機密運算搭配零信任架構　保障代理式AI安全隱私

對企業和雲端供應商而言，生成式AI已成為推動新計畫和優先事項的關鍵要素。在2024年，大多數焦點集中在訓練和建立大型語言模型、開源或封閉模型，還有透過檢索增強生成（Retrieval-Augmented Generation，RAG）進行推論、提示工程（Prompt Engineering）以及會生成程式碼的AI助手（Co-pilot）。

此外，結合機密運算與AI的機密AI（Confidential AI）也開始獲得關注，雲端和軟體供應商開始推出運用機密運算技術的解決方案，以保護內含敏感商業文件與資料的提示詞（Prompt）、關鍵模型，以及RAG流水線。

英特爾預期2025年會有更多機密AI實際應用案例，聚焦於個人如何將AI整合進工作流程和應用程式當中，並在保護資料安全及隱私的前提下，實現創新並提升效率和生產力。AI產業的發展重點也從擴大模型，轉向提升推理能力；這樣的變化是因為單純擴大模型規模已不再有效，具備更佳推論能力才能讓AI系統更聰明且有效率。OpenAI O系列模型、Google Gemini 2.0+以及DeepSeek R1模型都是業界轉向尋求更高AI推理能力的例子。

AI的下一波浪潮是代理式AI，預計2025年開始將有飛躍性的發展。Gartner近期發布的《2025年關鍵策略性技術趨勢：代理式AI》（Top Strategic Technology Trends for 2025: Agentic AI）報告預測，到2028年，將有33%的企業軟體內建代理式AI，20%的數位商店互動將由AI代理（AI Agent）協助完成，且15%的日常決策將會自動化。然而，代理式AI也會增加暴露於複雜網路威脅的風險，例如智慧惡意軟體、提示詞注入（Prompt Injections）以及不受控的AI代理（Rogue AI Agent）等等。若管理不善，將導致營運中斷、治理失敗，並嚴重危害人類生命和組織聲譽。

代理式AI

代理式AI目前尚未有統一的定義，廣義而言，它是一種典範（Paradigm），牽涉部署代理，或能代表人類與其他AI系統自主做出決策並採取行動、以實現特定目標的程式。有別於目前以規則為基礎的代理模型，代理式AI不只是回答問題，而是運用複雜推論、知識與智慧做出決策和行動，助力推動流程自動化。代理式AI具有以下四大核心特色、功能：

1. 自主性（Autonomous）：幾乎或完全不需要人類監督或下指令即可獨立運作。

2. 適應性（Adaptability）：透過機器監督、無監督、強化學習技術改善功能，以一種基礎模型作為協調器（Orchestrator），負責生成任務和工作流程，利用推理和迭代規劃解決多步驟問題。

3. 決策∕行動（Decision-Making/Actions）：運用推理方法和演算法處理及分析資料，以做出明智決策並實現目標。藉由整合外部工具和API，系統可以攝取大量資料，並根據迭代訂定的計畫執行任務。

4. 溝通∕協作（Communication/Collaboration）：透過包括自然語言在內的多種模式與其他AI代理和人類互動。

所謂的「代理性」（Agentic-ness）等級，表示系統在有限的直接監督下，能夠在複雜環境中自主且具適應性地實現複雜目標的能力程度，其涵蓋範圍廣泛，代理性等級決定了代理式AI系統的類型。

代理式AI系統架構

圖1為簡化版代理式AI系統架構的標準模型示意圖，此圖雖為單一代理系統，但在更為複雜的代理式AI系統中，可以整合多個代理協作，每個代理皆有獨特功能。

相較於非代理式AI系統，代理式AI架構具備軟體協調器（Software Orchestrator）這項全新元件。軟體協調器負責處理AI代理預計要完成的任務資訊，以及如何完成任務的相關指示和說明。協調器會提供必要的背景資訊、來自RAG的特定資料，以及推論∕語言模型須遵循的安全措施或政策，以生成完成任務的具體做法。整個過程由系統自動執行，而不是依賴使用者在提示中輸入的內容。協調器會根據計畫自主執行一系列操作，與不同工具溝通互動，並在背景資訊或資料變更時，動態地重新生成做法。

代理式AI：自主、迭代，處理敏感資料

代理式AI系統能代表人類和其他AI系統行動，它們能直接或間接存取多種使用者身分資訊，以及工具、API、資料來源等，並運用這些身分資訊與不同工具、資料來源和模型互動。代理式AI系統處理大量來自企業的資料，例如透過RAG流水線提供最新的商業數據，讓推理引擎訂定計畫，這些商業數據多為敏感和機密資料。它們訂定的計畫和執行的工作流程，會影響最終的結果、產出或決策，這些決策進而推動後續行動，大多數案例幾乎不需要人類的監督和介入。根據代理性等級，某些行動會是不可逆的，例如金融交易、自駕車移動和運輸交易。用於決策的情境、資料及其他相關詮釋資料（Metadata）會被記錄在一個「透明帳本」（Transparency Ledger）中，以應用於可解釋性（Explainability）、數位鑑識（Forensics）、AI學習等關鍵要求。

代理式AI系統也能夠存取對隱私和聲譽至關重要且敏感的使用者詮釋資料。例如，使用者可能是以成癮∕心理健康相關模型尋求解答，又或者企業分析師需要尋找供應鏈替代方案。這些詮釋資料的外洩，對於個人和企業皆會造成嚴重影響。無論是透過硬性設定或是政策，代理式AI系統會設置防護機制來避免行為失控，並確保遵守法規，以及企業安全性、隱私與其他要求。任何對代理式AI系統的竄改都可能導致營運中斷、治理危機和聲譽受損。

結合機密運算和零信任架構，打造安全代理式AI

代理式AI帶來前所未有的力量、機會和靈活性，同時也對安全性和信任有嚴苛的要求。要保障代理式AI安全須採取多面向措施，因為代理式AI系統能根據學習到的模式自主行動，易受到濫用和攻擊。代理式AI系統中有許多資產需要保護，需要特別關注的包括：

‧身分資訊

‧詮釋資料

‧資料（RAG、訓練/調整資料……）

‧提示詞

‧模型（包括防止惡意操控）

‧協調器（包括防止阻斷服務攻擊）

‧透明度帳本的完整性，以確保決策過程的透明度和可解釋性。

一般會布置強大的技術來保障這些關鍵資產在靜態與傳輸過程中的安全，如對稱加密和TLS。這些防護措施，以及業界在開發及部署階段的資安最佳做法，對於確保代理式AI系統的安全至關重要。此外，若採用零信任架構和原則，根據經過定義的政策在存取時對實體進行身分驗證與授權，有助於降低風險，並在發生安全漏洞時最小化受到的影響。

代理式AI執行期間，系統會使用、存取並針對這些資產執行操作，這是安全保障的最後一道防線；在執行期間倘若沒有任何防護措施，亦即所謂的使用中防護（In-use Protection），對手或惡意行為者會以此為攻擊標的，對系統進行破壞、操控，或是洩漏資料及竄改代理式AI的輸出結果，造成嚴重後果。

機密運算技術與解決方案是最適合作為最後一道安全防線的工具。根據機密運算聯盟（Confidential Computing Consortium，CCC），機密運算是藉由在經驗證的可信賴硬體執行環境（TEE）中執行，以提供隱私和信任保證。TEE有助於確保代理所處理的敏感資訊維持機密，並只有獲授權實體（Authorized Entities）能夠存取。此外，TEE僅允許執行被授權的程式碼，有助於確保代理完整性。在執行時，TEE透過減少攻擊面，隔離執行環境（Runtime Environment）並逐漸增強對其保護，防止未授權的外部實體攻擊。

圖2為具備機密運算的代理式AI架構示意圖，這樣的結合將逐漸強化對關鍵資產的保護，避免基礎設施供應商管理員、基礎設施操作員、代理式AI系統操作員，以及在相同基礎設施上運作的其他系統、應用程式或服務所帶來的潛在威脅。

利用機密運算和零信任架構，可為代理式AI提供可信賴的保障措施。機密運算旨在保障處理階段的資料和程式碼；零信任架構則有助於確保只有經授權實體能存取AI系統。兩種策略的結合能有效保護敏感資料和AI工作負載，最小化組織面臨的風險和潛在的資料外洩之威脅。

機密運算技術發展現況

機密運算技術目前已廣泛部署於公有、混合及主權雲端環境中。獨立軟體供應商（ISV）和雲端服務供應商（CSP）近兩年也積極推動機密運算應用程式、資料庫、AI工作負載和機密容器服務的開發。目前CPU和GPU供應商所提供的硬體已包含TEE技術支援，例如英特爾提供支援應用程式隔離的Intel Software Guard Extensions（Intel SGX）及支援VM隔離的Intel Trust Domain Extensions（Intel TDX），還有ARM提供的CCA以及AMD為VM隔離提供的AMD SEV-SNP。多家作業系統供應商與CSP已經可提供達到生產品質、配備原生TEE支援的NVIDIA H100 Tensor核心虛擬機管理程式（Hypervisors）與作業系統，預期2025年還有更多相關產品發表。此外，能夠偵測並利用TEE的Container runtime和Kubernetes協調平台也已推出，可實現在安全環境下以容器形式部署代理式AI系統元件。

隨著代理式AI被廣泛採用，協助確保AI代理的安全性並保護各類資產變得至關重要。機密運算和代理式AI能自然地互補，在AI時代提供兩全的方法，既能促進創新並同時保障對社會聲譽與功能性非常重要的隱私和信任。

＜本文作者：王宗業美商英特爾公司網路暨邊緣運算事業群平台研發協理，負責Intel Edge AI平台生態系統的推廣，帶領過智慧零售、智慧製造、智慧交通與智慧醫療等專案的開發。在20多年的軟硬體開發、推廣、客戶支援經驗中，含括嵌入式系統、智慧型手機、物聯網、Linux及開源軟體、AI硬體加速器在影像與自然語言處理等領域，並擔任過台灣人工智慧學校經理人班、技術領袖班與Edge AI專班的講師，以及大專院校的深度學習課程業師。＞