從手機、PC到汽車，不洩密的AI才是時代需要的AI

任何技術產品都有攻擊面，大模型也在所難免。模型產品和攻擊方式永遠是「道」與「魔」的此消彼長。

比如去年就有份論文提出一個新的攻擊方法，成功盜取了其他使用者傳送給大模型的欄位。此漏洞利用了 KV 快取共享——一項大語言模型 (LLM) 業界廣泛應用，兩大主流推理框架 SGLang 和 vLLM 都在使用的技術。

LLM 的安全問題不容小覷。無論對於使用者還是企業，資料洩露都足以「致命」。APPSO 之前的一篇文章就曾提到，越來越多的人將豆包、DeepSeek 和 ChatGPT 們視作傾訴物件，和它們推心置腹，不經意間便將個人的隱私資訊吐露其中。而一旦 LLM 遭遇洩露事故，好事者能夠依據資料識別出具體的使用者以及對應的現實身份，從而用於不法意圖。

為了應對 iPhone 使用者使用 AI 產品的隱私顧慮，維持公司資料隱私政策的連貫性，蘋果在 24 下半年宣佈了一個名叫 Apple PCC（私密雲計算 Private Cloud Compute）的系統：

在 Apple Intelligence 場景下，端側算力不足時，使用者資料經私鑰加密上傳雲端，由部署在伺服器私密計算模組（類似 iPhone 晶片裡的安全隔區）裡的大模型進行加密推理，僅在推理過程和結果返回端側時短暫解密。全鏈路資料均以密文流轉，且採用無狀態計算模式，確保資料零儲存、用後即焚。

技術是很好，但遺憾由於國內 Apple Intelligence 目前狀態微妙，iOS 使用者反而用不上。

在 iOS 以外的科技產品世界，另一家公司也正在應對私密雲計算的挑戰：

火山引擎開發的 Jeddak PCC（私密雲計算）平臺，有望應用於 Android 手機、PC 電腦、新能源汽車等更多領域，為數十億使用者的 LLM使用隱私保駕護航，企業在加大 LLM 與自身場景結合的同時無需擔心資料洩露。

透過在各自的硬體產品和 LLM 技術棧中應用 Jeddak PCC 平臺能力，硬體廠商能將保護使用者個人資料隱私的承諾，從裝置端延伸到雲端。

新時代的 LLM 要大，也要安全

近期，火山引擎對外公佈了基於 Jeddak PCC，面向私有云 AI 安全推理/私密計算的合作案例，合作伙伴包括聯想和努比亞等裝置品牌。這也讓 Jeddak PCC 成為了國內首個針對個人電腦和智慧手機市場佈局的私密雲計算解決方案。

背景不難理解：日常生活中，每天有大量使用者和企業在PC 和智慧手機等主流裝置上與 LLM 進行互動。聯想使用者在 PC 上進行文字生成、潤色、提煉摘要、深度思考等文字類工作，努比亞使用者在手機上使用多模態豆包大模型、釦子空間 Agent（智慧體）等產品。

不是所有的 AI 任務都能夠在本地完成。一些需要深度思考、知識庫建立、以及 Agent 能力的任務，本地模型尺寸太小或算力不夠，需要使用雲端的 LLM。

問題在於，使用者與 LLM 和 Agent 互動，可能涉及機密資料或個人的隱私資訊。這就遇到了敏感資料上雲的困境了。雲端的模型大歸大，但服務提供方無法保證安全。當用戶處在高敏感、高密級的工作環境中，是不能輕易將資料隨便上傳給 LLM 的。

PC 和手機廠商對於 AI 產品和服務的架構，需要針對隱私計算的需求進行重構。它們希望構建一個端到端全流程，且能夠自證清白的私密雲計算平臺，用來解決端雲協同計算下的 LLM 資料安全隱私問題。

少有其它解決方案，比 Jeddak PCC 更適合解決這個問題。看下面這個典型案例就行了：

假設一個企業科研人員，寫了一篇論文準備投稿到頂級期刊，但需要使用 LLM 工具對論文進行潤色最佳化，需要使用外部公司提供的 LLM 工具，同時要求資料全程加密——這是一個典型的檢索增強生成（RAG）任務。

金鑰：使用者託管一個金鑰（BYOK – Bring Your Own Key），PCC 在 LLM 任務的全流程期間使用該金鑰進行加/解密。金鑰儲存在使用者裝置上 + 雲端的安全隔區（TEE 可信執行環境）模組內。

知識庫建立：使用者上傳文件時，PCC提供端雲互信的加密通訊能力，將使用者文件從端側裝置安全地傳輸到安全隔區內；知識庫服務對文件解密、切片，生成明文向量和片段；加密服務將其變成密文向量和密文切片，儲存在向量資料庫 (VikingDB) 內——密態知識庫建立完成。

知識庫檢索召回：使用者對 LLM 輸入提示；提示詞透過端雲互信加密通訊傳輸至安全隔區，在安全隔區內生成並加密明文向量；使用密文向量在資料庫檢索，召回密文切片；在安全隔區內解密切片後，進行 rerank 等處理。

推理階段：拼接生成的明文檢索結果+使用者的提示詞，給到大模型（也在安全隔區內）進行推理，生成明文的推理結果——推理完成。

回傳階段：PCC 對生成結果加密，生成密文結果，傳回使用者裝置上；端側 TEE 的解密服務對結果進行解密，向用戶呈現明文結果。

這也正是聯想使用 Jeddak PCC 正在做的事情。5 月 7 日，聯想正式釋出了面向個人和企業使用者的超級智慧體產品，而火山引擎的私密雲計算解決方案成為了這一 Agent 解決方案的基石。

在 RAG 型別工作中，Jeddak PCC 將使用者的各類文件進行向量化處理，將硬體晶片級加密安全能力延伸至雲端，透過機密計算、密碼學等隱私計算手段，實現全流程加密——讓使用者在構建私人/企業級知識庫的時候，無需擔心資料洩密。

聯想同期釋出的多款 PC 裝置，包括消費級和商用市場 SKU，均支援 Jeddak PCC 技術。

從整個流程可以看到：

所有涉及到資料流轉的過程，全部受到使用者粒度金鑰的加密保護；

雲端只儲存密文向量，不儲存明文的文字和向量；

只有 LLM 推理使用明文，且推理過程在安全隔區內進行；

LLM 運營商和雲計算服務提供商全程不掌握使用者金鑰，無法看到明文，實現了全程保密。

那麼問題也來了：全程加密的方式，對推理效率和使用者側體驗是否有影響？

實際上沒有可觀影響。APPSO 從火山引擎瞭解到，雖然加密的過程複雜，但從用時的角度，使用者不會有明顯感知，速度相比明文方式只會慢 5% 或更低。

而從推理結果上，由於採用了高效能的密碼學方法，加解密過程的資訊很難出現資訊損失。LLM 的推理工作在安全隔區進行，沒有資料洩密的風險。最後的推理結果無限接近於無損，並且 LLM 仍然保持流式輸出的工作方式，讓使用者可以看到 token 不斷生成。

架構開放，業務廣泛，Jeddak PCC 已為「Agent 元年」準備好

隱私計算 (privacy/confidential computing) 第一次在大眾面前被提起，還是在 2013 年。自從當年的 iPhone 5s，蘋果開始在 A 系列處理器內封裝一顆單獨的隱私計算小模組，名叫安全隔區 (secure enclave)，用於生物驗證、支付等操作。應用、處理器，乃至整個作業系統，都無法看到這些私密資料對應的明文。

時代更替技術升級，現在每個人都在努力追上 AI 的潮流，享受 LLM、Agent 等技術帶來的便利和創新體驗。然而隱私計算很長時間以來並沒有跟上 AI 普及化的腳步——直到 Jeddak PCC 的問世。

私密雲計算的概念，是隱私計算在雲時代和 AI 時代的延伸擴充套件。而 Jeddak PCC 其實就是在用同樣的技術，把概念擴充套件到 AI 雲計算的場景下，將儲存在使用者端側的私密資料，放在一個更大的區域內做安全的儲存、託管和計算。

就像蘋果安全隔區讓使用者首次接觸到隱私計算，Jeddak PCC 也是私密雲計算的能力第一次交到企業開發者、裝置廠商，以及它們的終端使用者的手上。而且從架構開放性、支援業務種類、軟硬融合等多個方面來看，Jeddak PCC 和蘋果 PCC 相比也已經展現出明顯的優勢。

據 APPSO 的瞭解，Jeddak PCC 採用開放架構，支援 CPU、GPU 以及異構計算，支援英偉達 Hopper、英特爾 TDX、AMD SEV 等機密算力平臺，滿足客戶的公有/私有云等多種或融合的部署需求。

這讓 Jeddak PCC 和蘋果 PCC 的封閉架構和完全依賴獨家軟硬體實現的做法，形成了明顯差別。畢竟蘋果 PCC 只是為了實現其原生內部應用 (Apple Intelligence) 而推出，而 Jeddak PCC 是火山引擎自研的私密雲計算能力輸出並普及給整個科技行業。

蘋果宣稱其 PCC 系統採用封閉架構的一大原因在於確保安全閉環。但其實隨著技術和觀念的進步，安全行業目前更普遍認為，封閉系統無法減緩「漏洞-入侵-補丁」的亡羊補牢式迴圈；安全軟體在開放的架構和協作的模式中開發，可以確保所有的利益相關者能夠及時發現漏洞、補強安全。

這也是為什麼 Jeddak PCC 方案的開放架構，可能更容易被行業普遍接受，能夠大大加速行業整體安全水位的提升。

火山引擎積累了大量資料庫、密碼學等方面的人才，這些領域都和私密雲計算高度相關。強大的人才儲備、安全科研能力，加上一線雲服務商的安全政策，可以確保隱患及時發現。

Jeddak 專案組目前在安全方面專利累計達到 130 件，2024 年新增 62 件，涉及密碼學、隱私計算、系統安全等專業，覆蓋AI、LLM 安全、可信執行環境等技術方向。

除了火山引擎的工作外，開放架構也意味著 Jeddak PCC 的能力和安全性提升也依賴聯合端側廠商客戶共同建設。

在支援的 AI 業務型別上，Apple PCC 目前存在唯二目的：1）服務 Apple Intelligence 產品的使用者端體驗；2）蘋果自己的後端訓練，以及公司內部的員工任務。具體能力目前也僅僅涉及推理層面，沒有看到對其它 LLM 主流業務型別的支援。

而 Jeddak PCC 已經支援可信 AI 推理和安全 RAG——這兩者已經透過前一小節的案例體現。這背後其實是火山引擎隱私計算團隊將多年以來在機密計算、同態加密上的技術外放給雲服務客戶，幫助它們更好在 LLM 安全合規的前提下，實現應用拓展和降本增效。

至於 Jeddak PCC 對 Agent 的支援，更是火山引擎正在加緊研發和測試的業務專案。

業界普遍認為 2025 年是「Agent 元年」，從娛樂休閒到專業任務，各種型別、具備各種能力的的 Agent 層出不窮；火山引擎背後的字節跳動本身也透過豆包、釦子空間等產品深度佈局了 Agent 市場。顯然 Agent 成為了當下場景可能性最豐富、生命力最強的 AI 產品類別。

火山引擎在6月即將上線基於 Jeddak PCC 的可信版 Agent——OS Agent，讓使用者透過自然語言指令，即可完成點外賣、訂機票等複雜操作，並且任務全過程貫徹 Jeddak PCC 的私密雲計算邏輯。隨著 Agent 技術的不斷進步、市場活躍度提升，Jeddak PCC 也已經為 Agent 的徹底爆發做好了準備。

使用者可感知的 AI 安全

無論是觸控式螢幕幕還是輸入內容，使用者與應用產品的每一次互動都會留下痕跡。而在今天的網際網路服務使用者權利結構下，一個尷尬的事實是，使用者並不真正「擁有」自己的資料。

在 AI 的時代，這個邏輯同樣延續。僅就目前的 LLM 產品形態來看，使用者的隱私控制權同樣極其有限，服務商的隱私政策還未跟上節奏。使用者往往在未意識到這一點的前提下，向 LLM 產品傳送更多隱私和機密的資料。

火山引擎認為，在這樣的背景下，LLM 開發者和雲計算平臺更需要多做一些努力，幫助國民提高 AI 時代的資料隱私和安全意識。

在 AI 完全起飛，LLM 植入每一個產品的前中後端的新時代，私密雲計算技術對於使用者的重要性與日俱增。與此同時，這一技術的好處，也應該讓使用者感知到，給他們可見的獲得感。

想象一下，在不遠的將來，手機的系統設定-隱私功能裡面，會新增一個「AI」模組：

比如，你可以看到自己今天和 AI 進行了 100 次互動，其中有 80 次在本地，20 次傳送到雲端執行。

不僅如此，你還可以檢視每次互動的具體明細，例如時間、輸入的提示內容、本地或雲端處理。這些細節需要你用指紋、人臉，或者至少輸入密碼才能檢視，因為它們受到手機晶片的安全隔區的保護——本地隔區同樣受到 Jeddak PCC 體系的保護。

更進一步，或許你還可以看到那些上雲的互動次數，資料在雲端被如何加密，用後是否已刪除——能夠「自證清白」對於一個健全的 PCC 平臺來說，是最基本的要求之一。