lfedgeai/AegisSovereignAI

# AegisSovereignAI：面向分布式企业的可信 AI ## 执行摘要 在分布式企业中，基础设施安全（图 1 中的第 1 层）和 AI 治理（图 1 中的第 3 层）在从**集中式云到远端边缘**的范围内通常是松散耦合的。这种碎片化导致了一个危险的**“问责缺口”**，即工作负载/用户身份很容易被欺骗，合规性制造了大量的**个人身份信息 (PII)** 责任，而受损的基础设施——无论是在超大规模数据中心还是远程分支机构——都可能向应用程序提供未被检测到的虚假数据。 **AegisSovereignAI** 通过作为全面分布式足迹的统一控制平面来弥合这一差距。通过**统一且可扩展的身份（图 1 中的第 2 层）**框架，它利用芯片级证明与应用级治理在密码学上融合工作负载/用户身份，同时保护隐私，从而创建一个从**云核心到远端边缘**的单一、连贯的身份架构。 这将 AI 安全从“尽力而为”的零信任转变为**隐私优先的可验证智能**——在不**泄露敏感 PII 或专有逻辑**的情况下，实现合规性（数据驻留、提示治理、输出过滤）的密码学证明。这确保了仅当硬件、位置和工作负载/用户身份同时得到验证时，才处理敏感数据（金融、医疗等），从而在整个企业资产范围内提供端到端的主权。  *图 1：AegisSovereignAI 架构摘要 - 弥合基础设施、身份和治理。* **请参阅 [统一身份混合云 PoC](./hybrid-cloud-poc/README.md) — 运行 `./run-demo.sh` 以查看完整信任链的运行情况（约 7 分钟）。** ## 企业主权用例（重点：高安全/合规部门，例如银行、医疗保健、国防/政府） ### 1. 企业客户（高安全/合规终端消费者，例如高净值客户） * **核心用例：** **私人财富 Gen-AI 咨询（非托管设备）。** 在高净值客户的个人非托管设备上为其提供 AI 驱动的投资组合洞察，同时利用其实际物理位置满足 **Regulation K (Reg-K)** 合规性，而不向 AI 服务披露精确位置。 ### 2. 企业员工（受监管行业员工，例如分行客户经理） * **核心用例：** **安全的远程分行操作。** 允许客户经理在托管硬件上通过“绿区”服务器访问敏感 PII，无论是在分行还是经过验证的远程位置。 ### 3. 企业租户（业务线负责人，亦称 LOB，例如抵押贷款和信用卡） * **核心用例：** **LOB 的安全沙箱。** 使企业租户（例如抵押贷款和信用卡）能够共享相同的物理主权云，同时确保其各自工作负载（包括 AI 模型和数据）的完全密码学隔离。从租户 AI 服务的角度来看：数据摄取管道必须证明在进入租户的向量存储之前 PII 已被编辑且来源已验证；AI 系统 prompt 必须包含强制性安全护栏（例如，“永远不要披露账号”）；用户 prompt 必须经过注入攻击扫描（例如“忽略之前的指令”）；并且 AI 输出在交付前必须经过 PII 泄露（幻觉）验证。 ### 4. 监管机构（例如货币监理署 (OCC)、欧洲中央银行 (ECB) 或证券交易委员会 (SEC)） * **核心用例：** **自动化监管审计。** 虽然传统的审计模型通过粗略的数据日志提供可见性，但将其应用于 AI 会产生一个**隐私责任悖论**：审计越细粒度（例如，记录原始 prompt/输出），敏感 PII 和专有秘密的摄取风险就越高。**监管机构**需要实时的、密码学上可验证的合规性证明——证明：(1) 摄取到 AI 系统中的所有数据（训练数据、检索增强生成 / RAG 向量存储）都已正确编辑并经过来源验证；(2) 整个企业范围内的每次 AI 交互都严格遵守强制性政策（可信硬件、未被篡改的模型和数据驻留）；所有这些都不需要承担原始数据摄取的责任或暴露专有的 prompt 逻辑。这支持 **模型风险管理 (MRM)** 监管框架和 **联邦储备/OCC 监管信函 SR 11-7**（模型风险管理跨机构指导原则）所要求的可重现性和文档化原则。 ## 解决用例的技术挑战 为了解决上述用例，我们必须解决以下独特的技术问题。请注意，以下技术问题并非 AI 或金融服务独有，但对于上述用例的安全性、隐私和合规性尤为关键。 ### 1. 身份与地理围栏的脆弱性 传统安全依赖于**不记名令牌**和**基于 IP 的地理围栏**，这些本质上是非绑定的且容易受欺骗。 * **重放攻击：** 标准令牌就像一把物理钥匙；如果恶意行为者拦截了令牌，他们可以重放它来冒充合法的工作负载（例如，AI 代理）。 * **基于 VPN 的欺骗：** 通常使用的基于 IP 的位置检查使用 VPN 很容易绕过，允许远程攻击者出现在“绿区”内。 * **示例（用例 2 - 企业员工）：** 客户经理试图通过住宅 VPN 从未授权的管辖区访问“绿区”服务器。传统的 IP 检查无法检测到伪造的位置。 ### 2. 驻留与隐私的僵局 监管机构要求数据驻留证明（例如 **Regulation K 亦称 Reg-K**），但传统的地理围栏依赖于摄取高分辨率位置数据（GPS、移动网络等），这在隐私法规（例如 **通用数据保护条例 (GDPR)**）下产生了巨大的 PII 责任。企业通常被迫在违规或侵犯隐私之间做出选择。 * **示例（用例 1 - 企业客户）：** 高净值客户通过其个人移动设备使用私人财富 Gen-AI 咨询。组织（例如银行）必须向欧盟监管机构证明 AI 推理停留在欧洲经济区 (EEA) 内（**Reg-K** 合规），但这样做需要从客户端设备摄取或存储原始 GPS 数据——这违反了 GDPR。 ### 3. 基础设施受损 现代 AI 工作负载容易受到**基础设施受损**的影响，其中受损的 OS 或 Hypervisor 向应用程序提供（例如）虚假位置数据（例如通过 Frida hooks），从而在设备位于未授权管辖区时欺骗合规逻辑。 * **示例（用例 2 - 企业员工）：** 受损的分行服务器 Hypervisor 通过 Frida hooks 向 AI 工作负载提供虚假的“位于绿区内”的位置数据，允许客户经理在从未授权管辖区访问敏感 PII 时看起来是合规的。 ### 4. “硅基彩票”：硬件引起的漂移与计算确定性 AI prompt 响应漂移可能受硬件类型的影响。响应可能因随机性设置（例如 temperature）而异。即使完全禁用随机性（例如 `temperature=0`），由于浮点数学运算和并行执行差异，同一模型在不同硬件类型（例如 NVIDIA A100 与 H100）上也可能产生不同的输出。对于定量风险管理，**计算确定性**——确保同一硬件类型上的同一模型产生一致的结果——至关重要。企业需要能够限制和验证硬件类型，以确保受监管工作负载的确定性结果。 * **示例（用例 3 - 企业租户）：** 由于浮点变化，抵押贷款 LOB 的信用风险模型在 A100 与 H100 GPU 上运行时会产生不同的风险评分。传统的基础设施管理无法保证哪种硬件类型执行了给定的推理，使得组织内的监管重现成为不可能。 ### 5. 黑盒治理缺口：完整性与数据责任 AI 模型是不确定的，这使得它们难以审计。在没有披露敏感数据的情况下，没有密码学证明表明特定决策是使用未被篡改的 AI 模型/prompt 做出的。**Prompt 注入**（恶意指令）和**幻觉**（意外的 PII 泄露）使情况更加复杂。 * **“审计悖论”：** 用于合规性的传统日志记录会产生巨大的 PII/IP 责任，但*不*记录日志会阻碍取证和“有效挑战”。 * **示例（用例 3 和 4 - 企业租户和监管机构）：** OCC 审计员需要验证信用卡 LOB 的 AI 代理没有使用被禁止的人口统计数据来进行信用评分。在当前方法下，组织必须向审计员披露原始 prompt——从而揭示 LOB 的专有评分逻辑和客户 PII——这产生了重大的责任。 ### 6. 自带设备 (BYOD) 安全缺口 BYOD 设备是非托管且未经验证的，这使其成为数据泄露和未经授权访问的重大安全风险。 * **示例（用例 1 - 企业客户）：** 高净值客户通过其个人 iPad 访问私人财富 Gen-AI 咨询。该设备可能在组织不知情的情况下越狱或受损，从而为敏感的投资组合信息制造了一个无法检测的数据泄露途径。 ### 7. 边缘安全缺口 边缘节点通常位于不可信的物理位置，使其容易受到物理篡改和未经授权的环境修改。 * **示例（用例 2 - 企业员工）：** 客户经理使用的分行服务器在物理上受损或被盗。传统的基于软件的安全无法检测硬件篡改，允许攻击者提取 AI 模型权重和敏感的客户 PII。 ## 三层信任架构：融合硅基、身份和治理 **AegisSovereignAI** 通过作为统一控制平面，弥合了基础设施安全（图 2 中的第 1 层）和 AI 治理（图 2 中的第 3 层）。通过**统一且可扩展的身份（图 2 中的第 2 层）**框架，它利用芯片级证明与应用级治理在密码学上融合工作负载/用户身份，同时保护隐私，从而创建一个单一、连贯的身份架构。 ### 第 1 层：基础设施安全（机密性升级路径） * **机密计算 (CC) 与可信执行环境：** 与多供应商硬件（例如 **Intel TDX**、**AMD SEV** 和 **NVIDIA H100 TEEs**）集成，以确保模型权重和上下文在使用中保持加密，从而保护其免受特权管理员的影响。 * **遗留/边缘的完整性：** 在商用硬件上，AegisSovereignAI 使用 **Keylime** 和**可信平台模块 (TPM 2.0)** 来验证软件栈的**完整性**（通过**完整性度量架构 (IMA)** 和**扩展验证模块 (EVM)**）。 * **用于计算确定性的硬件类型绑定：** 将模型执行限制为经过验证的硅基类型（例如 NVIDIA H100 与 A100）。这通过数学保证特定的执行硬件，确保受监管的 AI 工作负载产生一致的、无漂移的输出，从而解决“硅基彩票”风险。这种基于硬件的来源支持 **MRM** 和 **SR 11-7** 合规性的可重现性和文档化原则。 ### 第 2 层：统一且可扩展的身份（可验证的桥梁） * **硬件根植的地理围栏工作负载身份 (SPIFFE/SPIRE, Keylime)：** 将 SPIFFE/SPIRE 工作负载身份绑定到硬件凭证 (TPM)。除非代理位于授权地理位置边界内经过验证的授权机器上，否则无法执行。**隐私保护技术**（例如零知识证明 / ZKP）用于在不让企业摄取或存储敏感精确位置数据的情况下证明符合法规的位置合规性。 * **自带设备 (BYOD) 的安全港：** 通过动态验证**硅基完整性**而不是**企业设备所有权**，将 Agentic 工作流安全地扩展到非托管客户设备。这为企业创建了一个监管**安全港**，证明数据仅接触经过验证的硬件，而没有管理设备本身的责任。 * **结合的人类用户、工作负载和设备身份：** 将人类用户会话与 BYOD/企业设备工作负载（例如移动受监管应用程序）身份结合，以确保多代理图中的问责制。 * **自动撤销：** 如果节点的硬件状态发生漂移（由 Keylime 检测到），其 SPIFFE/SPIRE 身份将被**实时**撤销，从而在横向移动之前隔离代理。 ### 第 3 层：AI 治理（可验证的逻辑与隐私） * **不披露的审计：** 隐私保护合规性。AegisSovereignAI 通过使用**隐私保护技术**解决“黑盒”审计问题，从而闭合**主权信任循环**，覆盖完整的 AI 生命周期：**训练数据摄取 → 推理数据输入 → 模型推理系统 Prompt → 推理数据输出**。企业可以向监管机构（例如 **OCC** 或 **ECB**）提供密码学上可验证的合规性证明，而无需透露专有的 prompt 逻辑或敏感 PII。 * **隐私保护数据摄取：** * **机密转换：** 原始数据被摄取到机密飞地 中。数据在使用中加密时被屏蔽和编辑，免受基础设施管理员的窥探。 * **基于硬件的来源：** 使用基于 Fast Identity Online (FIDO) 的证明将数据绑定到经过验证的硅基，证明来源是真实的，而无需摄取持久的硬件标识符。 * **边界验证：** 隐私保护证明验证摄取的数据是在合规的地理边界内收集的（例如 Reg-K），**而企业无需接触原始 GPS 坐标**——从而将隐私责任转化为密码学合规资产。 * **数据最小化证明：** 生成证明，验证数据集在进入向量存储之前满足 GDPR 数据最小化要求。 * **系统 Prompt 完整性（预计算）：** 在部署时，我们生成一个永久性的密码学证明，证明 AI 系统 Prompt 包含强制性安全护栏（例如 SSN 编辑）并排除了未经授权的指令。这确保了“设计即合规”，而无需暴露专有的 prompt 文本。 * **用户 Prompt 合规性（批处理与清除）：** 用户交互实时处理，同时后台进程生成聚合的批量证明。这些证明验证给定窗口内没有用户 prompt 包含“越狱”命令或 PII。一旦批量证明成功锚定到企业审计日志，高责任的原始 prompt 就会从系统中清除，从而永久消除 PII 存储风险。 * **AI 输出过滤（批处理与清除）：** AI 模型输出在交付前经过实时数据丢失防护 (DLP) 扫描和内容安全检查验证。批量证明表明所有输出都经过正确过滤，以防止幻觉性 PII 泄露（例如伪造的 SSN）。原始输出在证明生成后被清除，确保 AI 生成的敏感数据零保留。有关完整的三轨验证模型，请参阅 [隐私保护 AI 治理](./docs/auditor-privacy-preserving-ai-governance.md)。 * **有效挑战赋能 (SR 11-7)：** 为模型验证者提供密码学可验证的**独立证据**：执行硬件、数据来源和治理政策遵守情况的证明。即使源代码访问受限，这也允许对第三方（供应商）AI 模型进行“有效挑战”——验证者可以验证*执行环境*和*合规状态*，而无需检查专有模型内部。 * **主权工具清单 (MCP 集成)：** 使用 Open Policy Agent (OPA) 根据代理的硬件证明身份过滤 **模型上下文协议 (MCP)** `list_tools` 响应。这确保代理只能“发现”并执行它们经硬件明确授权使用的工具，从而为动态 AI 功能创建“需知”环境。  *图 2：AegisSovereignAI 详细三层架构 - 主权信任循环。* ## 上述企业用例的主权价值实现 以下内容展示了我们的三层信任模型为上述每个企业用例带来的商业价值。 ### 1. 企业客户 * **主权价值：** **彻底的隐私。** 用户通过**隐私保护技术**被验证为合规（例如，“在美国”或“在分行”），确保组织（例如，像 JPMC 这样的全球银行或医疗保健提供商）满足监管指标（**Reg-K**、**健康保险流通与责任法案 (HIPAA)**），而没有存储原始客户位置数据的隐私责任。此外，通过密码学证明，在任何客户或患者交互发生之前，系统 prompt 上都已激活强制性 PII 编辑，并且在交付前的 AI 输出上也已激活。 ### 2. 企业员工 * **主权价值：** **无摩擦安全。** 无需手动 VPN 或易受攻击的密码，其设备的硬件完整性 (TPM/Keylime) 会自动证明其未被篡改且符合策略，适合在员工设备上执行工作负载。 ### 3. 企业租户 * **主权价值：** **多租户隔离。** 信任是通过密码学可验证的基于硬件的工作负载身份而不是基于 IP 的位置建立的。 ### 4. 监管机构（例如货币监理署 (OCC)、欧洲中央银行 (ECB) 或证券交易委员会 (SEC)） * **主权价值：** **无责任的合规。** 通过使用**隐私保护技术**，高合规性组织（例如银行、医疗保健提供商或国防/政府机构）可以向审计员证明区域驻留情况，而无需摄取高责任的客户位置数据。它们还可以证明端到端的 AI 完整性——例如，摄取的训练数据已正确编辑并经过来源验证；系统 prompt 受到治理，用户 prompt 是安全的，并且 AI 输出已针对幻觉进行了过滤——而无需披露专有逻辑。这些证明**可导出并与标准安全信息和事件管理 (SIEM) / 治理、风险与合规 (GRC) 工具**（例如开放网络安全模式框架 / OCSF）兼容，允许在现有的企业安全运营中心 (SOC) 工作流程内进行自动化的持续审计。 ## 监管与标准映射 AegisSovereignAI 架构为全球 AI 安全和治理框架提供了直接的实施路径： | 特性层 | EU AI Act 对齐 | NIST AI RMF 对齐 | | --- | --- | --- | | **第 3 层：治理** | **第 10 条（数据与治理）：** 确保 PII 不暴露的情况下训练数据/prompt 的完整性。 | **治理 (GOVERN)：** 透明、文档化的隐私保护政策执行。 | | **第 2 层：身份** | **透明度义务：** 在不暴露 PII 的情况下提供“谁”和“哪里”的密码学证明。 | **问责制 (MANAGE)：** 精确的工作负载/人类身份映射。 | | **第 1 层：基础设施** | **网络安全标准：** 硬件强制隔离和基于 TEE 的机密性。 | **安全 (RESILIENT)：** 基于 TEE 的模型/上下文屏蔽，防止特权管理员。 | ## 互操作性：AI 代理框架的主权结构 AegisSovereignAI 旨在与框架无关，充当领先 AI 代理协调器的安全执行基板。虽然 LangGraph 和 KAgentI 等工具管理推理逻辑和多步骤工作流，但 AegisSovereignAI 提供了将这些代理从实验性 PoC 转变为受监管环境中生产就绪资产所需的**基于硬件的信任**和**数据治理**。 | 代理框架 | AegisSovereignAI 的互补价值 | AegisSovereignAI 如何实现这一点 | | --- | --- | --- | | **LangGraph** | **即时策略执行：** 防止复杂多步骤工作流中的代理漂移或 PII 泄露。 | **自动熔断机制（硬件触发）：** 将代理会话与基于硅基的 SVID（SPIFFE 可验证身份文档）（第 2 层）融合。会话输入和输出在最终交付前通过隐私保护的“批处理与清除”（第 3 层）进行验证——证明是在整个会话生成的，而不是每一步。与软件级策略不同，如果 OS 受损，这无法被绕过。 | | **KAgentI (Sovereign MCP Client)** | **防重放的代理与工具授权：** 标准 MCP 实现依赖于可重放的不记名令牌。Aegis 确保每次代理调用和后续的 MCP 工具调用都绑定到物理硅基，防止令牌重放、冒充和“影子 AI”工具发现。 | **基于硬件的 SVID：** 通过将 SVID 绑定到 TPM 证明凭证和隐私保护的地理位置（第 2 层），扩展了 KAgentI 的原生 SPIRE 支持。这确保了代理身份在密码学上绑定到特定节点，保护从协调器到数据源的完整 MCP 工具执行链。 | | **遗留系统（通过 Sovereign MCP Gateway）** | **无重写的遗留集成：** 为本身不支持硬件证明或 MCP 协议的内部 JPMC 工具提供安全桥梁。 | **主权代理模式：** Aegis 充当 Sovereign MCP Gateway——遗留 API 周围的“信任包装器”。它代表遗留工具执行基于硅基的握手和驻留检查 (Reg-K)，确保上下文仅发布给位于经过验证的“绿区”中的经过验证的代理。 | | **云安全联盟 (CSA) AAGATE** | **持续的 NIST AI RMF 对齐：** 为 AI 治理提供 Kubernetes 原生控制平面，通过基于策略的可信执行将 NIST AI RMF 操作化。 | **DID 到硅基锚点：** AegisSovereignAI 将 CSA AAGATE 基于去中心化标识符 (DID) 的身份锚定到物理 TPM（第 1 层）。这确保了治理决策在经过硬件验证的平台上执行，防止“幽灵网关”（未经授权的策略拦截器）并确保执行锚定在可验证的硅基中。 | ## 技术与审计资源 * **[审计员指南](./docs/auditor.md)** - 涵盖完整 AI 生命周期（摄取、训练和推理）、可验证地理围栏 (Reg-K) 和身份绑定的证明链接证据模型的高级概述。包括用于监管报告的完整证据包结构。 * **[隐私保护地理位置（第 2 层）](./docs/auditor-privacy-preserving-geolocation.md)** - 针对 Reg-K/GDPR 合规性的**隐私保护地理围栏**技术深入探讨，包括 ZKP 与其他 PET 的比较、多传感器融合和 SVID 地理位置声明。 * **[隐私保护 AI 治理（第 3 层）](./docs/auditor-privacy-preserving-ai-governance.md)** - **四轨第 3 层治理生命周期**（训练、系统 Prompt、用户 Prompt、输出）、批处理与清除架构以及模块化证据包验证的技术演练。 * **[威胁模型：运行时感知缺口](./hybrid-cloud-poc/THREAT-MODEL-runtime-perception-gap.md)** - **基础设施盲点**分析，详细说明 AegisSovereignAI 如何通过基于硬件的传感器融合防止位置欺骗。 * **[统一身份深入探讨](./hybrid-cloud-poc/README-arch-sovereign-unified-identity.md)** - SPIRE/Keylime 身份融合模型的详细技术架构。 * **[IETF WIMSE 草案](https://datatracker.ietf.org/doc/draft-lkspa-wimse-verifiable-geo-fence/)** - 我们对在多系统环境中标准化可验证地理围栏的贡献。 ## 快速开始 ``` # 克隆并运行完整 demo（约 7 分钟） git clone https://github.com/lfedgeai/AegisSovereignAI.git cd AegisSovereignAI/hybrid-cloud-poc ./run-demo.sh ``` 详情请参阅 [统一身份混合云 PoC](./hybrid-cloud-poc/README.md)。

标签：DNS 解析, EVTX分析, Modbus, PE 加载器, PUF, TPM, 人工智能安全, 人工智能治理, 企业安全, 分布式系统, 区块链, 合规性, 同态加密, 响应大小分析, 提示词注入防御, 数字孪生, 数据主权, 机密计算, 混合云, 硬件可信根, 网络安全, 网络资产管理, 请求拦截, 身份与访问管理, 边缘计算, 远程证明, 隐私保护, 零信任架构