明能力與 TEE 安全防護的 AI 應用原生集成至其自主研發的 EXPchain 中。 

什麼是 TEE？

TEE，全稱是“受信執行環境”（Trusted Execution Environment），是一種 CPU 技術。它可以讓 CPU 在加密且保護完整性的內存中執行運算 —— 就連雲服務提供商（比如 Google Cloud）、操作系統，甚至是在同一個虛擬機環境中的其他系統，都無法查看這些數據。

換句話說，TEE 能在硬件層面保證數據在使用過程中的機密性和安全性。

這種技術其實已經被廣泛使用了。例如蘋果的設備默認啟用了全盤加密功能（也叫“數據保護”），它就是基於蘋果芯片上的 TEE 實現的。只有當用戶用指紋或密碼解鎖設備後，才能訪問設備裡保存的密碼和密鑰等敏感信息。微軟的 Windows 系統也一樣，近幾個版本都支持 TEE 加持下的全盤加密（BitLocker）。這樣只有在操作系統和啟動流程沒有被篡改的前提下，磁盤才會解鎖。

Polyhedra 的 TEE 技術願景：構築安全可信的下一代互聯網基礎設施

從去年開始，Polyhedra 就一直在專注於跨鏈互操作和 AI 的安全性、可信性與可驗證性三大核心維度。我們正在推進多個產品研發，其中部分已正式發佈。總體而言，Polyhedra 的核心聚焦點涵蓋三個關鍵方向：

• 跨鏈橋接協議

• ZKML 與可驗證 AI 智能體

• 可驗證 AI 市場，包括 MCP 服務器（多方協同推理）
  

安全性始終是 Polyhedra 的首要目標，也是創始團隊組建 Polyhedra Network 的初衷。我們已通過 deVirgo 實現對底層共識機制的可驗證性，包括以太坊的完整共識驗證。

同時，Polyhedra zkBridge 已支持的諸多鏈大多采用 BFT 風格的 PoS 共識，這些系統的驗證難度相對更低。然而，在保障系統安全性的同時，我們也意識到引入可信執行環境（TEE）對於改善用戶體驗至關重要。TEE 能夠實現更低成本、更快終局確認時間、更強的非鏈上互操作性以及更高的數據隱私保護，為我們的產品體系提供重要補充。TEE，將成為我們安全架構中關鍵的一環，也是跨鏈與 AI 未來發展的加速器。

更低成本：Polyhedra 在 ZK 系統中的降本策略

Polyhedra 一直致力於通過多種技術路徑降低跨鏈橋接成本。這一成本主要來源於目的鏈上對零知識證明的生成與驗證開銷，不同區塊鏈的驗證成本差異較大，以太坊的驗證費用通常偏高。在現網運行中，Polyhedra 主要通過“批量處理”機制來優化成本。在 zkBridge 中，核心步驟“區塊同步”並非對每個區塊都執行，而是每隔數個區塊統一進行，該區塊間隔會根據鏈上活躍度動態調整，從而有效降低整體成本。

不過，在一些冷清時段（例如某條鏈的凌晨），用戶可能是“唯一一個發起跨鏈操作的人”。為了不讓這類用戶等待太久，zkBridge 會直接觸發同步、生成證明並完成驗證，這樣就會產生額外的成本。這些成本有時由用戶自己承擔，也可能分攤到其他用戶的交易費用中。 對於大額跨鏈交易，為了確保安全，證明成本幾乎不可避免。但對於小額交易，我們正在探索一種新機制：由 Polyhedra 預支資金流動性，在可控範圍內承擔部分風險，為用戶帶來更快、更便宜的跨鏈體驗。

除了跨鏈橋，Polyhedra 也在持續優化 zkML 的生成與驗證成本。其旗艦產品 Expander 庫已廣泛被其他團隊用於 ZK 機器學習場景，並在向量化、並行計算和 GPU 加速等方面取得顯著進展。此外，其證明系統也進行了多輪優化，大幅降低了證明生成開銷。在鏈上驗證方面，Polyhedra 正在其自主公鏈 EXPchain 中部署用於 zkML 驗證的預編譯模塊，該功能預計將在下一階段測試網中上線，從而實現 zkML 證明的高效驗證，並計劃推廣至更多區塊鏈生態。

儘管 Polyhedra 已實現對參數規模高達 80 億的 Llama 模型的證明，但當前的生成過程尚未做到“即時”。對於更大規模的模型，尤其是圖像或視頻生成類模型，證明生成時間仍然較長。Polyhedra 聚焦於構建 AI 智能體系統，在樂觀執行架構下運行模型——用戶如遭遇惡意操作，可通過 zkML 證明向鏈上發起申訴並懲罰操作者，無需每次都生成證明，僅在挑戰時使用。證明成本相對可接受，但智能體操作者需鎖定一定資本作為保險金，產生資金佔用壓力。

因此，對於運行超大模型、對安全性要求更高或期望更低費用的用戶，引入另一層安全機制（如 TEE）將非常關鍵。TEE 不僅可用於保障鏈上 AI 應用（如交易機器人）的可信性，也可在技術上提升系統抗攻擊能力，從而降低所需保險資金的規模。

快速終局：應對 Rollup 上鍊延遲挑戰

Polyhedra 亦在持續推進“快速終局”（Fast Finality）的能力，尤其是為了解決部分 Rollup 在以太坊 L1 上結算週期過長的問題。由於依賴以太坊 L1 的狀態共識以繼承其安全性，因此終局延遲會影響用戶體驗與交互效率。這一問題在樂觀 Rollup（如 Optimism 和 Arbitrum）中尤為明顯，其提款期通常長達 7 天，顯然難以滿足大多數用戶的實時性需求。而在 zkRollup 中，儘管安全性更強，但許多項目仍採取每 30 分鐘至 10-12 小時不等的延遲批量提交方案，也造成一定延遲。

為了解決跨鏈互操作性的問題，Polyhedra 在與 Arbitrum 和 Optimism 的集成中採用了結合零知識證明（ZK proofs）的狀態委員會（State Committee）機制。相同的技術也已部署於 opBNB 上。該方案通過多個節點運行這些 Rollup 的全節點客戶端，主要任務是從官方 RPC API 獲取最新區塊數據。在可能的情況下，我們引入了 RPC 多樣性以增強系統的安全性和可用性。每臺機器會對橋接合約中即將跨鏈傳送的事件進行簽名，並最終將多個簽名聚合為一個可在鏈上驗證的 ZK 證明。之所以採用簽名聚合設計，是為了支持更多的驗證節點參與，提升去中心化程度。

該狀態委員會系統已穩定運行約一年時間。然而，需要注意的是，狀態委員會所生成的 ZK 聚合簽名在安全性方面，尚不及針對整個共識過程生成的完整 ZK 證明。因此，我們在快速確認機制中對該方案進行了限制：僅適用於小額資產的跨鏈轉移；對於大額資產，Polyhedra 推薦用戶使用官方的 L2 到 L1 橋接渠道，以獲得更強的安全保證。

在 ZKML 場景中，尤其是需要即時執行的場景（如 AI 交易機器人），實現“快速終局”顯得尤為關鍵。為此，Polyhedra 正在探索在其可驗證 AI 技術棧中引入 TEE（可信執行環境）作為解決方案，使 AI 推理過程運行在具備 TEE 的計算環境中，保障數據的可信性和執行結果的可驗證性。

我們計劃利用 Google Vertex AI 的模型庫，證明某一模型的輸出確實源自 Vertex AI 的 API 調用，或通過 TEE 證明結果來自官方的 ChatGPT 或 DeepSeek API 服務。雖然這需要一定程度上信任平臺方（如 Google、OpenAI），但我們認為這是一個可以接受的工程假設，尤其是在與純鏈上計算的 ZKML 搭配使用時。

若用戶希望運行自定義模型，我們亦可在支持 TEE 的 Nvidia GPU 實例（Google 近期已支持）中部署該模型。這一機制可與 ZKML 證明並行使用：ZK 證明可在系統遭到質疑時生成，或延遲生成作為保險補充機制。例如，在面向 AI 交易機器人或代理的保險機制中，運營方可在保額達到上限前生成 ZKML 證明，用於釋放安全保證金，從而提升代理系統的交易吞吐量，使其在原有保額下處理更多任務。

非區塊鏈互操作性：連接鏈上與真實世界的可信通道

Polyhedra 一直在探索將零知識證明（ZKP）應用於非區塊鏈場景，代表性案例包括中心化交易所（CEX）的儲備證明系統，通過對數據庫進行隱私保護驗證，從而實現可審計性。此外，我們也積極推進鏈與鏈外系統之間的互操作，例如為 AI 交易機器人和現實資產（RWA）提供股票、黃金、白銀等傳統金融資產價格的可信預言機，或通過 Google 登錄、Auth 0 登錄等社交方式實現鏈上身份認證。

鏈外數據主要分為兩類：

1. JWT（JSON Web Token）簽名數據：可直接在 EVM 上驗證（儘管 gas 成本較高），或經 ZK 證明包裹後進行驗證。Polyhedra 採用的就是後者方式。
   

2. TLS（傳輸層安全協議）數據：可通過 ZK-TLS 進行證明，但當前技術要求用戶信任用於重建 TLS 密鑰的 MPC 節點。ZK-TLS 在處理簡單網頁或 API 數據時性能良好，但處理複雜網頁或 PDF 文檔時成本較高。
   

在這一背景下，Polyhedra 引入了 ZK-TEE 方案。我們可以在可信執行環境（TEE）中運行一個 TLS 客戶端，通過 Google Confidential Computing 生成可信計算證明，再轉化為 ZK-TEE 證明上鍊，實現鏈外數據的安全讀取與驗證。

該 TLS 客戶端為通用架構，運行高效，可支持幾乎所有 TLS 連接場景，包括但不限於：

• 訪問 Nasdaq 等金融網站獲取股票價格

• 代表用戶操作股票賬戶進行買賣交易

• 通過在線銀行進行法幣轉賬，實現與傳統銀行賬戶的“跨域橋接”

• 搜索與預訂航班和酒店

• 從多箇中心化交易所（CEX）和去中心化交易所（DEX）實時獲取加密貨幣價格

在 AI 場景中，非區塊鏈數據的可信性尤為重要。當下的大型語言模型（LLM）不僅接收用戶輸入，還會使用搜索引擎或 LangGraph、Model Context Protocol（MCP）等方式動態獲取外部數據。通過 TEE，我們可以驗證這些數據源的真實性。例如，AI 代理在解決數學問題時可調用 Wolfram Mathematica 或遠程的 Wolfram Alpha API 服務，並使用 TEE 保障這些調用過程與結果的完整性。

隱私保障：構建可信的 AI 推理環境

當前，zkBridge 主要利用 ZK 證明提升安全性，並未與隱私鏈集成。但隨著 AI 應用的興起（如鏈上 AI 代理和交易機器人），隱私成為新一輪核心需求。我們正在深入探索多個關鍵應用場景：

在零知識機器學習（ZKML）領域，核心應用之一是驗證私有模型的正確推理。這類模型通常將參數保密（用戶無需知曉具體參數），有時連模型架構等商業機密也會隱藏。私有模型非常普遍：OpenAI 的ChatGPT、Anthropic 的Claude以及谷歌的Gemini均屬此類。當前最先進的模型大多保持閉源有其必然性——需要通過商業收益覆蓋高昂的訓練研發成本，這一現狀預計還將持續數年。

儘管私有化有其合理性，但在自動化環境中，當模型輸出直接觸發鏈上操作（如代幣買賣）尤其是涉及大額資金時，用戶往往需要更強的可追溯性和可驗證性保障。

ZKML 通過證明模型在基準測試和實際推理中保持一致性來解決這一問題。這對 AI 交易機器人尤為重要：用戶基於歷史回測數據選擇模型後，既可確保模型持續採用相同參數運行，又無需知曉具體參數細節，從而完美平衡了驗證需求與隱私保護。

我們同時探索可信執行環境（TEE）技術，因其能提供 ZK 無法實現的用戶輸入隱私保護。ZKML 要求證明方掌握包括模型參數和用戶輸入在內的全部信息。雖然理論上可以結合零知識和多方計算（MPC），但對大模型而言，這種組合會導致驗證速度急劇下降——不僅模型推理，整個證明過程都需在 MPC 內完成。此外，MPC 本身也存在節點共謀風險。而 TEE 能有效解決這些問題。

在多方計算服務器（MCP）隱私保護方面，TEE 同樣發揮關鍵作用。Polyhedra 正在開發的"可驗證 MCP 市場"將列明通過 ZKP 或 TEE 實現可驗證性、可追溯性和安全性的 MCP 服務器。當模型在配備 TEE 的 Proof Cloud 中運行，且僅調用標有"隱私"認證的 MCP 服務時，我們能確保用戶輸入數據始終加密於 TEE 環境，永不外洩。

TEE 是如何工作的？

前文我們已探討了 Polyhedra 的技術願景，以及可信執行環境（TEE）如何與零知識證明（ZKP）共同構成我們產品體系中的關鍵支柱。接下來，我們將進一步深入介紹 TEE 的工作原理。

TEE 通過創建安全"飛地"(enclave)實現計算與數據的全封閉保護，但這僅是基礎能力。其革命性價值在於通過"遠程認證"(remote attestation)機制實現公開可驗證性。

遠程認證的工作流程包含三個關鍵環節：

• 飛地初始化階段：CPU 對安全飛地內的可執行程序二進制代碼進行完整性度量

• 證明生成階段：通過AMD 密鑰分發服務(KDS)或英特爾認證服務(IAS)生成可公開驗證的證明

• 證書鏈驗證階段：該證明包含簽名及證書鏈，其根證書分別由 AMD 或英特爾簽發

當證明文件能通過根證書驗證時，即可確認兩點核心事實：

• 計算確實在配備 TEE 技術的 AMD/英特爾芯片飛地中執行

• 簽名內容包含的程序信息與模型輸出等關鍵數據真實可信

Polyhedra 的創新突破在於：通過 ZK-TEE 證明技術，將 TEE 認證證明壓縮為可在鏈上高效驗證的精簡證明。以 zkBridge 為例，我們即將展示該技術如何為多款產品提供安全保障。

SGX、SEV 與 TDX：TEE 技術的選擇與比較

在構建可信執行環境（TEE）支持的產品體系過程中，Polyhedra 深入研究了當前主流的三種 TEE 技術實現，分別為：

• Intel SGX（Software Guard Extensions）：適用於部分 Intel 服務器級 CPU；

• AMD SEV（Secure Encrypted Virtualization）：廣泛適用於 AMD EPYC 系列 CPU；

• Intel TDX（Trust Domain Extensions）：面向新一代 Intel Xeon 處理器的技術。

以下是我們對這三種技術的比較分析，以及對實際選型的思考：

SGX：最早落地的 TEE 技術

Intel SGX 是目前可用時間最長的可信執行環境（TEE）方案之一。然而在主流雲服務提供商中，僅 Microsoft Azure 支持 SGX，而 Google Cloud 和 AWS 均已轉向支持 SEV 與 TDX 等替代方案。

SGX 的核心機制是在 Intel 處理器內部劃定一塊隔離內存區域（Enclave），CPU 直接對該內存區域進行管理和訪問控制。通過 REPORT 指令，CPU 對 enclave 中的執行代碼進行測量，從而生成可信證明，確保其中運行的二進制代碼在創建時即處於確定性、可重現的狀態。

這一模型具有顯著的低層級特性：

• 開發者必須確保 enclave 內的程序和數據在創建時處於一致性狀態；

• 並確保其作為可信計算根（Root of Trust），不依賴任何未驗證的外部輸入或動態加載代碼。

這一底層設計讓 SGX 對開發者而言始終不夠友好，幾乎持續了整個過去十年。早期的 SGX 開發幾乎只能使用 C/C++ 編寫 enclave 程序，不僅無法支持多線程等常見操作系統特性，而且往往需要對原有應用程序乃至其依賴庫進行大幅改動。

為了簡化這一開發過程，近年來開發者嘗試將 SGX 應用部署在虛擬化操作系統（如 Gramine）上運行。Gramine 提供了類操作系統的封裝，幫助開發者在不完全重寫代碼的前提下適配 SGX 環境。然而，使用 Gramine 仍需格外謹慎：如果依賴的某些 Linux 常用庫未被充分支持，依然可能造成程序異常。尤其在追求性能優化時，仍需對底層實現做出不少調整。

值得注意的是，業界已經出現了更易落地的替代方案：AMD SEV 和 Intel TDX，它們在保障安全可信的前提下，避免了 SGX 所面臨的大量開發門檻，為構建隱私計算基礎設施提供了更高的靈活性和實用性。

SEV 與 TDX：面向虛擬化的可信計算解決方案

與 SGX 僅保護一小塊稱為 enclave 的內存區域不同，AMD SEV 和 Intel TDX 旨在保護運行於不可信主機上的整臺虛擬機（VM）。這種設計思路的背後邏輯，源自現代雲計算基礎設施的架構特性。例如，Google Cloud 等雲服務商通常在物理服務器上運行 hypervisor（裸金屬管理程序），用於在同一臺機器上調度來自多個用戶的虛擬計算節點。

這些 hypervisor 廣泛使用硬件級虛擬化技術，如 Intel VT-x 或 AMD-V，以替代性能較差的軟件虛擬化方法，後者已逐漸被淘汰。

換言之，在雲計算環境中，CPU 本身已天然具備對虛擬機與 hypervisor 的識別能力與隔離控制。CPU 不僅提供跨虛擬機的數據隔離機制，確保資源公平分配，還對網絡與磁盤訪問進行虛擬化隔離。實際上，hypervisor 越來越多地被簡化為軟件前端接口，而真正承擔虛擬機資源管理任務的，是底層的硬件 CPU。

因此，在雲端虛擬機之上部署受保護的執行環境（enclave）變得自然而高效，這正是 SEV 與 TDX 的核心設計目標。

具體來說，這兩項技術通過以下機制，確保虛擬機在不可信環境中仍具備可信計算能力：

• 內存加密與完整性保護：SEV 和 TDX 在硬件層對虛擬機內存進行加密，並附加完整性校驗機制。即使底層 hypervisor 被惡意篡改，其也無法訪問或修改虛擬機內部的數據內容。
  

• 遠程證明（Remote Attestation）機制：它們通過集成 可信平臺模塊（TPM） 為虛擬機提供遠程證明功能。TPM 會在啟動時度量虛擬機的初始狀態，並生成帶有簽名的證明，確保虛擬機在一個可驗證的、可信的環境中運行。 

儘管 SEV 與 TDX 提供了強大的虛擬機級別保護機制，但在實際部署中仍存在一個關鍵挑戰，也是許多項目常見的陷阱：TPM 默認只度量虛擬機操作系統的啟動序列，而不會涉及其上運行的具體應用程序。

要確保遠程證明涵蓋運行在虛擬機內的應用程序邏輯，通常有兩種方式：

方法一：將應用程序寫入操作系統鏡像（hardcode into the OS）

此方法要求虛擬機啟動至一個經過加固、僅可執行目標應用的操作系統，從根本上排除運行任何非預期程序的可能性。推薦的實踐是採用微軟提出的 dm-verity 機制：在啟動時，系統僅掛載一個只讀磁盤映像，該映像的哈希是公開且固定的，確保所有可執行文件都經過驗證，且不能被篡改或替換。驗證過程可通過 AMD KDS 或 Intel IAS 完成。

這種方式的複雜之處在於：應用程序必須重構為只讀磁盤結構的一部分。如果需要臨時可寫存儲，則需使用內存文件系統或加密/具完整性校驗的外部存儲。同時，整個系統需以 Unified Kernel Image (UKI) 格式封裝，包括應用、操作系統映像與內核。儘管實現成本較高，但它可以提供高度確定性的可信執行環境。

方法二：使用 Google Confidential Space（推薦）

Google Confidential Space 提供了一種託管式解決方案，它實質上也是對方法一的抽象與封裝。其核心思想與前者一致：確保整個虛擬機環境的可信性，但開發者只需構建標準的 Docker 容器鏡像 即可，無需手動配置內核與磁盤映像。Google 會負責底層的加固 OS 鏡像與遠程證明配置，極大地簡化了開發流程。

我們將在未來的博客中進一步分享基於 Confidential Space 的技術方案實現，包括密鑰管理與部署策略等細節。

TEE 在 Polyhedra 產品體系中的應用總結

1.橋接協議（Bridges）

在橋接協議的實現中，Polyhedra 將在現有的零知識證明（ZK）或狀態委員會的基礎上，加入額外的安全檢查。這些檢查可能包括運行輕客戶端（如果可用），或通過多條規範化的 RPC API 服務與相應的鏈進行交互，確保數據傳輸的安全性和可靠性。

2.零知識機器學習（ZKML）

在 ZKML 領域，Polyhedra 可能會運行一個 TEE 代理，調用 Google Vertex API 或外部 AI API 服務進行推理，並驗證模型輸出是否來自 Vertex API，且沒有被篡改；或者在沒有使用 Google 模型庫的情況下，直接通過 Nvidia GPU 上的保密計算運行 AI 模型。需要注意的是，在此方案中，隱私保護是其附帶的副產品。我們可以輕鬆隱藏模型的參數、輸入和輸出，從而保障數據的私密性。

3.可驗證 AI 市場（Verifiable AI Marketplace）

對於可驗證 AI 市場，包括 MCP 服務器，Polyhedra 採用類似的策略：通過運行 TEE 代理，或在可能的情況下直接運行應用程序。例如，在需要數學求解的 MCP 服務中，我們可以選擇搭建 TEE 代理連接到 Wolfram Alpha，或者直接運行 Mathematica 的本地副本。在某些場景下，我們必須使用 TEE 代理，例如與機票預訂系統、Slack 或搜索引擎交互時。需要特別指出的是，TEE 還可以將一個不符合 MCP 標準的服務（例如任意 Web2 API）轉化為符合 MCP 的服務，方法是通過代理在服務之間進行架構和格式的轉換。

展望：TEE 加入將加速產品落地並帶來多重價值

TEE 技術的引入是 Polyhedra 技術棧的重要補充，未來我們將率先在跨鏈橋模塊中落地部署，並逐步推廣至 AI 推理和去中心化服務市場中。TEE 技術將大幅降低用戶成本、加速交易最終確認、實現更多生態系統的互操作性，併為用戶提供全新的隱私保護特性。