可信執(zhí)行環(huán)境是什么？大語言模型為什么需要它？

OpenAI 的 GPT 系列大語言模型（Large Language Mode，以下縮寫為 LLM）的興起與應(yīng)用，也帶來了諸如數(shù)據(jù)泄露、數(shù)據(jù)濫用、模型被攻擊和知識產(chǎn)權(quán)被竊取等一系列隱私和安全風(fēng)險或挑戰(zhàn)。

可信執(zhí)行環(huán)境（Trusted Execution Environment，以下縮寫為 TEE）是一項基于軟硬件組合創(chuàng)建安全執(zhí)行環(huán)境，能夠更好地確保計算和數(shù)據(jù)處理機密性和完整性。其關(guān)鍵機制為：

安全隔離：通過硬件加密和內(nèi)存隔離等硬件隔離技術(shù)，將敏感數(shù)據(jù)和關(guān)鍵代碼與其他應(yīng)用及操作系統(tǒng)相隔離，從而確保它們即使在系統(tǒng)其他部分被攻擊或受到惡意軟件影響時也能夠得到更好的保護。

安全驗證：在啟動過程中進行身份驗證和完整性檢查，確保只有經(jīng)過授權(quán)的代碼和數(shù)據(jù)可以在其中運行，以此防止惡意軟件或未經(jīng)授權(quán)的訪問。

安全執(zhí)行環(huán)境：提供包含加密算法、安全協(xié)議和密鑰管理等防護功能的執(zhí)行環(huán)境，用于處理敏感數(shù)據(jù)和執(zhí)行關(guān)鍵算法，以增強數(shù)據(jù)在執(zhí)行過程中的保密性和完整性。

TEE 與 LLM 可在多行業(yè)、多場景融合，TEE 可用于為 LLM 提供頗具商業(yè)落地價值的隱私和數(shù)據(jù)保護創(chuàng)新解決方案。

LLM 與 TEE 的融合需求

LLM 在許多行業(yè)的不同場景都有著廣泛應(yīng)用，例如金融行業(yè)的風(fēng)險評估和交易分析，醫(yī)療保健領(lǐng)域的醫(yī)學(xué)圖像識別、病歷紀(jì)錄和疾病預(yù)測，以及法律和合規(guī)行業(yè)的法律咨詢、合同審查和文書處理等。這些行業(yè)或場景中涉及到的數(shù)據(jù)多為重要敏感的交易數(shù)據(jù)或個人數(shù)據(jù)，必須得到有效保護。

將 TEE 與 LLM 融合，有助于在這類場景中更好地保障數(shù)據(jù)在 LLM 模型訓(xùn)練和推理過程中的保密性。訓(xùn)練階段，TEE 中的數(shù)據(jù)處理都處于加密狀態(tài)；推理階段，TEE 則可保護用戶輸入和模型結(jié)果的隱私。同時，其硬件隔離和安全驗證機制可以更有效地防止未經(jīng)授權(quán)的訪問和攻擊，增強模型運行時的安全性。

TEE 與 LLM 融合的挑戰(zhàn)：資源和性能限制

資源限制：TEE 的計算資源和存儲空間通常都非常有限，LLM 龐大的模型參數(shù)和計算需求可能會超出一般 TEE 的能力范圍。

性能下降：I/O 數(shù)據(jù)的加密和安全計算操作會引入額外的計算開銷，導(dǎo)致模型訓(xùn)練和推理性能有一定程度下降?；谒惴ǖ慕鉀Q方案可減少模型規(guī)模和計算需求，以適應(yīng) TEE 的資源限制，但 CPU 仍會成為制約 LLM 訓(xùn)練的算力瓶頸。

基于英特爾? 平臺的解決方案：加速 TEE 與 LLM 融合應(yīng)用

4.1 基于英特爾? SGX/TDX[1] 的 TEE 解決方案

英特爾自第三代英特爾? 至強? 可擴展處理器開始內(nèi)置英特爾? 軟件防護擴展（英特爾? SGX）技術(shù)，其安全飛地的容量最多可達單顆 CPU 512GB，雙路共計 1TB 容量，可滿足目前千億大模型的執(zhí)行空間需求。此外，該技術(shù)提供支持的機密計算可實現(xiàn)應(yīng)用層、虛擬機 (VM)、容器和功能層的數(shù)據(jù)隔離。無論是在云端、邊緣還是本地環(huán)境，都能確保計算與數(shù)據(jù)始終在私密性和安全性上獲得更全面的保護，以免暴露給云服務(wù)提供商、未經(jīng)授權(quán)的管理員和操作系統(tǒng)，甚至是特權(quán)應(yīng)用。另一方面，英特爾? Trust Domain Extension（英特爾? TDX）可將客戶機操作系統(tǒng)和虛擬機應(yīng)用與云端主機、系統(tǒng)管理程序和平臺的其他虛擬機隔離開來。它的信任邊界較英特爾? SGX 應(yīng)用層的隔離邊界更大，使受其保護的機密虛擬機比基于英特爾? SGX 的安全飛地的應(yīng)用更易于進行大規(guī)模部署和管理，在部署 LLM 這類復(fù)雜應(yīng)用時，TDX 在易用性上更具優(yōu)勢。此外，今年推出的全新第四代英特爾? 至強? 可擴展處理器內(nèi)置英特爾? AMX，可大幅提升矩陣運算性能，而英特爾? SGX/TDX也可為英特爾? AMX、英特爾? DL Boost等計算指令提供支持，進而為 TEE 中的大模型賦予快速落地+優(yōu)化性能的雙重優(yōu)勢。

圖1. SGX/TDX的可信邊界

構(gòu)建完善的 TEE 生態(tài)系統(tǒng)對推動 LLM 的應(yīng)用和發(fā)展至關(guān)重要。開發(fā)者需要能夠簡化集成和使用過程的面向 TEE 的開發(fā)者工具和框架。為此，英特爾在 SDK 的基礎(chǔ)上，推出了開源的 lib OS 項目 Gramine 來幫助開發(fā)者更好地使用基于英特爾? SGX的 TEE，助推 LLM 與 TEE 的融合。

4.1.1 大語言模型推理

使用私有數(shù)據(jù)進行個性化訓(xùn)練的大模型不僅包含私有數(shù)據(jù)信息，其查詢本身也具有隱私性，尤其是基于邊端的非安全環(huán)境部署?；谟⑻貭? SGX/TDX 的 TEE 可為大模型提供更安全的運行環(huán)境，在數(shù)據(jù)上傳云端前，查詢可先通過客戶端對傳輸內(nèi)容加密，云端只需在英特爾? SGX/TDX 中解密查詢問題，然后輸入大模型的推理服務(wù)中，并將所得結(jié)果在云端的 TEE 中加密后傳輸回本地客戶端。在整個工作流程中，客戶端以外的數(shù)據(jù)和運行態(tài)程序均處于密態(tài)環(huán)境當(dāng)中，效率遠(yuǎn)遠(yuǎn)高于其他基于純密碼學(xué)的解決方案。目前像 LLAMA 7B、ChatGLM 6B 等模型都可以在該 TEE 方案上滿足實時可交互性能的運行。圖 2 展示了使用 LLM 部署知識問答的參考設(shè)計。基于英特爾? SGX/TDX 的 TEE 為實際部署 LLM 中的自有知識產(chǎn)權(quán)保護提供了一套完整的方案，優(yōu)化整個模型在查詢、傳輸和推理過程中的安全保護。

圖2. 基于TEE的大語言模型私密問答

4.1.2 聯(lián)邦學(xué)習(xí)

借助基于 TEE 的聯(lián)邦學(xué)習(xí)解決方案[2]（見圖 3），就可在多機構(gòu)之間實現(xiàn)基于 NLP 的深度學(xué)習(xí)例如使用 BERT 的命名體識別。在金融和醫(yī)療等行業(yè)提升準(zhǔn)確性，實現(xiàn)多機構(gòu)數(shù)據(jù)互通，同時更好避免數(shù)據(jù)泄露。

此方案中每個參與方包含一個 Avalon[3] 管理模塊和 Gramine 工作負(fù)載，均運行在英特爾? SGX 的安全飛地中，在管理模塊彼此間的遠(yuǎn)程認(rèn)證完成執(zhí)行后，即可啟動聯(lián)邦學(xué)習(xí)過程，參與方在本地使用各自的數(shù)據(jù)集進行訓(xùn)練，然后將梯度上傳至聚合方，聚合方進行聚合后將平均梯度下發(fā)至各參與方，以繼續(xù)進行下一輪訓(xùn)練。對比圖 4 所示的 BERT + CRF 模型[4]，此方案可以在強化隱私保護的同時，讓性能損失維持在 50% 以下[2]。

圖 3. 基于TEE的聯(lián)邦學(xué)習(xí)

圖4. BERT + CRF模型[4]

4.2 BigDL：端到端大模型和 TEE 融合的方案

據(jù)行業(yè)用戶反饋，LLM 在端到端應(yīng)用中的痛點包括：

軟件棧復(fù)雜，難以確保端到端應(yīng)用的安全。LLM 的訓(xùn)練和推理常依賴較多的軟件棧、服務(wù)和硬件。為保護用戶數(shù)據(jù)和模型產(chǎn)權(quán)，需確保每個環(huán)節(jié)的安全性（不同硬件、運行環(huán)境、網(wǎng)絡(luò)和存儲等）。

計算量大，且對性能敏感。LLM 的計算量非常大，需引入足夠多的性能優(yōu)化。但是，不同模型、平臺和軟件棧需要使用不同的優(yōu)化方案，要在特定平臺上實現(xiàn)更理想的性能，需要長時間的性能調(diào)優(yōu)。

為解決這些痛點，由英特爾主導(dǎo)的開源項目 BigDL，近期就推出了針對 LLM 的隱私保護方案，其兩大主要功能為：

提供端到端的安全保護：在不修改代碼的情況下，為單機和分布式的 LLM 應(yīng)用提供端到端的安全保護功能。具體包括，基于英特爾? SGX/TDX 的 TEE、遠(yuǎn)程證明、統(tǒng)一的密鑰管理接口和透明的加解密 API 等。

實現(xiàn)一站式性能優(yōu)化：BigDL Nano 提供的針對 LLM 的一站式性能優(yōu)化方案，可讓現(xiàn)有 LLM 應(yīng)用在幾乎不用修改代碼的情況下受益于英特爾? AMX、英特爾? AVX-512 和英特爾? Extension for PyTorch。同時，用戶還可利用 BigDL Nano 提供的 LLM API，快速構(gòu)建應(yīng)用。

圖5. BigDL端到端安全的大模型方案 圖5. BigDL端到端安全的大模型方案

如圖 6 所示，在應(yīng)用了 PPML（Privacy Preserving Machine Learning，隱私保護的機器學(xué)習(xí)）提供的安全技術(shù)后，由于更強的安全和隱私保護會帶來額外開銷，因此端到端應(yīng)用性能會略有下降；但應(yīng)用了 BigDL Nano 提供的優(yōu)化功能后，端到端的性能得到了顯著改善*，總體性能甚至高于沒有任何保護的明文性能。

圖6. BigDL PPML+Nano端到端性能損失情況

目前，該方案已經(jīng)開源，并開始陸續(xù)交付給行業(yè)客戶進行測試和集成[5]。

未來趨勢

TEE 提供了隱私保護和數(shù)據(jù)安全防護功能的創(chuàng)新解決方案，將在 LLM 實際落地過程中扮演重要角色。通過將二者融合，可更好地保障數(shù)據(jù)在訓(xùn)練和推理過程中的保密性，增強對未經(jīng)授權(quán)訪問和模型結(jié)果篡改的防御。然而，在 TEE 中保護用戶隱私的同時，需要平衡性能需求，隨著大模型對于計算需求的大幅提升，算力可能會執(zhí)行在異構(gòu)硬件上，TEE 和異構(gòu)硬件的結(jié)合將成為未來發(fā)展趨勢。隨著 CPU 性能的提升以及內(nèi)置 AI 加速技術(shù)的升級和更新，在方便部署的場景下，CPU 會是大模型推理和 TEE 結(jié)合的首選，在訓(xùn)練的場景下，基于 CPU 的 TEE 結(jié)合異構(gòu)硬件的加密支持，則會是大模型訓(xùn)練甚至大模型聯(lián)邦訓(xùn)練的技術(shù)方向。英特爾將一如既往地以軟硬結(jié)合的產(chǎn)品技術(shù)組合促進開發(fā)者參與，推動 LLM 與 TEE 的融合。

生成海報

免責(zé)聲明：此文內(nèi)容為第三方自媒體作者發(fā)布的觀察或評論性文章，所有文字和圖片版權(quán)歸作者所有，且僅代表作者個人觀點，與極客網(wǎng)無關(guān)。文章僅供讀者參考，并請自行核實相關(guān)內(nèi)容。投訴郵箱：editor@fromgeek.com。

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。