量子计算机能破解你的AI模型。Corvex让权重在运行时也无法被偷

Corvex Secure Model Weights：填补AI安全最关键缺口的后量子加密方案

背景：AI模型权重——数十亿美元的无防护资产

训练一个前沿大模型的成本高达数千万乃至数亿美元，而模型权重（weights）——即神经网络的参数矩阵——是这笔投资的核心产出物，也是AI公司最宝贵的知识产权。然而，直到Corvex发布「Secure Model Weights」之前，这些价值连城的资产在推理阶段面临一个几乎未被解决的安全漏洞：**明文间隙（Cleartext Gap）**。

明文间隙问题：

在标准的虚拟化云环境中，AI模型进行推理（inference）时，权重必须从加密存储中解密，然后加载到GPU内存（VRAM）中——以明文形式存在。这意味着：

• 云基础设施的管理员/超级用户可以访问这些明文权重
• 恶意的内部人员（cloud insider threats）可以复制权重
• 虚拟机逃逸等安全漏洞可能导致权重泄露
• 针对云API的高级攻击者可能提取权重

对于将价值数亿美元的模型部署到第三方云基础设施的AI公司来说，这是一个真实的、高价值的攻击面。

Corvex的技术解决方案：三层防护体系

2026年3月12日发布的Corvex Secure Model Weights，通过三项技术的协同，将权重保护延伸到推理过程中：

第一层：可信执行环境（TEE）

• **NVIDIA Hopper/Blackwell GPU机密计算模式**：将GPU内存（VRAM）硬件加密，使宿主机在运行时无法访问GPU内的数据
• **Intel TDX（信任域扩展）**：在每个节点提供CPU级别的隔离，防止虚拟机监控程序（hypervisor）层面的攻击

核心原理：权重只在受硬件保护的GPU VRAM中以明文存在，宿主系统内核和超级管理员无法触达。

第二层：远程认证（Remote Attestation）

在向TEE释放解密密钥之前，Corvex系统首先对目标硬件和软件栈进行加密验证：

• 验证硬件配置与预期配置完全匹配
• 验证软件栈（OS、驱动、容器）未被篡改
• 验证通过后才释放一次性的解密密钥

这一机制确保即使目标宿主机被妥协（compromised），攻击者也无法通过冒充TEE来获取解密密钥。

第三层：后量子密钥交换（ML-KEM Kyber-768）

Corvex使用ML-KEM（后量子密钥封装机制，基于Kyber-768算法）来保护密钥传输过程：

• 防御「现在捕获，未来解密」攻击（Harvest Now, Decrypt Later）
• 密钥是临时的（ephemeral），私钥永远不离开受保护的GPU VRAM
• 即使量子计算机成熟后，历史捕获的密文也无法被破解

开源基础：可信供应链

Corvex的方案基于并贡献于CNCF（云原生计算基金会）旗下的「Confidential Containers（CoCo）」开源项目。这意味着：

• 安全架构对外可审计，不存在「安全通过混淆」的信任隐患
• 客户可以独立验证安全实现的完整性
• 不依赖Corvex单一供应商的信任，而是依赖可验证的开源代码

适用场景与行业价值

医疗AI：处理HIPAA合规数据的医疗AI模型可以部署到公有云，而无需担心患者数据相关的模型被提取后用于重建训练数据。

金融AI：银行和量化基金的专有交易算法（如果嵌入模型权重中）可以在云端安全推理，而不暴露核心模型逻辑。

国防与政府：在批准的商业云基础设施（如AWS GovCloud）上运行敏感AI应用，无需自建完整的推理基础设施。

AI API服务商：拥有高价值前沿模型（如一流代码生成模型）的公司可以在第三方GPU云上运行推理服务，避免GPU自持成本，同时保护模型权重不被GPU云服务商窃取。

技术意义：AI安全的「最后一公里」

Corvex解决的问题是AI安全领域长期被忽视的「最后一公里」——大量企业已经建立了完善的数据安全体系（加密存储、访问控制、审计日志），但在「AI推理时权重以明文暴露」这个关键节点上留下了漏洞。

后量子加密的引入尤为前瞻：2030年代量子计算机可能威胁到当前的RSA和椭圆曲线加密方案，而今天在Corvex方案下受保护的模型，其安全性将在量子计算时代仍然成立。

未来展望

随着AI模型价值持续攀升，以及AI基础设施向「多云/公有云」迁移的趋势不可逆，模型权重保护将成为AI安全的核心议题之一。Corvex的方案为行业提供了一个兼具技术严谨性（多层防护）和实用性（基于开源标准）的参考实现，预计将推动硬件厂商（NVIDIA、Intel）在数据中心产品线中标准化机密计算功能。