Saat runtime, agen AI memproses percakapan pengguna, memanggil alat eksternal, serta mengelola memori jangka panjang dan kredensial layanan, sehingga menghasilkan permukaan serangan yang jauh lebih besar dibandingkan aplikasi tradisional. Instans komputasi rahasia heterogen gn8v-tee dari Alibaba Cloud memanfaatkan kemampuan Intel TDX dan komputasi rahasia GPU NVIDIA untuk menyediakan Lingkungan Eksekusi Tepercaya (TEE) yang lengkap. Dengan menerapkan framework agen AI open-source OpenClaw pada instans ini, Anda dapat mencapai perlindungan data tingkat perangkat keras, attestation jarak jauh, dan verifikasi rantai pasok, sehingga menjamin keamanan ujung ke ujung untuk inferensi model dan interaksi pengguna.
Ikhtisar
Topik ini menjelaskan solusi Confidential Agent yang menerapkan OpenClaw pada instans gn8v-tee yang mendukung Intel TDX (Trust Domain Extensions). Model Qwen3.6-35B-A3B Mixture of Experts (MoE) dijalankan secara lokal pada instans tersebut, sehingga eksekusi agen dan inferensi model sepenuhnya diselesaikan dalam domain tepercaya TDX tanpa memanggil layanan API pihak ketiga apa pun. Input pengguna, bobot model, status antara inferensi, dan output AI tidak pernah meninggalkan batas kepercayaan instans rahasia selama pemrosesan.
gn8v-tee adalah keluarga instans komputasi rahasia berbasis GPU yang dirilis oleh Alibaba Cloud. Instans ini mengintegrasikan enkripsi perangkat keras Intel TDX dan akselerasi GPU NVIDIA untuk memenuhi persyaratan kinerja inferensi AI sekaligus kepatuhan terhadap keamanan data. Topik ini menggunakan ecs.gn8v-tee.4xlarge sebagai contoh, yang menjalankan Alibaba Cloud Linux 3 di zona cn-beijing-l. Untuk beban kerja yang lebih besar, Anda dapat melakukan penskalaan ke tipe instans multi-GPU.
Arsitektur keamanan
Semua data inti dalam penerapan Confidential Agent beredar di dalam batas TEE. Tiga jenis aset berikut dilindungi secara ketat:
Aset yang dilindungi | Deskripsi |
Privasi percakapan pengguna | Input pengguna, konteks eksekusi alat, dan respons AI, yang mungkin berisi informasi sensitif seperti informasi identitas pribadi (PII), catatan medis, dan data keuangan. |
Memori dan status agen | Memori jangka panjang, konfigurasi, dan file SKILL dalam OpenClaw, yang seiring waktu menjadi target bernilai tinggi. |
Kredensial layanan | Kredensial OAuth untuk platform IM seperti DingTalk, Kunci API eksternal, dan token gerbang. |
Arsitektur keamanan mencakup lima lapisan dari bawah ke atas: perangkat keras, rantai boot, runtime, manajemen kunci, dan komunikasi:
Lapisan perlindungan | Mekanisme |
Perangkat keras | Intel TDX Memory Encryption Engine (MEE) mengenkripsi semua memori guest secara transparan. Penyedia cloud tidak dapat membaca teks biasa. |
Rantai boot | UKI (Unified Kernel Image) + dm-verity rootfs untuk perlindungan dari perubahan. Attestation jarak jauh memverifikasi integritas runtime. Nilai referensi rantai pasok dicatat dalam log transparansi Rekor. |
Runtime | Sandbox kebijakan PEP memblokir perintah berisiko tinggi dan akses ke path sensitif, mencegah peningkatan hak istimewa akibat prompt injection. |
Manajemen kunci | Kunci enkripsi disk disuntikkan melalui tantangan attestation jarak jauh saat boot dan disimpan secara lokal oleh pengguna. Penyedia cloud tidak terlibat. |
Komunikasi | Enkripsi end-to-end RATS-TLS. Saluran terenkripsi hanya dibentuk setelah attestation jarak jauh memverifikasi identitas instans. Semua komunikasi dienkripsi saat transit. |
Alur kerja penerapan
Audit kode sumber: Penerap melakukan audit kode sumber bisnis untuk memastikan tidak ada kode berbahaya atau backdoor.
Buat artefak dan publikasikan nilai referensi perangkat lunak: Bangun citra OS ringan yang hanya berisi layanan OpenClaw dari kode sumber yang telah diaudit, lalu unggah tanda tangan SLSA dari artefak build ke log transparansi Rekor untuk mempublikasikan nilai referensi perangkat lunak.
Buat instans rahasia: Buat instans komputasi rahasia gn8v-tee dengan menggunakan citra yang telah dibangun.
Audit attestation jarak jauh dan unggah sumber daya rahasia: Penerap menggunakan alat penerapan untuk melakukan attestation jarak jauh pada instans guna memverifikasi bahwa instans tersebut berjalan pada perangkat keras TDX asli. Setelah diverifikasi, sumber daya rahasia seperti kunci enkripsi disk dan kredensial bot DingTalk diunggah secara otomatis.
Akses OpenClaw: Pengguna dapat mengakses OpenClaw secara langsung melalui browser web, klien desktop, atau terminal TUI, atau secara tidak langsung melalui platform IM seperti DingTalk.
Audit attestation jarak jauh dan transmisi terenkripsi: Sebelum membuat koneksi, klien gerbang tepercaya mengambil nilai referensi perangkat lunak dari Rekor dan nilai referensi perangkat keras dari Intel PCCS dan RIM/OCSP. Setelah verifikasi attestation jarak jauh selesai, saluran terenkripsi RATS-TLS dibentuk. Semua komunikasi dienkripsi end-to-end.
Prasyarat
Anda telah mengaktifkan Alibaba Cloud ECS dan akun Anda memiliki izin untuk membuat instans gn8v-tee.
Anda telah menyiapkan instans ECS yang menjalankan Alibaba Cloud Linux 3 (tipe general-purpose atau lainnya) sebagai mesin penerapan, dengan ruang disk tersedia minimal 80 GB.
PentingMesin penerapan hanya digunakan untuk operasi penerapan. Instans general-purpose sudah cukup. Anda tidak perlu menggunakan instans gn8v-tee. Pada langkah-langkah berikutnya, Anda akan menjalankan perintah pada mesin penerapan untuk membuat instans gn8v-tee.
Anda telah memperoleh Pasangan Kunci Akses Alibaba Cloud. Kami merekomendasikan penggunaan peran RAM atau kredensial sementara STS.
Jika Anda perlu menggunakan integrasi DingTalk, Anda telah membuat aplikasi perusahaan internal DingTalk dan memperoleh kredensial yang diperlukan.
Prosedur
Langkah 1: Bangun citra tepercaya yang berisi OpenClaw dan mesin inferensi vLLM
Selesaikan tugas-tugas berikut pada mesin penerapan (instans Alibaba Cloud Linux 3): unduh kode sumber, instal dependensi, hasilkan kunci, konfigurasikan sumber daya cloud, dan bangun citra tepercaya.
Login ke instans ECS.
Buka Konsol ECS - Instans. Di pojok kiri atas, pilih wilayah dan kelompok sumber daya untuk instans target.
Buka halaman detail instans target. Klik Connect dan pilih Workbench. Atur metode koneksi ke Terminal Connection, masukkan username dan password Anda, lalu login ke terminal grafis.
Unduh kode sumber proyek.
cd ~/ git clone https://github.com/inclavare-containers/confidential-agent cd confidential-agentInstal semua dependensi perangkat lunak yang diperlukan.
make install-depsPerintah ini secara otomatis menginstal Docker, Terraform, Go, Python, cosign, rekor-cli, dan alat lain yang diperlukan untuk pembuatan dan penerapan.
Hasilkan kunci enkripsi dan file konfigurasi yang diperlukan untuk penerapan.
make generate-secretsSetelah kunci dihasilkan, edit
secrets/openclaw-vllm.jsondan ganti placeholder dengan nilai aktual, seperti kredensial aplikasi DingTalk dan konfigurasi model. Tabel berikut menjelaskan placeholder tersebut:Placeholder
Deskripsi
Cara memperoleh
<DINGTALK_BOT_CLIENT_ID>DingTalk bot ClientId
Lihat DingTalk Bot + OpenClaw. Buat aplikasi di DingTalk Developer Portal untuk memperoleh nilainya.
<DINGTALK_BOT_CLIENT_SECRET>DingTalk bot ClientSecret
Seperti di atas. Peroleh nilainya dari halaman detail aplikasi.
Konfigurasikan file variabel Terraform.
CatatanTerraform adalah alat Infrastructure as Code (IaC) open-source yang memungkinkan Anda mengotomatiskan pembuatan, modifikasi, dan manajemen versi berbagai sumber daya dan layanan cloud di Alibaba Cloud dengan menulis file konfigurasi deklaratif. Dalam solusi ini, Terraform digunakan untuk mengotomatiskan penerapan instans rahasia.
cp terraform/terraform.tfvars.example terraform/terraform.tfvarsEdit file
terraform/terraform.tfvarsdan konfigurasikan parameter kunci seperti yang dijelaskan dalam tabel berikut.Parameter
Nilai yang direkomendasikan
Deskripsi
zone_id"cn-beijing-l"Zona yang mendukung keluarga instans gn8v-tee
vpc_cidr"10.0.0.0/16"Blok CIDR VPC
vswitch_cidr"10.0.1.0/24"Blok CIDR vSwitch
security_group_allowed_cidrBlok CIDR IP lingkungan klien yang perlu mengakses layanan OpenClaw
Rentang IP sumber yang diizinkan oleh grup keamanan
PentingNilai default
security_group_allowed_cidradalah0.0.0.0/0. Di lingkungan produksi, Anda harus mengubah nilai ini menjadi blok CIDR IP tertentu dan hanya mengizinkan alamat IP sumber yang diperlukan.Ekspor kredensial akses Alibaba Cloud Anda agar Terraform dapat membuat sumber daya cloud.
export ALICLOUD_ACCESS_KEY="<YOUR_ACCESS_KEY>" export ALICLOUD_SECRET_KEY="<YOUR_SECRET_KEY>"CatatanKami merekomendasikan penggunaan peran RAM atau kredensial sementara (STS) untuk menghindari penyimpanan jangka panjang Pasangan Kunci Akses. Untuk informasi tentang cara membuat Pasangan Kunci Akses, lihat Buat Pasangan Kunci Akses.
Bangun citra tepercaya yang berisi OpenClaw dan mesin inferensi vLLM.
make build PROFILE=openclaw-vllmCatatanPembuatan pertama kali melibatkan langkah-langkah seperti instalasi driver GPU. Harap bersabar.
Setelah pembuatan selesai, dua citra berikut dihasilkan:
Jenis citra
Deskripsi
Citra produksi
Versi yang diperkeras keamanannya dengan server SSH dihapus dan hanya menyisakan runtime minimal, untuk penerapan produksi
Citra debug
Mempertahankan akses SSH dan alat debugging, hanya untuk troubleshooting
Selama proses pembuatan, nilai referensi citra juga diunggah ke log transparansi Rekor. File metadata
.rekor-meta.jsondihasilkan untuk verifikasi selama penerapan.
Langkah 2: Terapkan citra tepercaya ke instans
Terapkan citra tepercaya ke instans gn8v-tee dan bentuk saluran terenkripsi end-to-end melalui TNG.
Pada mesin penerapan, jalankan perintah berikut untuk membuat instans gn8v-tee dengan menggunakan citra tepercaya. Setelah instans dibuat, attestation jarak jauh dilakukan pada instans tersebut dan sumber daya rahasia diunggah.
make deploy PROFILE=openclaw-vllm RV_MODE=rekorTabel berikut menjelaskan parameter kunci:
Parameter
Deskripsi
PROFILE=openclaw-vllmMenentukan profil penerapan
RV_MODE=rekorMemverifikasi integritas nilai referensi citra melalui log transparansi Rekor selama penerapan
Proses penerapan membuat sumber daya berikut di cloud:
Bucket OSS: Ruang penyimpanan privat yang digunakan untuk mengunggah dan menyimpan citra VM tepercaya (.qcow2).
Citra kustom ECS: Diimpor dari file citra OSS ke pustaka citra kustom Alibaba Cloud ECS.
Instans komputasi rahasia ECS GPU: Instans komputasi rahasia ecs.gn8v-tee.4xlarge yang dilampirkan ke grup keamanan dan vSwitch. Parameter boot UKI mencakup konfigurasi tantangan attestation jarak jauh.
Grup keamanan: Membuka SSH (port 22) dan TNG (port 18789), hanya mengizinkan akses dari blok CIDR yang ditentukan.
CatatanSecara default, citra Debug diterapkan. Untuk menerapkan citra Produksi (tanpa akses SSH), tentukan file citra secara manual.
PentingSelama penerapan, citra diunggah ke OSS dan model diunduh dari ModelScope, yang memerlukan akses Internet dan menimbulkan biaya trafik.
Jalankan TNG Client pada mesin penerapan untuk membentuk saluran terenkripsi RATS-TLS antara mesin penerapan dan instans gn8v-tee berbasis cloud.
make connect-tngSetelah koneksi berhasil, output berisi URL HTTP dan WebSocket serta token akses yang diperlukan untuk mengakses OpenClaw. Semua komunikasi selanjutnya dilindungi oleh enkripsi RATS-TLS.
Periksa apakah layanan OpenClaw siap melalui saluran data TNG.
curl -s http://localhost:18789/healthSetelah status sehat dikembalikan, Anda dapat melanjutkan untuk mengakses layanan.
Langkah 3: Akses layanan OpenClaw yang dilindungi oleh komputasi rahasia
Setelah layanan siap, Anda dapat mengakses layanan OpenClaw melalui empat metode berikut.
Metode 1: Melalui obrolan DingTalk
Temukan bot yang telah dikonfigurasi di DingTalk dan kirim pesan untuk memulai percakapan dengan OpenClaw.

Metode 2: Melalui UI web berbasis browser
Persiapan: Bentuk penerusan port dari mesin lokal ke mesin penerapan
Perintah make connect-tng pada Langkah 2 dijalankan pada mesin penerapan dan mengikat saluran data TNG ke localhost:18789 pada mesin penerapan. Anda perlu mengatur penerusan port SSH dari mesin lokal ke mesin penerapan:
ssh -L 18789:127.0.0.1:18789 root@<deployment machine IP>Setelah penerusan port dibentuk, mengakses localhost:18789 di browser atau klien pada mesin lokal Anda setara dengan mengakses saluran data TNG pada mesin penerapan.
Akses melalui browser
Setelah penerusan port SSH diatur pada mesin lokal Anda, buka http://localhost:18789/openclaw di browser Anda untuk membuka panel kontrol web. Masukkan token OpenClaw yang diperoleh pada Langkah 2 untuk mengakses layanan.

Metode 3: Melalui klien desktop OpenClaw
Persiapan: Bentuk penerusan port dari mesin lokal ke mesin penerapan
Perintah make connect-tng pada Langkah 2 dijalankan pada mesin penerapan dan mengikat saluran data TNG ke localhost:18789 pada mesin penerapan. Anda perlu mengatur penerusan port SSH dari mesin lokal ke mesin penerapan:
ssh -L 18789:127.0.0.1:18789 root@<deployment machine IP>Setelah penerusan port dibentuk, mengakses localhost:18789 di browser atau klien pada mesin lokal Anda setara dengan mengakses saluran data TNG pada mesin penerapan.
Akses melalui klien desktop
Instal klien desktop OpenClaw pada mesin lokal Anda, konfigurasikan mode remote, atur alamat koneksi ke ws://localhost:18789, dan masukkan token OpenClaw yang diperoleh pada Langkah 2.
Metode 4: Melalui TUI OpenClaw
Instal OpenClaw sebagai klien pada mesin penerapan:
npm install -g openclaw@latest --registry=https://registry.npmmirror.comKemudian jalankan perintah berikut pada mesin penerapan untuk memulai TUI OpenClaw dan terhubung ke instans OpenClaw remote:
openclaw tui --url ws://localhost:18789 --token <gateway-token>Ganti <gateway-token> dengan token gerbang OpenClaw yang diperoleh pada Langkah 2.
Pertama kali Anda terhubung melalui TUI, pesan pairing required ditampilkan. Buka http://localhost:18789/openclaw di browser Anda, temukan perangkat yang menunggu otorisasi pada halaman Nodes, lalu klik Approve untuk menyelesaikan otorisasi. Kemudian kembali ke TUI.
Setelah otorisasi selesai, TUI siap untuk percakapan:

Langkah 4 (opsional): Lepaskan sumber daya
Saat Anda tidak lagi memerlukan layanan, jalankan perintah berikut untuk melepaskan semua sumber daya cloud:
make destroy PROFILE=openclaw-vllmOperasi ini tidak dapat dikembalikan dan menghapus instans ECS serta sumber daya jaringan terkait. Pastikan Anda tidak lagi memerlukan data pada instans sebelum menjalankan perintah ini.
Verifikasi keamanan
Verifikasi keandalan lingkungan runtime
OpenClaw memiliki skill bawaan tdx-remote-attestation yang secara otomatis memicu attestation jarak jauh saat pertanyaan terkait keamanan diajukan, memverifikasi status keamanan lingkungan runtime saat ini.
Cara memicu: Ajukan pertanyaan terkait keamanan di DingTalk, Web, atau TUI, seperti "Apakah data saya aman?" atau "Apakah lingkungan ini tepercaya?"
Konten yang dikembalikan:
Item verifikasi | Deskripsi |
Status kepercayaan perangkat keras | Nilai perangkat keras 32 atau lebih rendah menunjukkan verifikasi berhasil |
Jenis TEE | Intel TDX Trust Domain |
Perlindungan enkripsi memori | Memastikan Memory Encryption Engine diaktifkan |
Integritas rantai boot UKI | Memverifikasi konsistensi nilai pengukuran komponen |

Verifikasi penerapan kebijakan PEP
PEP (Policy Enforcement Point) adalah mekanisme gating runtime yang dirancang untuk agen AI rahasia. Saat agen seperti OpenClaw mengeksekusi perintah melalui alat exec, permintaan terlebih dahulu melewati cai-pep untuk pencocokan kebijakan, lalu dijalankan dalam sandbox Docker terisolasi (mode jaringan none). Kebijakan yang dapat dikonfigurasi memberlakukan pembatasan wajib pada alat yang tersedia bagi agen, mencegah risiko keamanan akibat prompt injection berbahaya.
PEP menyediakan tiga lapisan perlindungan:
Pemblokiran tingkat perintah: Menolak perintah berisiko tinggi berdasarkan daftar blokir, seperti
curl,wget,nc,ssh, dandocker.Pemblokiran tingkat path: Mencegah akses ke path sensitif, seperti
/etc,/proc,/root, dan/home/openclaw/.openclaw.Isolasi jaringan: Sandbox tidak memiliki akses jaringan. Bahkan jika perintah melewati daftar blokir, perintah tersebut tidak dapat membuat koneksi keluar.
File kebijakan default terletak di ~/confidential-agent/image/customize/files/cai-pep-default-policy.json pada mesin penerapan. Anda dapat memodifikasi daftar blokir perintah, daftar blokir path, dan batas sumber daya sebelum membangun citra.
Jika agen dikompromikan oleh prompt injection berbahaya, dan penyerang mencoba membuat reverse shell atau mengunduh muatan berbahaya, PEP secara otomatis memblokir operasi berisiko tinggi ini:
Metode serangan | Contoh perintah | Alasan pemblokiran |
Reverse shell |
|
|
Unduh muatan berbahaya |
|
|
Baca file sensitif |
|
|
Verifikasi integritas rantai pasok
Proses penerapan secara default menggunakan log transparansi Rekor untuk menyimpan nilai referensi citra. Selama attestation jarak jauh, nilai referensi secara otomatis diambil dari Rekor untuk verifikasi. Anda dapat mengaudit entri log Rekor untuk memverifikasi integritas rantai pasok dengan menggunakan metode berikut.
Lihat catatan Rekor
Setelah pembuatan selesai, Anda dapat menemukan indeks log dan URL entri catatan pada mesin penerapan:
cat ~/confidential-agent/image/output/slsa-output-cai-openclaw-vllm-debug-*/rekor-v1-upload.txtContoh output:
Created entry at index 1205944956, available at: https://rekor.sigstore.dev/api/v1/log/entries/<uuid>Verifikasi bukti inklusi
Bukti inklusi mengonfirmasi bahwa entri yang berisi nilai referensi citra ada dalam Merkle Root log Rekor.
rekor-cli verify --log-index 1205944956 --rekor_server https://rekor.sigstore.devJika output berisi dua nilai hash yang identik, verifikasi berhasil:
Computed Root Hash: 1291abcee27148a4c00241ba8719f798ce060e8a5ccc8b18249017c25c6d0090
Expected Root Hash: 1291abcee27148a4c00241ba8719f798ce060e8a5ccc8b18249017c25c6d0090Verifikasi bukti konsistensi
Bukti konsistensi mengonfirmasi bahwa Merkle Root lama (Root A) merupakan awalan atau status historis dari Merkle Root baru (Root B), memastikan bahwa entri nilai referensi yang disimpan di Rekor tidak dimanipulasi atau dihapus.
rekor-cli loginfo --rekor_server https://rekor.sigstore.devJika output berisi konten berikut, verifikasi berhasil:
Verification Successful!Konfigurasi grup keamanan
Selama proses make deploy, aturan grup keamanan dibuat secara otomatis. Jika Anda perlu memodifikasi grup keamanan nanti, pastikan grup tersebut berisi aturan berikut:
Port | Protokol | Deskripsi | Rekomendasi keamanan |
22 | TCP | Manajemen remote SSH (hanya untuk citra Debug) | Batasi IP sumber ke jaringan manajemen |
18789 | TCP | Titik akhir saluran data TNG (RATS-TLS), digunakan untuk mengakses layanan OpenClaw | Batasi IP sumber atau akses melalui TNG |
Penting: Di lingkungan produksi, pastikan untuk mengubahsecurity_group_allowed_cidrmenjadi blok CIDR IP manajemen tertentu. Hindari penggunaan0.0.0.0/0.
FAQ
make buildgagal dengan error dependensi yang hilangVerifikasi bahwa semua dependensi telah diinstal dan periksa apakah ruang disk mencukupi:
make install-deps df -h /Jika masalah belum terselesaikan, jalankan
make clean-imageuntuk membersihkan artefak build dan coba lagi.make deploygagal denganNoSetRoletoECSServiceAcountError ini menunjukkan bahwa peran impor citra ECS belum diotorisasi. Lakukan salah satu operasi berikut:
Login ke konsol Alibaba Cloud, buka ECS > Images > Import Image, lalu klik Authorize untuk membuat peran
AliyunECSImageImportDefaultRole.Di konsol RAM, berikan kebijakan
AliyunOSSFullAccesskepada peranAliyunECSImageImportDefaultRole.
Layanan tidak merespons
Verifikasi bahwa citra Debug diterapkan (citra Produksi tidak menyertakan SSH).
Terapkan ulang dan verifikasi bahwa
make deployselesai tanpa error.Terapkan citra Debug dan hubungkan melalui SSH untuk memeriksa log guna troubleshooting.
Verifikasi TNG lokal gagal
Verifikasi bahwa container Trustee lokal sedang berjalan dan sehat:
# Verifikasi container Trustee lokal sedang berjalan docker ps | grep cai-local-trustee # Periksa status kesehatan Trustee curl http://127.0.0.1:18081/api/health # Jika Trustee belum siap, jalankan ulang make connect-tngcai-pep menolak semua panggilan alat
Terapkan citra Debug dan hubungkan melalui SSH untuk memeriksa log cai-pep guna mengetahui alasan spesifik pemblokiran.