智算新范式：基于 Anolis OS 构建 Confidential AI Agent — OpenClaw-CC 隐私保护实践

编者按：随着人工智能大模型在金融、医疗、政务等高敏感领域的深入应用，数据隐私与模型安全已成为制约 AI 落地的核心瓶颈。如何在不可信的公有云环境中，确保 AI 的"思维过程"不被窥探、"执行逻辑"不被篡改、"通信链路"不被劫持？近日，英特尔中国高级工程师朱运阁与龙蜥社区云原生机密计算 SIG Contributor 赖堃共同带来了《智算新范式：构建 Confidential AI Agent》的主题分享。他们基于Intel® TDX（可信域扩展）技术与龙蜥社区开源生态，深度解析了 OpenClaw-CC 项目的架构设计与落地实践，展示了一套从硬件根信任到应用层隔离的全栈机密计算解决方案。本文整理自龙蜥大讲堂第 144 期直播内容，为您系统化拆解如何构建"可用不可见"的机密智能体。

一、破局与基石：AI 能力演讲下的安全新挑战

人工智能的发展浪潮正在经历一场深刻的范式转移。早期的 AI 应用多集中于公开数据的处理与非敏感场景的交互，那时，"效率"是唯一的追求。但当 AI 试图介入人类社会的核心领域------比如分析患者的电子病历以辅助诊疗，或者读取企业的财务报表以预测风险，甚至直接操作公司的源代码库进行重构时，传统的云安全模型便显得捉襟见肘。

在新场景、新模式不断涌现的同时，数据隐私保护与可信体系构建的痛点也日益凸显：大模型训练数据易遭污染，推理过程可能引发隐私泄露，数据跨域流动中安全风险难以有效管控；随着云部署成为主流，现有的数据防护体系虽在数据传输与存储环节相对成熟，但在数据处理阶段仍高度依赖云平台或第三方服务方的契约式背书；技术手段上，缺乏对模型与数据在处理过程中的有效隔离与可信验证机制，这些问题已成为制约数字经济高质量发展的核心瓶颈。

更令人担忧的是，AI Agent 正在演变为具备感知、规划与行动能力的"数字员工"，需要调用各种工具（Skills），记忆多轮对话的上下文（Context），甚至持有访问第三方服务的凭证（Credentials）。如果这些"思维过程"和"身份钥匙"暴露在明文内存中，后果不堪设想：攻击者不仅可以窃取用户的隐私输入，更可以篡改 Agent 的系统提示词（SystemPrompts），诱导其输出有害内容，或者窃取其持有的 API Key 进行恶意操作。

面对如此严峻的"信任真空"，传统的软件防御手段已显得力不从心，行业亟需一种能够从根源上重塑安全边界的新范式。这一趋势也得到了全球权威机构的印证------Gartner在《2026年十大战略技术趋势》中将机密计算（Confidential Computing）推向了舞台中央。它不再满足于数据仅在传输和存储时的加密，而是提出了一个更具挑战性的目标：让数据在"使用中（In-Use）。要将这一愿景变为现实，必须依赖硬件级的可信执行环境（TEE）作为基石。

英特尔®至强®处理器内置的英特尔®可信域扩展（Intel® Trust Domain Extensions，英特尔® TDX）技术，旨在为云环境提供硬件级可信执行环境。英特尔® TDX通过创建"可信域"（TD，Trust Domain）实现虚拟机级隔离，结合内存加密（如英特尔® 多密钥全内存加密，英特尔® MK-TME）和远程证明，确保数据在使用状态（Data in Use）的机密性、完整性和真实性。

英特尔®TDX 为企业提供基于机密虚拟机、机密 GPU 实例和机密容器的可信算力保障，满足计算、存储及异构加速等基础算力需求。它能够在多租户环境下实现用户数据处理的强隔离，保护 AI 推理与训练的全流程数据安全，借助其灵活的可信度量和证明机制，同时支撑可验证、可审计的可信算力体系构建。TDX 提供的可信度量不仅是启动安全的基础，更是远程认证（Remote Attestation）和运行时可信评估的前提条件。

依托龙蜥社区在操作系统层面的深度优化与 Intel 的硬件能力，OpenClaw-CC 项目应运而生。它不再满足于单一的数据加密，而是试图构建一个全栈的、原生的机密智能体运行环境，从根本上解决 AI 落地过程中的信任危机。

二、架构与解析：OpenClaw-CC 设计深度拆解

OpenClaw-CC 的设计哲学非常明确：不仅要保护数据，更要保护 AI 的"灵魂"与"身份"。项目团队深入剖析了 AI Agent 在云原生环境下的生命周期，识别出四个最关键的风险点，并逐一给出了基于硬件信任根的解决方案。

守护思维的"黑盒"：动态上下文的机密性。AI 的"短期记忆"------包括敏感 Prompt、多轮对话状态及推理思维链，在传统内存中往往明文裸奔。OpenClaw-CC 利用 Intel TDX 硬件加密引擎（MEE），将 Agent 运行空间包裹在独立可信域中：数据仅在 CPU 寄存器内解密，一旦写入物理内存即刻转为密文。这意味着，即便云厂商拥有最高权限，也无法通过内存 dump 窥探 AI 的思考过程，真正实现了隐私数据的"可用不可见"。

封印身份的"钥匙"：凭证的动态注入与加密落盘。API Key、数据库密码等核心凭证若静态存放在镜像中，极易被窃取滥用。OpenClaw-CC 系统镜像的根分区实施严格的"只读区度量+差异层加密"策略：实例初始为无钥"空壳"，唯有向信任中心（Trustee）自证环境清白后，敏感凭据才被动态下发到机密实例。并提供持久化加密落盘存储，从链路上切断了密钥泄露路径。

捍卫行为的"灵魂"：执行逻辑的防篡改。System Prompts 与 Skills 文件定义了 Agent 的"人设"与"技能"，是其灵魂所在。传统安全常忽略配置文件的完整性，导致 Agent 易被篡改变节。OpenClaw-CC 将防篡改粒度细化至所有配置文件，利用 dm-verity 锁定文件系统，并将所有关键哈希值计入 TDX 远程证明度量。任何微小修改（如植入恶意工具）都会导致度量值不匹配，触发证明失败并拒绝启动，确保云端 Agent 100% 忠实于用户原始定义。

验明正身的"信道"：通信链路的真实性。最后一个常被忽视的痛点是通信安全。当我们通过 HTTPS 连接一个云端 AI 服务时，TLS 协议确实加密了数据传输，但它只验证了域名证书，并没有验证服务端运行的环境。OpenClaw-CC 引入 RATS-TLS 协议，将远程证明嵌入握手流程：在建立加密通道前，客户端强制校验服务端的 TDX 硬件证据（Quote）。只有确认对方运行在真实可信硬件且软件未被篡改时，隧道才会建立。这种"通信即验身"的机制，彻底终结了中间人攻击与身份伪造，确保数据只流向经硬件认证的"真身"。

三、落地实践：从构建到运行的全流程演示

基于龙蜥操作系统的安全特性，我们将上述四大安全能力串联起来，形成了从本地构建到云端运行的完整实践。

第一步：本地确权与信任注册。用户在本地可信环境中构建包含 OpenClaw 的加密镜像，并自动生成包含代码、配置（Prompts/Skills）哈希值的唯一的"黄金参考值"。

第二步：一键部署云上实例。通过自动化脚本，在阿里云等支持 TDX 的云平台上快速部署上述镜像。

第三步：可信代理网关与安全接入。启动本地的 TNG（Trusted Network Gateway）客户端，发起远程证明请求。TNG 会验证云端的 TDX Quote，确认环境清白，并建立端到端的加密隧道。验证通过后，用户可通过多种方式安全访问 Agent。

整个过程中，用户的敏感指令全程密文传输，且在云端内存中始终加密，实现了真正的隐私保护。