破局AI安全焦虑：自主可信计算构建数字基础设施信任基石

2024年8月，中办国办联合印发《关于完善市场准入制度的意见》，首次就完善市场准入制度出台文件。其中第七条明确聚焦十大新业态新领域——深海、航天、航空、生命健康、新型能源、人工智能、自主可信计算、信息安全、智慧轨道交通、现代种业，提出“标准引领、场景开放、市场推动、产业聚集、体系升级”的准入优化路径。自主可信计算和信息安全同时被列入，标志着下一代数字基础设施的安全底座必须建在自主可控的可信根之上。这一战略级判断不仅要求积极扩大数字产品市场准入，还强调通过政府监管、企业自觉、行业自律和社会监督的“四个高标准”，推动行业协会在标准制定与生态协同中发挥核心作用。

AI安全面临深层挑战，传统防御模式亟待升级

随着人工智能技术的快速演进，AI安全正面临前所未有的复杂挑战。一方面，大模型自身逐渐成为新的攻击面。提示词注入、模型幻觉等风险在金融、医疗等高风险场景中频发，且大模型的“黑箱”特性使得传统代码审计与漏洞扫描难以奏效。另一方面，AI代理（Agent）的广泛应用使攻击面从信息域拓展至操作域，其决策逻辑不透明、执行速度快，带来了极大的越权操作隐患。

此外，后量子密码（PQC）的倒计时已经开始。全球主要云厂商（Google、Apple、Microsoft）正在密集推进PQC迁移，以应对“现在收集、未来解密”的量子威胁。同时，AI产业链条极长，从数据采集、模型训练到部署推理，供应链投毒与权重篡改等风险日益凸显。面对这些发生在计算环境底层的风险，传统依赖“事后检测与被动响应”的安全手段已显得捉襟见肘，亟需从架构层面寻求根本解法。

可信计算3.0构建主动免疫，重塑AI安全基座

作为破局之道，自主可信计算3.0以“主动免疫”为核心理念，从硬件可信根出发，在计算行为源头建立度量链与信任链，确保不可信行为无法执行。将这一逻辑应用于AI安全场景，其核心价值体现在四个维度：

硬件可信根是大模型安全的基础防线。TCM/TPCM可信芯片可以在系统启动阶段对BIOS、OS、运行环境进行完整性度量。如果底层环境被篡改，大模型的推理结果就不可信——不管模型本身多聪明，地基歪了楼一定会塌。国产TPCM已经在信创生态中批量部署，把这套能力延伸到AI计算节点，技术上没有根本障碍，缺的是规模化推动。

信任链机制可以解决AI代理的行为审计问题。AI代理的核心风险在于“你不知道它在干什么”。可信计算3.0的主动度量机制可以对代理的每一步行为进行实时度量——调用了什么API、访问了什么数据、执行了什么操作，都有完整的度量日志和信任状态标记。度量本身受到硬件可信根保护，不可篡改。

可信密码模块（TCM）是PQC迁移的天然载体。国产TCM模块已经支持SM2/SM3/SM4等国密算法。PQC迁移需要密码算法层面的升级，TCM/TPCM作为硬件密码模块，是承载PQC算法的理想平台。可信根+后量子密码的组合，能在量子计算时代继续为数据安全提供硬件级保障。

供应链安全的度量基线。训练数据的来源验证、模型权重的完整性校验、推理环境的可信度量——这些都是可信计算度量体系可以直接覆盖的场景。GB/T 38638和GB/T 40650等国家标准，已经为AI场景下的可信连接和身份鉴别提供了规范基础。

可信计算不是要替代AI安全中的模型加固、对抗训练、红队测试等上层手段，而是为它们提供一个可信的计算基座。上层安全做的再好，如果底层环境不可信，一切努力都是空中楼阁。

产业协同破局，推动自主可信计算规模化落地

尽管技术路径清晰，但自主可信计算在AI领域的规模化应用仍需跨越现实障碍。当前，可信计算在AI社区的认知度有待提升，需加强跨圈层的技术传播；同时，面向AI场景的可信度量标准需加速迭代，呼吁AI厂商、云服务商与标准制定方共同参与。此外，针对AI训练与推理对性能极度敏感的特点，产业界需通过硬件加速与策略优化，将度量开销控制在极低范围内，并以实测数据打消市场顾虑。

针对生态碎片化问题，市场准入政策强调的“产业聚集”不仅是地理上的集中，更应是技术标准的统一。未来，自主可信计算将呈现与人工智能、云原生深度融合的趋势。随着《人工智能安全治理框架》等规范的推进，以及国内首个《可信计算AI一体机产品技术规范》等团体标准的发布，AI安全治理正步入规范化新时代。

结语

AI安全竞争的焦点，正从单纯的算法模型比拼，转向计算基座的信任度较量。在政策指引与产业协同的双重驱动下，自主可信计算正加速从技术标准转化为市场准入的通行证。通过持续突破核心技术、完善标准体系并强化生态协同，自主可信计算必将为数字经济的高质量发展筑牢坚不可摧的安全底座。

参考：中办国办《关于完善市场准入制度的意见》（2024年8月）、发改委系列解读、NIST CIPAI评估报告