機密計算是人工智能如何重新贏得已失去的信任 — 以及為什麼它需要成為新標準

簡要摘要

隨著人工智慧（AI）採用速度超越公眾信任，ORGN的艾哈邁德·沙迪德（Ahmad Shadid）提出，機密運算與可驗證執行提供了僅靠隱私政策無法達成的加密證明。

AI系統正快速進入敏感工作流程——撰寫程式碼、處理客戶資料，以及支援金融和醫療等受規範行業的決策。這種整合速度造成了一個結構性問題，行業尚未充分解決。

問題在於信任。一項由墨爾本大學與畢馬威（KPMG）合作進行的調查，涵蓋47個國家的超過48,000人，發現66%的受訪者定期使用AI，但不到一半——僅46%——表示願意信任AI系統。使用率與信心呈相反趨勢，且差距正逐漸擴大。

這種信任赤字中特別嚴重的是資料隱私層面。根據史丹佛大學2025年AI指數，全球對AI公司保護個人資料的信心從2023年的50%下降到2024年的47%，而且較去年更少人相信AI系統是無偏見且不歧視的。這一下降正值AI在日常生活和專業環境中越來越深入，導致誤信的風險也大大增加。

ORGN的CEO艾哈邁德·沙迪德（Ahmad Shadid）認為，AI的下一階段將不再建立在信任之上，而是建立在證明之上。機密運算與可驗證執行使得能夠明確展示資料的處理方式，而非僅僅承諾其安全。

在與MPost的對話中，他解釋了這些技術如何解決傳統安全措施在AI工作流程中留下的隱私與信任空白，以及它們成為主流所需的條件。

現今AI公司通常如何保護資料——以及為何這不足夠

目前大多數AI公司依賴加密、存取控制和治理政策的組合來保護敏感資料。資料在靜止和傳輸時會使用既定演算法進行加密，而基於角色的存取控制、日誌記錄和異常偵測則管理誰能與系統互動以及在何種條件下。這些措施代表行業的基本標準，對許多應用來說已足夠。

問題出現在一個特定且常被忽視的時刻：資料在記憶體中解密，用於模型訓練或推論時。此時，資料暴露的窗口就會打開。機密運算正是針對此問題，將資料在處理過程中進行加密，並在硬體內部進行，甚至基礎設施運營者也無法看到內部發生的事情。

沙迪德指出一個結構性漏洞，標準安全方法無法完全封堵。當資料在客戶無法直接控制的伺服器（例如公共雲環境或第三方AI平台）中解密時，客戶沒有技術手段驗證資料的實際處理過程。他們實際上只能依賴供應商的承諾。

這個問題不僅限於終端用戶。在受規範的環境中，CISO、合規審核員和監管機構也面臨同樣的問題。他們通常依賴ISO 27001證書、SOC 2報告和政策文件——沙迪德認為，這些工具更多證明意圖而非實際資料在使用中的狀況。配合認證的機密運算則改變了這一點，提供防篡改的加密證據，證明特定模型版本在經過批准的可信執行環境中運行，並配備經批准的軟體堆疊。這樣，保證從僅憑文件的意圖轉變為可驗證的技術事實。

這一轉變的監管動力已經顯現。根據IDC 2025年7月的機密運算研究，歐盟的數位運營韌性法（DORA）推動77%的組織更可能考慮採用機密運算，已有75%的組織以某種形式採用。主要的好處包括資料完整性提升、保密性證明以及更強的合規性。

可驗證執行在實務中的意義

對非技術觀眾來說，沙迪德將可驗證執行描述為：在AI系統處理資料後，收到一份加密收據。這份收據以數學方式證明，AI在真正的認證硬體上運行，執行了預期的軟體版本，且在解鎖敏感資料前，環境已經適當安全。這個過程的完整性不再依賴於供應商的保證，而是建立在證據的驗證上。

在技術層面，這透過三個互相關聯的機制實現。可信執行環境（TEEs）允許處理器建立一個封閉的隔離區——在矽晶片層面隔離記憶體與執行環境——使得作業系統、超級管理程式或雲端運營者都無法讀取內部內容。遠端認證（Remote attestation）則允許外部驗證一個真正的TEE正在運行經過批准的軟體堆疊，並在解密金鑰或敏感輸入釋放前進行確認。最後，可驗證的輸出允許系統用簽章的證書標記結果，讓接收者能確認結果來自受保護環境中的預期應用，且未在傳輸途中被篡改。

沙迪德認為，機密運算的優勢遍及整個AI價值鏈。AI開發者能在共享雲端環境中訓練與運行敏感或受規範的資料集，而不暴露原始資料給平台運營者。對企業而言，這項技術降低法律與聲譽風險，提供可證明資料在AI處理過程中受到保護的證據，符合GDPR等隱私規範與行業規定。它也促進跨組織資料合作，因為每一方都能驗證資料僅在經過認證、符合法規的環境中處理，消除合作AI專案的主要障礙之一。

對終端用戶來說，這帶來更強、更具體的保障——他們的個人資料在AI系統運行時，不會被運營者、內部人員或其他雲端租戶存取。這也使得高價值服務成為可能，例如個人化醫療建議或詳細的財務諮詢，這些在過去被視為過於敏感而無法透過雲端基礎設施提供。

沙迪德以自己作為軟體工程師的經驗，說明一個較少被討論的風險：開發者經常將專有程式碼、配置檔、API金鑰和令牌貼入AI程式碼工具，卻很少了解這些資料的存放或使用方式。行業的快速發展使得避免這些工具變得困難。正是這種在快速推進與IP暴露之間的緊張關係，促使他建立了ORGN——一個基於機密運算原則的機密開發環境。

為何尚未普及成為主流

儘管已有75%的企業以某種形式採用，IDC研究發現，只有18%的組織已將機密運算納入生產環境。沙迪德指出三個主要障礙：認證驗證的複雜性、技術被視為小眾的偏見，以及缺乏相關技能的工程師。

他解釋，認證驗證在實務操作中比看起來更為複雜。驗證證據以二進位結構或JSON物件的形式出現，包含測量值、證書和相關資料，必須解析、比對供應商根證書，並驗證其新鮮度與吊銷狀態。開發者還需判斷哪些韌體版本、映像雜湊值和應用測量值是可信的，並將這些邏輯整合到自己的控制平面或金鑰管理系統中。主要雲端供應商如AWS、Azure和Oracle已提供成本大致相當於標準基礎設施的機密運算服務，因此障礙不在於存取或價格，而在於工程深度——正確運作認證驗證所需的技術投入。

沙迪德認為，推動更廣泛採用將取決於三個趨勢的匯聚。第一，認證驗證需要變得更易於存取，無論是透過標準化還是開源工具，讓個別開發團隊能抽象出複雜性。第二，監管壓力將持續推動採用，就像DORA已經在推動一樣——如果其他行業的框架也走上類似軌跡，企業對機密運算的需求將越來越強。第三，也是最根本的，公眾對資料在AI系統中處理過程的認識需要提升。沙迪德認為，大多數人對提交提示給消費者AI工具時的資料處理情況毫無概念。提高這方面的認知——無論是開發者還是一般用戶——都會產生社會壓力，促使採用速度遠勝於純粹的技術論證。

展望未來，他認為若機密運算與可驗證執行成為預設基礎設施，AI服務的設計、銷售與治理方式將發生重大變革。客戶將獲得資料處理的加密證明，而非政策保證，使企業能以具體的方式向監管機構與董事會展示合規性。沙迪德將此比作存儲與網路加密，這些安全措施從可選逐步成為普遍標準。他認為，機密執行的方向也是如此——一旦普及，每一次推論、微調作業和資料傳遞都將攜帶加密證明，使整個流程的完整性成為可驗證的事實，而非制度信任。