AI Agent在運行過程中會處理使用者對話、調用外部工具、管理長期記憶和服務憑證,攻擊面遠超傳統應用。阿里雲gn8v-tee異構機密計算執行個體,基於Intel TDX和NVIDIA GPU機密計算特性實現了完整的機密計算可信執行環境,通過將開源AI Agent架構OpenClaw部署在該執行個體中,可實現硬體級資料保護、遠程證明和供應鏈可驗證能力,確保模型推理和使用者互動全鏈路安全。
方案概述
本文介紹Confidential Agent方案,通過將OpenClaw封裝在支援Intel TDX(Trust Domain Extensions)技術的gn8v-tee執行個體上,同時在本地運行Qwen3.6-35B-A3B混合專家模型(MoE),使得Agent運行和模型推理過程完全在TDX信任域中完成,無需調用任何第三方API服務,使用者輸入、模型權重、推理中間態和AI輸出在處理過程中均不離開機密執行個體信任邊界。
gn8v-tee是阿里雲推出的GPU機密計算執行個體規格類型系列,內建Intel TDX硬體加密能力與NVIDIA GPU加速,同時滿足AI推理效能與資料安全合規要求。本文以ecs.gn8v-tee.4xlarge為例,運行Alibaba Cloud Linux 3,地區為cn-beijing-l。如需更大規模,可橫向擴充至多卡執行個體規格。
安全架構
Confidential Agent 部署中的所有核心資料均在 TEE 邊界內閉環流轉,以下三類資產受到嚴格保護:
保護對象 | 說明 |
使用者對話隱私 | 使用者輸入、工具執行內容和AI回複,可能包含個人身份、醫學、金融等敏感資訊。 |
Agent記憶與狀態 | OpenClaw的長期記憶、配置、SKILL檔案,隨已耗用時間積累形成高價值目標。 |
服務憑證 | DingTalk等IM平台的OAuth憑據、外部API密鑰、網關Token。 |
安全架構自底向上覆蓋硬體、啟動、運行時、密鑰和通訊五個層級:
保護層級 | 機制 |
硬體層 | Intel TDX 記憶體加密引擎(MEE)對 Guest 全部記憶體透明加密,雲廠商無法讀取明文 |
啟動鏈 | UKI 統一核心鏡像 + dm-verity rootfs 防篡改,遠程證明驗證運行完整性,供應鏈參考值記錄於Rekor 透明日誌 |
運行時 | PEP 策略沙箱攔截高危命令和敏感路徑訪問,防止 Prompt 注入導致許可權提升 |
密鑰管理 | 磁碟加密金鑰在引導階段通過遠程證明挑戰注入,由使用者本地持有,雲廠商不參與 |
通訊鏈路 | RATS-TLS 端到端加密,遠程證明驗證執行個體身份後才建立通道,全程加密傳輸 |
部署使用流程
源碼審計:部署人員審計業務源碼,確認無惡意代碼或後門。
製品構建與軟體參考值公開:從審計後的源碼構建僅包含OpenClaw服務的輕量級OS鏡像,同時將構建產物的SLSA簽名上傳至Rekor透明日誌,公開軟體參考值。
建立機密執行個體:使用構建好的鏡像建立gn8v-tee機密計算執行個體。
遠程證明審計、上傳機密資源:部署人員通過部署工具,對執行個體進行遠程證明驗證其運行在真實TDX硬體上,確認後自動上傳機密資源(磁碟加密金鑰、DingTalk機器人憑證等)。
訪問OpenClaw:使用者通過Web瀏覽器、案頭用戶端或TUI終端直接存取OpenClaw,也可通過DingTalk等IM平台間接訪問。
遠程證明審計、加密傳輸:可信網關用戶端在建立串連前,先從Rekor擷取軟體參考值、從Intel PCCS和 RIM/OCSP擷取硬體參考值,完成遠程證明驗證後建立RATS-TLS加密通道,所有通訊全程加密。
前提條件
已開通阿里雲ECS服務,且帳號具備建立gn8v-tee執行個體的許可權。
已準備一台運行 Alibaba Cloud Linux 3 的通用型(或其他) ECS 執行個體作為部署機,可用磁碟空間不低於 80 GB。
重要部署機僅用於部署操作,使用通用型執行個體即可,無需使用gn8v-tee,後續步驟會在部署機上執行命令建立gn8v-tee執行個體。
已擷取阿里雲AccessKey(建議使用RAM角色或STS臨時憑證)。
如需使用DingTalk整合,已建立DingTalk企業內部應用並擷取相關憑據。
操作步驟
步驟一:構建包含OpenClaw和vLLM推理引擎的可信鏡像
在部署機(Alibaba Cloud Linux 3執行個體)上完成源碼下載、依賴安裝、密鑰產生、雲資源配置,並構建可信鏡像。
登入ECS執行個體。
訪問ECS控制台-執行個體。在頁面左側頂部,選擇目標資源所在的資源群組和地區。
進入目標執行個體詳情頁,單擊遠端連線,選擇通過Workbench遠端連線。選擇串連方式為終端串連,輸入帳號和密碼,登入圖形化終端頁面。
下載專案源碼。
cd ~/ git clone https://github.com/inclavare-containers/confidential-agent cd confidential-agent安裝所有必需的軟體依賴。
make install-deps該命令將自動安裝Docker、Terraform、Go、Python、cosign、rekor-cli等構建和部署所需的工具。
產生部署所需的加密金鑰和設定檔。
make generate-secrets產生密鑰後,需要編輯
secrets/openclaw-vllm.json,將佔位符替換為實際值,例如DingTalk應用憑據、模型配置等,說明如下:預留位置
說明
擷取方式
<DINGTALK_BOT_CLIENT_ID>DingTalk機器人 ClientId
參考DingTalk機器人+ OpenClaw,在DingTalk開發人員後台建立應用後擷取。
<DINGTALK_BOT_CLIENT_SECRET>DingTalk機器人 ClientSecret
同上,應用詳情頁面擷取。
配置Terraform變數檔案。
說明Terraform是一款開源的基礎設施即代碼(IaC)工具,可以通過編寫聲明式的設定檔來自動化構建、變更和版本化管理阿里雲上的各種雲資源及服務,這裡使用了Terraform來輔助機密執行個體的部署。
cp terraform/terraform.tfvars.example terraform/terraform.tfvars編輯
terraform/terraform.tfvars檔案,按下表配置關鍵參數。配置項
推薦值
說明
zone_id"cn-beijing-l"支援gn8v-tee的可用性區域
vpc_cidr"10.0.0.0/16"VPC網段
vswitch_cidr"10.0.1.0/24"交換器網段
security_group_allowed_cidr您需要訪問OpenClaw服務的用戶端環境IP段
安全性群組放通的源IP範圍
重要security_group_allowed_cidr預設值為0.0.0.0/0,生產環境請務必修改限制為具體的IP段,僅放通必要的源IP地址。匯出阿里雲訪問憑證用於Terraform建立雲資源。
export ALICLOUD_ACCESS_KEY="<YOUR_ACCESS_KEY>" export ALICLOUD_SECRET_KEY="<YOUR_SECRET_KEY>"說明建議使用RAM角色或臨時憑證(STS),避免長期儲存AccessKey。關於如何建立AccessKey,請參見建立AccessKey。
構建包含OpenClaw和vLLM推理引擎的可信鏡像。
make build PROFILE=openclaw-vllm說明首次構建涉及GPU驅動安裝等步驟,請耐心等待。
構建完成後會產生以下兩個鏡像:
鏡像類型
說明
Production鏡像
安全強化版本,移除SSH服務端,僅保留最小化運行時,用於正式部署
Debug鏡像
保留SSH訪問和調試工具,僅用於問題排查
構建過程同時會將鏡像參考值上傳至Rekor透明日誌,產生
.rekor-meta.json中繼資料檔案用於部署時驗證。
步驟二:部署可信鏡像到執行個體
將可信鏡像部署到gn8v-tee執行個體,並通過TNG建立端到端加密通道。
在部署機上,執行以下命令,使用可信鏡像建立gn8v-tee執行個體,並在執行個體建立成功後對執行個體進行遠程證明審計,並完成機密資源的上傳。
make deploy PROFILE=openclaw-vllm RV_MODE=rekor關鍵參數說明:
參數
說明
PROFILE=openclaw-vllm指定部署設定檔
RV_MODE=rekor部署時通過Rekor透明日誌驗證鏡像參考值的完整性
部署過程在雲端建立以下資源:
OSS Bucket:私人儲存空間,用於上傳並託管可信虛擬機器鏡像(.qcow2)
ECS自訂鏡像:由 OSS 鏡像檔案匯入阿里雲 ECS 自訂鏡像庫
ECS GPU機密計算執行個體:ecs.gn8v-tee.4xlarge 規格機密計算執行個體,掛載安全性群組與虛擬交換器,UKI 引導參數包含遠程證明挑戰配置
安全性群組:放通 SSH(22)和 TNG 連接埠(18789),僅允許指定 CIDR 訪問
說明預設部署Debug鏡像。如需部署Production鏡像(無SSH訪問),可手動指定鏡像檔案。
重要由於部署期間將完成鏡像上傳到OSS、從ModelScope下載模型等步驟,需要訪問公網併產生部分流量費用。
在部署機上啟動TNG Client,建立部署機與雲端gn8v-tee執行個體之間的RATS-TLS加密通道。
make connect-tng串連成功後,輸出中將包括訪問OpenClaw所需的HTTP及WebSocket URL和訪問Token。後續所有通訊均經RATS-TLS加密保護。
通過TNG隧道檢查OpenClaw服務是否就緒。
curl -s http://localhost:18789/health返回健康狀態後即可繼續訪問服務。
步驟三:訪問受機密計算保護的OpenClaw服務
服務就緒後,可以通過以下四種方式訪問OpenClaw服務。
方式一:通過DingTalk聊天
在DingTalk中找到已配置的機器人,直接發送訊息即可與OpenClaw對話。
方式二:通過瀏覽器Web介面
前置準備:建立本地到部署機的連接埠轉寄
步驟二中的make connect-tng在部署機上運行,將TNG隧道綁定到部署機的localhost:18789。使用者需從個人電腦通過SSH連接埠轉寄將連接埠映射到部署機:
ssh -L 18789:127.0.0.1:18789 root@<部署機IP>完成後,使用者在個人電腦上的瀏覽器或用戶端訪問localhost:18789即可等同於訪問部署機上的TNG隧道。
通過瀏覽器訪問
在使用者自己的個人電腦完成SSH連接埠轉寄後,在瀏覽器中訪問http://localhost:18789/openclaw,開啟Web控制台,填入步驟二中獲得的OpenClaw Token即可訪問。
方式三:通過OpenClaw案頭用戶端
前置準備:建立本地到部署機的連接埠轉寄
步驟二中的make connect-tng在部署機上運行,將TNG隧道綁定到部署機的localhost:18789。使用者需從個人電腦通過SSH連接埠轉寄將連接埠映射到部署機:
ssh -L 18789:127.0.0.1:18789 root@<部署機IP>完成後,使用者在個人電腦上的瀏覽器或用戶端訪問localhost:18789即可等同於訪問部署機上的TNG隧道。
通過案頭用戶端訪問
在個人電腦上安裝OpenClaw案頭用戶端,配置remote模式,填入串連地址為ws://localhost:18789,填入步驟二中獲得的OpenClaw Token後即可使用。
方式四:通過OpenClaw TUI
在部署機安裝OpenClaw作為用戶端:
npm install -g openclaw@latest --registry=https://registry.npmmirror.com然後在部署機運行以下命令,以用戶端形式啟動OpenClaw的TUI介面串連到遠端OpenClaw執行個體:
openclaw tui --url ws://localhost:18789 --token <gateway-token>其中<gateway-token>為步驟二中擷取的OpenClaw網關Token。
首次通過TUI串連時,會提示pairing required。此時請在瀏覽器中訪問http://localhost:18789/openclaw,在節點頁面找到待授權裝置,單擊Approve完成授權後再返回TUI即可正常使用。
授權完成後,TUI即可正常對話:
步驟四(可選):釋放資源
不再需要該服務時,執行以下命令釋放所有雲資源:
make destroy PROFILE=openclaw-vllm銷毀操作無法復原,會刪除ECS執行個體及相關網路資源。請確認不再需要執行個體中的資料後再執行。
安全驗證
驗證運行環境可信
OpenClaw內建了tdx-remote-attestation skill,當詢問安全問題時會自動觸發遠程證明,驗證當前運行環境的安全狀態。
觸發方式:在DingTalk、Web或TUI中詢問"我的資料安全嗎?"、"這個環境可信嗎?"等安全相關的問題。
返回內容:
驗證項 | 說明 |
硬體可信狀態 | hardware值 ≤ 32表示驗證通過 |
TEE類型 | Intel TDX Trust Domain |
記憶體加密保護 | 確認記憶體加密引擎已啟用 |
UKI啟動鏈完整性 | 組件度量值一致性驗證 |
驗證PEP策略攔截
PEP(Policy Enforcement Point,策略執行點)是一個為機密AI Agent設計的運行時門禁機制。當 OpenClaw等Agent 通過 exec 工具執行命令時,請求先經過 cai-pep 進行策略匹配,再在隔離的 Docker 沙箱(網路模式 none)中執行,同時使用可配置的策略實施對Agent可執行檔工具實施強制限制,從而防範惡意 Prompt 注入導致的安全風險。
PEP 提供三層防護:
命令級攔截:基於黑名單拒絕高危命令(如
curl、wget、nc、ssh、docker等)路徑級攔截:阻止訪問敏感路徑(如
/etc、/proc、/root、/home/openclaw/.openclaw等)網路隔離:沙箱無網路許可權,即使命令繞過黑名單也無法發起串連
預設策略檔案位於部署機的 ~/confidential-agent/image/customize/files/cai-pep-default-policy.json,您可在構建鏡像前按需調整命令黑名單、路徑黑名單和資源限制等參數。
假設 Agent 被惡意 Prompt 注入,攻擊者誘導其建立反向 Shell 或下載惡意載荷,PEP 會自動攔截這些高危操作:
攻擊手段 | 樣本命令 | 攔截原因 |
反向 Shell |
|
|
下載惡意載荷 |
|
|
讀取敏感檔案 |
|
|
驗證供應鏈完整性
部署流程預設使用Rekor透明日誌儲存鏡像參考值,遠程證明過程中自動從Rekor擷取日誌條目進行驗證。您可以通過以下方式對Rekor日誌條目進行審計,驗證供應鏈完整性。
查看Rekor記錄
構建完成後,在部署機上可以找到該條目的log index和entry URL:
cat ~/confidential-agent/image/output/slsa-output-cai-openclaw-vllm-debug-*/rekor-v1-upload.txt輸出樣本:
Created entry at index 1205944956, available at: https://rekor.sigstore.dev/api/v1/log/entries/<uuid>驗證封裝含性(inclusion proof)
包含性證明用於確認記錄著鏡像參考值的條目確實存在於Rekor的默克爾樹根(Merkle Root)中。
rekor-cli verify --log-index 1205944956 --rekor_server https://rekor.sigstore.dev如果輸出中包含兩段相同的hash值,則說明驗證成功:
Computed Root Hash: 1291abcee27148a4c00241ba8719f798ce060e8a5ccc8b18249017c25c6d0090
Expected Root Hash: 1291abcee27148a4c00241ba8719f798ce060e8a5ccc8b18249017c25c6d0090驗證一致性(consistency proof)
一致性證明可確認一個較舊的默克爾樹根(Root A)是較新的默克爾樹根(Root B)的首碼或歷史狀態,從而確保Rekor上儲存的參考值條目沒有被刪改。
rekor-cli loginfo --rekor_server https://rekor.sigstore.dev輸出中包含以下內容則說明驗證成功:
Verification Successful!安全性群組配置
make deploy過程中將自動建立安全性群組規則。如果您後續需要修改安全性群組,請確保安全性群組中包含以下規則:
連接埠 | 協議 | 說明 | 安全建議 |
22 | TCP | SSH遠端管理(僅Debug鏡像) | 限制源IP為管理網路 |
18789 | TCP | TNG隧道端點(RATS-TLS),用於訪問OpenClaw服務 | 限制源IP或通過TNG訪問 |
重要:生產環境務必將security_group_allowed_cidr修改為具體的管理IP段,避免使用0.0.0.0/0。
常見問題
make build失敗,提示缺少依賴確認依賴安裝完整,並檢查磁碟空間是否充足:
make install-deps df -h /如果上述方法無法解決問題,運行
make clean-image清除構建產物後重新嘗試構建。make deploy失敗,提示NoSetRoletoECSServiceAcount該錯誤表示未授權ECS鏡像匯入角色。請執行以下操作之一:
登入阿里雲控制台,進入ECS > 鏡像 > 匯入鏡像,單擊授權建立
AliyunECSImageImportDefaultRole角色。通過RAM控制台,為角色
AliyunECSImageImportDefaultRole授權AliyunOSSFullAccess策略。
服務未響應
確認部署的是Debug鏡像(Production鏡像不包含SSH)。
重新部署一次,確認
make deploy無報錯。使用Debug鏡像部署後,通過SSH串連查看日誌排查。
本地TNG驗證失敗
確認本地Trustee容器已啟動並健康:
# 確認本地Trustee容器已啟動 docker ps | grep cai-local-trustee # 檢查Trustee健康狀態 curl http://127.0.0.1:18081/api/health # 如果Trustee未就緒,重新執行 make connect-tngcai-pep拒絕所有工具調用
使用Debug鏡像部署後,通過SSH串連查看cai-pep日誌排查具體攔截原因。