作者:Weikeng Chen
原文連結: https://blog.polyhedra.network/tee-in-polyhedra/
Polyhedra 正在為其跨鏈橋接協議、預言機系統以及可驗證 AI 市場引入新一層安全機制,依托Google Confidential Computing技術實現可信任執行環境(Trusted Execution Environment,簡稱TEE)。在廣泛研究當前主流 TEE 解決方案後,Polyhedra 選擇基於Google Confidential Space搭建 TEE 安全模組,並率先驗證了其零知識-TEE 結合(ZK-TEE)的全新證明機制—— 實現在Google Cloud 上運行的計算結果可被 EVM 鏈端驗證,開闢了可信計算區塊與鏈互闢的新路徑。
此安全層將逐步部署至Polyhedra 旗下多款基於零知識的核心產品,涵蓋多個鏈之間的跨鏈互操作系統。同時,Polyhedra 也計劃透過預先編譯合約形式,將 TEE 證明能力與 TEE 安全防護的 AI 應用原生整合至其自主研發的 EXPchain 中。
什麼是TEE?
TEE,全名為「受信執行環境」(Trusted Execution Environment),是一種CPU 技術。它可以讓CPU 在加密且保護完整性的記憶體中執行運算—— 就連雲端服務提供者(例如Google Cloud)、作業系統,甚至是在同一個虛擬機器環境中的其他系統,都無法查看這些資料。
換句話說,TEE 能在硬體層面保證資料在使用過程中的機密性和安全性。
這種技術其實已經被廣泛使用了。例如蘋果的裝置預設啟用了全碟加密功能(也叫「資料保護」 ),它就是基於蘋果晶片上的TEE 實現的。只有當使用者用指紋或密碼解鎖裝置後,才能存取裝置裡儲存的密碼和金鑰等敏感資訊。微軟的Windows 系統也是一樣,近幾個版本都支援TEE 加持下的全碟加密( BitLocker )。這樣只有在作業系統和啟動流程沒有被竄改的前提下,磁碟才會解鎖。
Polyhedra 的 TEE 技術願景:建構安全且可信的下一代網路基礎設施
從去年開始,Polyhedra 就一直專注於跨鏈互通性和AI 的安全性、可信賴性與可驗證性三大核心維度。我們正在推動多個產品研發,其中部分已正式發布。整體而言,Polyhedra 的核心聚焦點涵蓋三個關鍵方向:
跨鏈橋接協議
ZKML 與可驗證 AI 智能體
可驗證 AI 市場,包括 MCP 伺服器(多方協同推理)
安全性始終是Polyhedra 的首要目標,也是創始團隊組成Polyhedra Network 的初衷。我們已透過deVirgo 實現對底層共識機制的可驗證性,包括以太坊的完整共識驗證。
同時,Polyhedra zkBridge 已支援的諸多鏈大多採用BFT 風格的PoS 共識,這些系統的驗證難度相對較低。然而,在保障系統安全性的同時,我們也意識到引入可信任執行環境(TEE)對於改善使用者體驗至關重要。 TEE 能夠實現更低成本、更快終局確認時間、更強的非鏈上互通性以及更高的資料隱私保護,為我們的產品體系提供重要補充。 TEE,將成為我們安全架構中關鍵的一環,也是跨鏈與AI 未來發展的加速器。
成本更低:Polyhedra 在 ZK 系統中的降本策略
Polyhedra 一直致力於透過多種技術路徑降低跨鏈橋接成本。這項成本主要來自於目的鏈上對零知識證明的產生與驗證開銷,不同區塊鏈的驗證成本差異較大,以太坊的驗證費用通常偏高。在現網運作中,Polyhedra 主要透過「批量處理」機制來優化成本。在zkBridge 中,核心步驟「區塊同步」並非對每個區塊都執行,而是每隔數個區塊統一進行,該區塊間隔會根據鏈上活躍度動態調整,從而有效降低整體成本。
不過,在一些冷清時段(例如某條鏈的凌晨),使用者可能是「唯一發起跨鏈操作的人」。為了不讓這類使用者等待太久,zkBridge 會直接觸發同步、產生證明並完成驗證,這樣就會產生額外的成本。這些成本有時由用戶自己承擔,也可能分攤到其他用戶的交易費用。 對於大額跨鏈交易,為了確保安全,證明成本幾乎不可避免。但對於小額交易,我們正在探索一種新機制:由Polyhedra 預支資金流動性,在可控範圍內承擔部分風險,為用戶帶來更快、更便宜的跨鏈體驗。
除了跨鏈橋,Polyhedra 也持續優化zkML 的生成與驗證成本。其旗艦產品Expander 庫已廣泛被其他團隊用於ZK 機器學習場景,並在向量化、平行運算和GPU 加速等方面取得顯著進展。此外,其證明系統也進行了多輪最佳化,大幅降低了證明產生開銷。在鏈上驗證方面,Polyhedra 正在其自主公鏈EXPchain 中部署用於zkML 驗證的預編譯模組,該功能預計將在下一階段測試網中上線,從而實現zkML 證明的高效驗證,併計劃推廣至更多區塊鏈生態。
儘管Polyhedra 已實現參數規模高達80 億的Llama 模型的證明,但目前的生成過程尚未做到「即時」。對於更大規模的模型,尤其是影像或影片生成類別模型,證明生成時間仍然較長。 Polyhedra 專注於建立AI 智能體系統,在樂觀執行架構下運行模型-使用者如遭遇惡意操作,可透過zkML 證明向鏈上發起申訴並懲罰操作者,無需每次都產生證明,僅在挑戰時使用。證明成本相對可接受,但智能體操作者需鎖定一定資本作為保險金,產生資金佔用壓力。
因此,對於運行超大模型、對安全性要求更高或期望更低費用的用戶,引入另一層安全機制(如TEE)將非常關鍵。 TEE 不僅可用於保障鏈上AI 應用(如交易機器人)的可信度,也可在技術上提升系統抗攻擊能力,進而降低所需保險資金的規模。
快速終局:應對Rollup 上鍊延遲挑戰
Polyhedra 也在持續推動「快速終局」(Fast Finality)的能力,尤其是為了解決部分Rollup 在以太坊L1 上結算週期過長的問題。由於依賴以太坊L1 的狀態共識以繼承其安全性,終局延遲會影響使用者體驗與互動效率。這問題在樂觀Rollup(如Optimism 和Arbitrum)中尤其明顯,其提款期通常長達7 天,顯然難以滿足大多數用戶的即時性需求。而在zkRollup 中,儘管安全性更強,但許多項目仍採取每30 分鐘至10-12 小時不等的延遲批量提交方案,也造成一定延遲。
為了解決跨鏈互通性的問題,Polyhedra 在與Arbitrum 和Optimism 的整合中採用了結合零知識證明(ZK proofs)的狀態委員會(State Committee)機制。相同的技術也已部署於opBNB 。該方案透過多個節點運行這些Rollup 的全節點客戶端,主要任務是從官方RPC API 取得最新區塊資料。在可能的情況下,我們引入了RPC 多樣性以增強系統的安全性和可用性。每台機器都會對橋接合約中即將跨鏈傳送的事件進行簽名,並最終將多個簽名聚合為一個可在鏈上驗證的ZK 證明。之所以採用簽章聚合設計,是為了支援更多的驗證節點參與,提升去中心化程度。
此狀態委員會系統已穩定運作約一年時間。然而,需要注意的是,狀態委員會所產生的ZK 聚合簽名在安全性方面,尚不及針對整個共識過程產生的完整ZK 證明。因此,我們在快速確認機制中對該方案進行了限制:僅適用於小額資產的跨鏈轉移;對於大額資產,Polyhedra 推薦用戶使用官方的L2 到L1 橋接管道,以獲得更強的安全保證。
在ZKML 場景中,尤其是需要即時執行的場景(如AI 交易機器人),實現「快速終局」顯得尤為關鍵。為此,Polyhedra 正在探索在其可驗證AI 技術堆疊中引入TEE(可信任執行環境)作為解決方案,使AI 推理過程運行在具備TEE 的計算環境中,以保障資料的可信性和執行結果的可驗證性。
我們計劃利用Google Vertex AI 的模型庫,證明某一模型的輸出確實源自Vertex AI的API 調用,或透過TEE 證明結果來自官方的ChatGPT或DeepSeek API服務。雖然這需要一定程度上信任平台方(如Google、OpenAI),但我們認為這是一個可以接受的工程假設,尤其是在與純鏈上計算的ZKML 搭配使用時。
若使用者希望執行自訂模型,我們也可在支援TEE 的Nvidia GPU 執行個體( Google 近期已支援)中部署該模型。此機制可與ZKML 證明並行使用:ZK 證明可在系統遭到質疑時生成,或延遲生成作為保險補充機制。例如,在以AI 交易機器人或代理程式導向的保險機制中,營運者可在保額達到上限前產生ZKML 證明,用於釋放安全保證金,從而提升代理系統的交易吞吐量,使其在原有保額下處理更多任務。
非區塊鏈互通性:連結鏈上與真實世界的可信任通道
Polyhedra 一直在探索將零知識證明(ZKP)應用於非區塊鏈場景,代表性案例包括中心化交易所(CEX)的儲備證明系統,透過對資料庫進行隱私保護驗證,從而實現可審計性。此外,我們也積極推動鏈與鏈外系統之間的互通,例如為AI 交易機器人和現實資產(RWA)提供股票、黃金、白銀等傳統金融資產價格的可信任預言機,或透過Google 登入、Auth 0 登入等社交方式實現鏈上身份認證。
鏈外資料主要分為兩類:
JWT(JSON Web Token)簽署資料:可直接在EVM 上驗證(儘管gas 成本較高),或經ZK 證明包裹後進行驗證。 Polyhedra 採用的就是後者方式。
TLS(傳輸層安全協定)資料:可透過ZK-TLS 進行證明,但目前技術要求使用者信任用於重建TLS 金鑰的MPC 節點。 ZK-TLS 在處理簡單網頁或API 資料時表現良好,但處理複雜網頁或PDF 文件時成本較高。
在這一背景下,Polyhedra 引入了ZK-TEE 方案。我們可以在可信任執行環境(TEE)中執行一個TLS 用戶端,透過Google Confidential Computing 產生可信任運算證明,再轉換為ZK-TEE 證明上鍊,實現鏈外資料的安全讀取與驗證。
此TLS 用戶端為通用架構,運作高效,可支援幾乎所有TLS 連線場景,包括但不限於:
造訪Nasdaq 等金融網站取得股票價格
代表用戶操作股票帳戶進行買賣交易
透過線上銀行進行法幣轉賬,實現與傳統銀行帳戶的“跨域橋接”
搜尋與預訂航班及飯店
從多個中心化交易所(CEX)和去中心化交易所(DEX)即時取得加密貨幣價格
在AI 場景中,非區塊鏈資料的可信性尤其重要。當下的大型語言模型(LLM)不僅接收使用者輸入,還會使用搜尋引擎或LangGraph 、 Model Context Protocol(MCP)等方式動態取得外部資料。透過TEE,我們可以驗證這些資料來源的真實性。例如,AI 代理在解決數學問題時可呼叫Wolfram Mathematica或遠端的Wolfram Alpha API 服務,並使用TEE 來保障這些呼叫過程與結果的完整性。
隱私保障:建構可信的AI 推理環境
目前,zkBridge 主要利用ZK 證明提升安全性,並未與隱私鏈整合。但隨著AI 應用的興起(如鏈上AI 代理和交易機器人),隱私成為新一輪核心需求。我們正在深入探索多個關鍵應用場景:
在零知識機器學習(ZKML)領域,核心應用之一是驗證私有模型的正確推理。這類模型通常會將參數保密(使用者無需知悉特定參數),有時連模型架構等商業機密也會隱藏。私有模型非常普遍:OpenAI 的ChatGPT 、Anthropic 的Claude以及Google的Gemini均屬此類。目前最先進的模型大多保持閉源有其必然性——需要透過商業收益覆蓋高昂的訓練研發成本,這一現狀預計還將持續數年。
儘管私有化有其合理性,但在自動化環境中,當模型輸出直接觸發鏈上操作(如代幣買賣)尤其是涉及大額資金時,用戶往往需要更強的可追溯性和可驗證性保障。
ZKML 透過證明模型在基準測試和實際推理中保持一致性來解決這個問題。這對 AI 交易機器人尤其重要:使用者基於歷史回測資料選擇模型後,既可確保模型持續採用相同參數運行,又無需知曉具體參數細節,從而完美平衡了驗證需求與隱私保護。
我們同時探索可信任執行環境(TEE)技術,因其能提供 ZK 無法實現的使用者輸入隱私保護。 ZKML 要求證明方掌握包括模型參數和使用者輸入在內的全部資訊。雖然理論上可以結合零知識和多方計算(MPC),但對大模型而言,這種組合會導致驗證速度急劇下降——不僅模型推理,整個證明過程都需在 MPC 內完成。此外,MPC 本身也存在節點共謀風險。而 TEE 能有效解決這些問題。
在多方計算伺服器(MCP)隱私權保護方面,TEE 同樣發揮關鍵作用。 Polyhedra 正在開發的可驗證 MCP 市場將列明透過 ZKP 或 TEE 實現可驗證性、可追溯性和安全性的 MCP 伺服器。當模型在配備 TEE 的 Proof Cloud 中運行,且僅調用標有隱私認證的 MCP 服務時,我們能確保用戶輸入資料始終加密於 TEE 環境,永不外洩。
TEE 是如何運作的?
前文我們已探討了Polyhedra 的技術願景,以及可信執行環境(TEE)如何與零知識證明(ZKP)共同構成我們產品體系中的關鍵支柱。接下來,我們將進一步深入介紹TEE 的工作原理。
TEE 透過創建安全飛地(enclave)實現計算與資料的全封閉保護,但這僅是基礎能力。其革命性價值在於透過遠端認證(remote attestation)機制實現公開可驗證性。
遠端認證的工作流程包含三個關鍵環節:
飛地初始化階段:CPU 對安全飛地內的可執行程式二進位程式碼進行完整性度量
證明產生階段:透過AMD 金鑰分發服務(KDS)或英特爾認證服務(IAS)產生可公開驗證的證明
憑證鏈驗證階段:此證明包含簽章及憑證鏈,其根憑證分別由 AMD 或英特爾簽發
當證明文件能通過根證書驗證時,即可確認兩點核心事實:
計算確實在配備 TEE 技術的 AMD/英特爾晶片飛地中執行
簽名內容所包含的程式資訊與模型輸出等關鍵資料真實可信
Polyhedra 的創新突破在於:透過 ZK-TEE 證明技術,將 TEE 認證證明壓縮為可在鏈上高效驗證的精簡證明。以 zkBridge 為例,我們即將展示該技術如何為多款產品提供安全保障。
SGX、SEV 與TDX:TEE 技術的選擇與比較
在建構可信任執行環境(TEE)支援的產品體系過程中,Polyhedra 深入研究了當前主流的三種TEE 技術實現,分別為:
Intel SGX( Software Guard Extensions ):適用於部分Intel 伺服器級CPU;
AMD SEV( Secure Encrypted Virtualization ):廣泛適用於AMD EPYC 系列CPU;
Intel TDX( Trust Domain Extensions ):新一代Intel Xeon 處理器的技術。
以下是我們對這三種技術的比較分析,以及對實際選型的思考:
SGX:最早落地的TEE 技術
Intel SGX 是目前可用時間最長的可信任執行環境(TEE)方案之一。然而在主流雲端服務供應商中,僅Microsoft Azure 支援SGX,而Google Cloud 和AWS 都已轉向支援SEV 與TDX 等替代方案。
SGX 的核心機制是在Intel 處理器內部劃定一塊隔離記憶體區域(Enclave),CPU 直接對此記憶體區域進行管理和存取控制。透過REPORT指令,CPU 對enclave 中的執行程式碼進行測量,從而產生可信任證明,確保其中執行的二進位程式碼在建立時即處於確定性、可重現的狀態。
此模型具有顯著的低層級特性:
開發者必須確保enclave 內的程式和資料在創建時處於一致性狀態;
並確保其作為可信任計算根(Root of Trust),不依賴任何未驗證的外部輸入或動態載入程式碼。
這底層設計讓SGX 對開發者而言始終不夠友好,幾乎持續了整個過去十年。早期的SGX 開發幾乎只能使用C/C++ 編寫enclave 程序,不僅無法支援多執行緒等常見作業系統特性,而且往往需要對原有應用程式乃至其依賴函式庫進行大幅改動。
為了簡化這個開發過程,近年來開發者嘗試將SGX 應用程式部署在虛擬化作業系統(如Gramine )上運作。 Gramine 提供了類別作業系統的封裝,幫助開發者在不完全重寫程式碼的前提下適配SGX 環境。然而,使用Gramine 仍需格外謹慎:如果依賴的某些Linux 常用函式庫未被充分支持,依然可能造成程式異常。尤其在追求性能優化時,仍需對底層實現做出不少調整。
值得注意的是,業界已經出現了更易落地的替代方案:AMD SEV 和Intel TDX,它們在保障安全可信的前提下,避免了SGX 所面臨的大量開發門檻,為建構隱私運算基礎設施提供了更高的靈活性和實用性。
SEV 與TDX:虛擬化為導向的可信任運算解決方案
與SGX 僅保護一小塊稱為enclave 的記憶體區域不同,AMD SEV 和Intel TDX 旨在保護運行於不可信主機上的整台虛擬機器(VM)。這種設計思路的背後邏輯,源自於現代雲端運算基礎設施的架構特性。例如,Google Cloud 等雲端服務商通常會在實體伺服器上執行hypervisor(裸金屬管理程式),用於在同一台機器上調度來自多個使用者的虛擬運算節點。
這些hypervisor 廣泛使用硬體級虛擬化技術,如Intel VT-x 或AMD-V,以取代效能較差的軟體虛擬化方法,後者已逐漸被淘汰。
換言之,在雲端運算環境中,CPU 本身已天然具備對虛擬機器與hypervisor 的辨識能力與隔離控制。 CPU 不僅提供跨虛擬機器的資料隔離機制,確保資源公平分配,也將網路與磁碟存取虛擬化隔離。實際上,hypervisor 越來越多地被簡化為軟體前端接口,而真正承擔虛擬機資源管理任務的,是底層的硬體CPU。
因此,在雲端虛擬機器之上部署受保護的執行環境(enclave)變得自然而高效,這正是SEV 與TDX 的核心設計目標。
具體來說,這兩項技術透過以下機制,確保虛擬機器在不可信環境中仍具備可信賴運算能力:
記憶體加密與完整性保護:SEV 和TDX 在硬體層對虛擬機器記憶體進行加密,並附加完整性校驗機制。即使底層hypervisor 被惡意竄改,其也無法存取或修改虛擬機器內部的資料內容。
遠端證明(Remote Attestation)機制:它們透過整合可信任平台模組(TPM) 為虛擬機器提供遠端證明功能。 TPM 會在啟動時度量虛擬機器的初始狀態,並產生帶有簽名的證明,確保虛擬機器在可驗證的、可信任的環境中運作。
儘管SEV 與TDX 提供了強大的虛擬機器等級保護機制,但在實際部署中仍存在一個關鍵挑戰,也是許多專案常見的陷阱:TPM 預設只度量虛擬機器作業系統的啟動序列,而不會涉及其上運行的特定應用程式。
要確保遠端證明涵蓋運行在虛擬機器內的應用程式邏輯,通常有兩種方式:
方法一:將應用程式寫入作業系統鏡像(hardcode into the OS)
此方法要求虛擬機器啟動至一個經過加強、僅可執行目標應用程式的作業系統,從根本上排除執行任何非預期程式的可能性。 建議的實踐是採用微軟提出的dm-verity機制:在啟動時,系統僅掛載一個唯讀磁碟映像,該映像的雜湊是公開且固定的,確保所有可執行檔都經過驗證,且不能被篡改或替換。驗證過程可透過AMD KDS 或Intel IAS 完成。
這種方式的複雜之處在於:應用程式必須重構為唯讀磁碟結構的一部分。如果需要暫時可寫存儲,則需使用記憶體檔案系統或加密/具完整性校驗的外部存儲。同時,整個系統需以Unified Kernel Image (UKI)格式封裝,包含應用程式、作業系統映像與核心。儘管實現成本較高,但它可以提供高度確定性的可信任執行環境。
方法二:使用Google Confidential Space(推薦)
Google Confidential Space提供了一個託管式解決方案,它實質上也是對方法一的抽象與封裝。其核心思想與前者一致:確保整個虛擬機器環境的可信任性,但開發者只需建立標準的Docker 容器映像即可,無需手動配置核心與磁碟映像。 Google 會負責底層的加強OS 鏡像與遠端證明配置,大幅簡化了開發流程。
我們將在未來的部落格中進一步分享基於Confidential Space 的技術方案實現,包括金鑰管理與部署策略等細節。
TEE 在Polyhedra 產品體系中的應用總結
1.橋接協議(Bridges)
在橋接協議的實作中,Polyhedra 將在現有的零知識證明(ZK)或狀態委員會的基礎上,加入額外的安全檢查。這些檢查可能包括執行輕客戶端(如果可用),或透過多條規範化的RPC API 服務與相應的鏈進行交互,確保資料傳輸的安全性和可靠性。
2.零知識機器學習(ZKML)
在ZKML 領域,Polyhedra 可能會運行一個TEE 代理,呼叫Google Vertex API 或外部AI API 服務進行推理,並驗證模型輸出是否來自Vertex API,且沒有被篡改;或者在沒有使用Google 模型庫的情況下,直接透過Nvidia GPU 上的保密計算運行AI 模型。需要注意的是,在此方案中,隱私保護是其附帶的副產品。我們可以輕鬆隱藏模型的參數、輸入和輸出,以保障資料的隱私性。
3.可驗證AI 市場(Verifiable AI Marketplace)
對於可驗證AI 市場,包括MCP 伺服器,Polyhedra 採用類似的策略:透過執行TEE 代理,或在可能的情況下直接執行應用程式。例如,在需要數學解法的MCP 服務中,我們可以選擇搭建TEE 代理程式連接到Wolfram Alpha,或直接執行Mathematica 的本機副本。在某些場景下,我們必須使用TEE 代理,例如與機票預訂系統、Slack 或搜尋引擎互動時。需要特別指出的是,TEE 還可以將一個不符合MCP 標準的服務(例如任意Web2 API)轉換為符合MCP 的服務,方法是透過代理程式在服務之間進行架構和格式的轉換。
展望:TEE 加入將加速產品落地並帶來多重價值
TEE 技術的引入是Polyhedra 技術堆疊的重要補充,未來我們將率先在跨鏈橋模組中落地部署,並逐步推廣至AI 推理和去中心化服務市場。 TEE 技術將大幅降低用戶成本、加速交易最終確認、實現更多生態系統的互通性,並為用戶提供全新的隱私保護特性。
