芯東西（公眾號(hào)：aichip001）
作者 ZeR0
編輯 漠影

芯東西4月8日?qǐng)?bào)道，今日，匯頂科技宣布推出專為AI Agents場(chǎng)景設(shè)計(jì)的安全芯片解決方案，通過(guò)全新的物理隔離設(shè)計(jì)，全面保護(hù)AI時(shí)代智能硬件的核心安全資產(chǎn)。

該方案基于獲CC EAL5+的eSE芯片，核心設(shè)計(jì)原則是將最需要保護(hù)的安全資產(chǎn)從主機(jī)側(cè)剝離，放入物理隔離的硬件可信環(huán)境中。匯頂科技稱，這將從根本上消除對(duì)主機(jī)軟件環(huán)境的安全依賴，將安全錨點(diǎn)下沉到具備證照和金融級(jí)安全的抗物理攻擊硬件中。

一、依賴軟件的通信安全，存在結(jié)構(gòu)性短板

當(dāng)前主流的Agents部署方案中，通信安全幾乎完全依賴軟件實(shí)現(xiàn)。

API密鑰以明文形式存儲(chǔ)在設(shè)備本地的配置文件或Flash分區(qū)中，TLS會(huì)話密鑰駐留在主機(jī)內(nèi)存里。

這套方案在云端環(huán)境或受控的開發(fā)環(huán)境中可以工作，但放到終端硬件產(chǎn)品的語(yǔ)境下，會(huì)面臨三個(gè)結(jié)構(gòu)性問(wèn)題：

第一，設(shè)備端的運(yùn)行環(huán)境不可控。硬件產(chǎn)品出廠后長(zhǎng)期運(yùn)行在用戶環(huán)境中，固件提取、系統(tǒng)Root、存儲(chǔ)直讀都是威脅建模中必須覆蓋的現(xiàn)實(shí)攻擊面。對(duì)于出貨量達(dá)到一定規(guī)模的產(chǎn)品，這些攻擊大概率會(huì)發(fā)生。一旦主機(jī)系統(tǒng)被攻破，或者經(jīng)過(guò)二手設(shè)備買賣，明文存儲(chǔ)的API密鑰和內(nèi)存中的TLS會(huì)話密鑰將全部暴露。

第二，多模型生態(tài)顯著放大了攻擊面。今天的AI Agents通常不止對(duì)接一個(gè)模型服務(wù)。主對(duì)話、代碼生成、語(yǔ)音識(shí)別、圖像理解能力等可能分別來(lái)自不同的服務(wù)商，設(shè)備內(nèi)同時(shí)存儲(chǔ)著多組獨(dú)立的API密鑰。每一組密鑰的泄露都構(gòu)成獨(dú)立的安全事件，而當(dāng)前方案缺乏對(duì)多密鑰場(chǎng)景的統(tǒng)一管控能力。

第三，設(shè)備生命周期遠(yuǎn)長(zhǎng)于軟件防護(hù)的有效期。在一臺(tái)智能終端工作的三到五年內(nèi)，軟件層面的安全補(bǔ)丁依賴持續(xù)OTA推送和用戶配合，而硬件攻擊手段的演進(jìn)在不斷更新。在設(shè)備的全生命周期內(nèi)，純軟件方案難以提供一致的安全保障。

過(guò)去一年中，因配置泄露、供應(yīng)鏈污染、固件逆向等導(dǎo)致的API密鑰失竊事件持續(xù)發(fā)生，已經(jīng)從開發(fā)者社區(qū)的個(gè)案演變?yōu)楫a(chǎn)品安全團(tuán)隊(duì)必須納入風(fēng)險(xiǎn)評(píng)估的系統(tǒng)性問(wèn)題。

二、通信鏈路保護(hù)：TLS全流程在芯片內(nèi)閉環(huán)

匯頂方案在eSE芯片內(nèi)部集成了完整的TLS 1.3協(xié)議棧，讓Agent與云端大模型之間的每一次通信，從TLS握手、證書驗(yàn)證到數(shù)據(jù)加解密，全部在芯片內(nèi)部完成。

在這一架構(gòu)下，主機(jī)的角色被重新定義為”密文轉(zhuǎn)發(fā)器”：從eSE芯片接收加密數(shù)據(jù)包并轉(zhuǎn)發(fā)至網(wǎng)絡(luò)接口，再將云端返回的加密數(shù)據(jù)包傳回芯片。

主機(jī)全程經(jīng)手密文，不持有任何會(huì)話密鑰和與云端模型通信的明文數(shù)據(jù)。即使設(shè)備固件被完整提取、主機(jī)系統(tǒng)被完全控制，攻擊者在主機(jī)側(cè)獲取到的也只是無(wú)法解讀的加密流量。

通信安全不再取決于主機(jī)側(cè)任何軟件組件的可靠性，這為產(chǎn)品安全合規(guī)提供了一個(gè)更明確的結(jié)論：設(shè)備遭受物理攻擊時(shí)，用戶的AI通信數(shù)據(jù)仍然受到保護(hù)。

三、API密鑰管理：全生命周期在eSE芯片中使用

匯頂安全芯片的安全存儲(chǔ)區(qū)針對(duì)多模型場(chǎng)景進(jìn)行了專門設(shè)計(jì)，可同時(shí)管理多組不同服務(wù)商的API密鑰，每組密鑰綁定對(duì)應(yīng)的模型Endpoint、請(qǐng)求格式和認(rèn)證方式。

運(yùn)行時(shí)，主機(jī)僅需向eSE傳遞目標(biāo)模型標(biāo)識(shí)和請(qǐng)求內(nèi)容。密鑰查找、認(rèn)證頭構(gòu)造、請(qǐng)求加密和TLS發(fā)送全部在芯片內(nèi)部自動(dòng)完成。

在產(chǎn)品的整個(gè)生命周期中，API密鑰不會(huì)以任何形式出現(xiàn)在芯片外部——不在配置文件中，不在主機(jī)內(nèi)存中，不在固件鏡像中……對(duì)于規(guī)模化出貨的產(chǎn)品線而言，這意味著單臺(tái)設(shè)備被破解不會(huì)影響其他設(shè)備的安全。

每顆安全芯片的密鑰獨(dú)立存儲(chǔ)、物理隔離，從架構(gòu)層面阻斷了”一點(diǎn)突破、全線失守”的風(fēng)險(xiǎn)傳導(dǎo)路徑。

四、高兼容性：對(duì)現(xiàn)有AI大模型產(chǎn)品架構(gòu)適配性高

匯頂安全芯片解決方案在設(shè)計(jì)之初就將生態(tài)兼容性作為核心約束，使其對(duì)現(xiàn)有產(chǎn)品架構(gòu)的影響降至最低。

（1）云端模型服務(wù)：零改造。匯頂安全芯片輸出的API請(qǐng)求完全遵循標(biāo)準(zhǔn)接口規(guī)范，無(wú)需與任何模型服務(wù)商做額外對(duì)接。

（2）Agent軟件框架：零改造。僅涉及將網(wǎng)絡(luò)請(qǐng)求出口從系統(tǒng)網(wǎng)絡(luò)棧切換至匯頂eSE通信接口。Agent的業(yè)務(wù)邏輯、Prompt工程、工具調(diào)用鏈和上層功能完全不受影響。

（3）硬件集成：標(biāo)準(zhǔn)接口。安全芯片通過(guò)SPI與主機(jī)MCU連接，不要求特殊的硬件設(shè)計(jì)。對(duì)于已有產(chǎn)品的改款升級(jí)，增加SE也無(wú)需對(duì)主板架構(gòu)進(jìn)行重大變更。

結(jié)語(yǔ)：解決多樣化硬件AI安全痛點(diǎn)

當(dāng)AI Agents代替用戶與云端持續(xù)通信時(shí)，設(shè)備側(cè)的身份憑證如何獲得可靠保護(hù)？針對(duì)這一挑戰(zhàn)，匯頂科技推出面向AI Agents場(chǎng)景的安全芯片解決方案，為解決多樣化硬件AI場(chǎng)景的安全痛點(diǎn)而生。

在消費(fèi)與開源生態(tài)中，它能有效覆蓋智能設(shè)備如音箱等對(duì)環(huán)境開放、長(zhǎng)期運(yùn)行的需求，并為資源有限的開源項(xiàng)目提供商業(yè)級(jí)安全屏障。

在企業(yè)與工業(yè)場(chǎng)景中，它能為需滿足車規(guī)合規(guī)及數(shù)據(jù)審計(jì)的企業(yè)終端、需對(duì)接復(fù)雜多模型服務(wù)的邊緣網(wǎng)關(guān)提供技術(shù)支撐。

該方案也將為更多AI應(yīng)用場(chǎng)景的安全加固打開新的想象空間。