作者：英特爾公司俞巍、李志強(qiáng)、李青青、龔奇源

1. 可信執(zhí)行環(huán)境是什么？大語(yǔ)言模型為什么需要它？

OpenAI 的 GPT 系列大語(yǔ)言模型（Large Language Mode，以下縮寫(xiě)為 LLM）的興起與應(yīng)用，也帶來(lái)了諸如數(shù)據(jù)泄露、數(shù)據(jù)濫用、模型被攻擊和知識(shí)產(chǎn)權(quán)被竊取等一些列隱私和安全風(fēng)險(xiǎn)或挑戰(zhàn)。

可信執(zhí)行環(huán)境（Trusted Execution Environment，以下縮寫(xiě)為 TEE）是一項(xiàng)基于軟硬件組合創(chuàng)建安全執(zhí)行環(huán)境，能夠更好地確保計(jì)算和數(shù)據(jù)處理機(jī)密性和完整性。其關(guān)鍵機(jī)制為：

1.安全隔離：通過(guò)硬件加密和內(nèi)存隔離等硬件隔離技術(shù)，將敏感數(shù)據(jù)和關(guān)鍵代碼與其他應(yīng)用及操作系統(tǒng)相隔離，從而確保它們即使在系統(tǒng)其他部分被攻擊或受到惡意軟件影響時(shí)也能夠得到更好的保護(hù)。

2.安全驗(yàn)證：在啟動(dòng)過(guò)程中進(jìn)行身份驗(yàn)證和完整性檢查，確保只有經(jīng)過(guò)授權(quán)的代碼和數(shù)據(jù)可以在其中運(yùn)行，以此防止惡意軟件或未經(jīng)授權(quán)的訪(fǎng)問(wèn)。

3.安全執(zhí)行環(huán)境：提供包含加密算法、安全協(xié)議和密鑰管理等防護(hù)功能的執(zhí)行環(huán)境，用于處理敏感數(shù)據(jù)和執(zhí)行關(guān)鍵算法，以增強(qiáng)數(shù)據(jù)在執(zhí)行過(guò)程中的保密性和完整性。

TEE 與LLM 可在多行業(yè)、多場(chǎng)景融合，TEE 可用于為 LLM 提供頗具商業(yè)落地價(jià)值的隱私和數(shù)據(jù)保護(hù)創(chuàng)新解決方案。

2. LLM 與 TEE 的融合需求

LLM 在許多行業(yè)的不同場(chǎng)景都有著廣泛應(yīng)用，例如金融行業(yè)的風(fēng)險(xiǎn)評(píng)估和交易分析，醫(yī)療保健領(lǐng)域的醫(yī)學(xué)圖像識(shí)別、病歷紀(jì)錄和疾病預(yù)測(cè)，以及法律和合規(guī)行業(yè)的法律咨詢(xún)、合同審查和文書(shū)處理等。這些行業(yè)或場(chǎng)景中涉及到的數(shù)據(jù)多為重要敏感的交易數(shù)據(jù)或個(gè)人數(shù)據(jù)，必須得到有效保護(hù)。

將 TEE 與LLM 融合，有助于在這類(lèi)場(chǎng)景中更好地保障數(shù)據(jù)在LLM 模型訓(xùn)練和推理過(guò)程中的保密性。訓(xùn)練階段，TEE 中的數(shù)據(jù)處理都處于加密狀態(tài)；推理階段，TEE 則可保護(hù)用戶(hù)輸入和模型結(jié)果的隱私。同時(shí)，其硬件隔離和安全驗(yàn)證機(jī)制可以更有效地防止未經(jīng)授權(quán)的訪(fǎng)問(wèn)和攻擊，增強(qiáng)模型運(yùn)行時(shí)的安全性。

3. TEE 與 LLM 融合的挑戰(zhàn)：資源和性能限制

1.資源限制：TEE 的計(jì)算資源和存儲(chǔ)空間通常都非常有限，LLM 龐大的模型參數(shù)和計(jì)算需求可能會(huì)超出一般TEE 的能力范圍。

2.性能下降：I/O 數(shù)據(jù)的加密和安全計(jì)算操作會(huì)引入額外的計(jì)算開(kāi)銷(xiāo)，導(dǎo)致模型訓(xùn)練和推理性能有一定程度下降。基于算法的解決方案可減少模型規(guī)模和計(jì)算需求，以適應(yīng) TEE 的資源限制，但CPU 仍會(huì)成為制約LLM 訓(xùn)練的算力瓶頸。

4. 基于英特爾? 平臺(tái)的解決方案：加速TEE 與LLM 融合應(yīng)用

4.1 基于英特爾? SGX/TDX^[1] 的TEE 解決方案

英特爾自第三代英特爾? 至強(qiáng)? 可擴(kuò)展處理器開(kāi)始內(nèi)置英特爾? 軟件防護(hù)擴(kuò)展（英特爾? SGX）技術(shù)，其安全飛地的容量最多可達(dá)單顆CPU 512GB，雙路共計(jì) 1TB 容量，可滿(mǎn)足目前千億大模型的執(zhí)行空間需求。此外，該技術(shù)提供支持的機(jī)密計(jì)算可實(shí)現(xiàn)應(yīng)用層、虛擬機(jī) (VM)、容器和功能層的數(shù)據(jù)隔離。無(wú)論是在云端、邊緣還是本地環(huán)境，都能確保計(jì)算與數(shù)據(jù)始終在私密性和安全性上獲得更全面的保護(hù)，以免暴露給云服務(wù)提供商、未經(jīng)授權(quán)的管理員和操作系統(tǒng)，甚至是特權(quán)應(yīng)用。另一方面，英特爾? Trust Domain Extension（英特爾? TDX）可將客戶(hù)機(jī)操作系統(tǒng)和虛擬機(jī)應(yīng)用與云端主機(jī)、系統(tǒng)管理程序和平臺(tái)的其他虛擬機(jī)隔離開(kāi)來(lái)。它的信任邊界較英特爾? SGX 應(yīng)用層的隔離邊界更大，使受其保護(hù)的機(jī)密虛擬機(jī)比基于英特爾? SGX 的安全飛地的應(yīng)用更易于進(jìn)行大規(guī)模部署和管理，在部署LLM 這類(lèi)復(fù)雜應(yīng)用時(shí)，TDX 在易用性上更具優(yōu)勢(shì)。此外，今年推出的全新第四代英特爾? 至強(qiáng)? 可擴(kuò)展處理器內(nèi)置英特爾? AMX，可大幅提升矩陣運(yùn)算性能，而英特爾? SGX/TDX也可為英特爾? AMX、英特爾? DL Boost等計(jì)算指令提供支持，進(jìn)而為 TEE 中的大模型賦予快速落地+優(yōu)化性能的雙重優(yōu)勢(shì)。

圖 1. SGX/TDX 的可信邊界

構(gòu)建完善的TEE 生態(tài)系統(tǒng)對(duì)推動(dòng)LLM 的應(yīng)用和發(fā)展至關(guān)重要。開(kāi)發(fā)者需要能夠簡(jiǎn)化集成和使用過(guò)程的面向 TEE 的開(kāi)發(fā)者工具和框架。為此，英特爾在 SDK 的基礎(chǔ)上，推出了開(kāi)源的 lib OS 項(xiàng)目 Gramine 來(lái)幫助開(kāi)發(fā)者更好地使用基于英特爾? SGX的 TEE，助推 LLM 與 TEE 的融合。

4.1.1 大語(yǔ)言模型推理

使用私有數(shù)據(jù)進(jìn)行個(gè)性化訓(xùn)練的大模型不僅包含私有數(shù)據(jù)信息，其查詢(xún)本身也具有隱私性，尤其是基于邊端的非安全環(huán)境部署。基于英特爾? SGX/TDX 的TEE 可為大模型提供更安全的運(yùn)行環(huán)境，在數(shù)據(jù)上傳云端前，查詢(xún)可先通過(guò)客戶(hù)端對(duì)傳輸內(nèi)容加密，云端只需在英特爾? SGX/TDX 中解密查詢(xún)問(wèn)題，然后輸入大模型的推理服務(wù)中，并將所得結(jié)果在云端的 TEE 中加密后傳輸回本地客戶(hù)端。在整個(gè)工作流程中，客戶(hù)端以外的數(shù)據(jù)和運(yùn)行態(tài)程序均處于密態(tài)環(huán)境當(dāng)中，效率遠(yuǎn)遠(yuǎn)高于其他基于純密碼學(xué)的解決方案。目前像 LLAMA 7B、ChatGLM 6B 等模型都可以在該TEE 方案上滿(mǎn)足實(shí)時(shí)可交互性能的運(yùn)行。圖2 展示了使用LLM 部署知識(shí)問(wèn)答的參考設(shè)計(jì)。基于英特爾? SGX/TDX 的 TEE 為實(shí)際部署 LLM 中的自有知識(shí)產(chǎn)權(quán)保護(hù)提供了一套完整的方案，優(yōu)化整個(gè)模型在查詢(xún)、傳輸和推理過(guò)程中的安全保護(hù)。

圖2. 基于TEE 的大語(yǔ)言模型私密問(wèn)答

4.1.2 聯(lián)邦學(xué)習(xí)

借助基于 TEE 的聯(lián)邦學(xué)習(xí)解決方案^[2]（見(jiàn)圖 3），就可在多機(jī)構(gòu)之間實(shí)現(xiàn)基于 NLP 的深度學(xué)習(xí)例如使用 BERT 的命名體識(shí)別。在金融和醫(yī)療等行業(yè)提升準(zhǔn)確性，實(shí)現(xiàn)多機(jī)構(gòu)數(shù)據(jù)互通，同時(shí)更好避免數(shù)據(jù)泄露。

此方案中每個(gè)參與方包含一個(gè) Avalon^[3] 管理模塊和Gramine 工作負(fù)載，均運(yùn)行在英特爾? SGX 的安全飛地中，在管理模塊彼此間的遠(yuǎn)程認(rèn)證完成執(zhí)行后，即可啟動(dòng)聯(lián)邦學(xué)習(xí)過(guò)程，參與方在本地使用各自的數(shù)據(jù)集進(jìn)行訓(xùn)練，然后將梯度上傳至聚合方，聚合方進(jìn)行聚合后將平均梯度下發(fā)至各參與方，以繼續(xù)進(jìn)行下一輪訓(xùn)練。對(duì)比圖 4 所示的BERT + CRF 模型^[4]，此方案可以在強(qiáng)化隱私保護(hù)的同時(shí)，讓性能損失維持在50% 以下^[2]。

圖3. 基于 TEE 的聯(lián)邦學(xué)習(xí)

圖4. BERT + CRF 模型[4]

4.2 BigDL：端到端大模型和 TEE 融合的方案

據(jù)行業(yè)用戶(hù)反饋，LLM 在端到端應(yīng)用中的痛點(diǎn)包括：

1.軟件棧復(fù)雜，難以確保端到端應(yīng)用的安全。LLM 的訓(xùn)練和推理常依賴(lài)較多的軟件棧、服務(wù)和硬件。為保護(hù)用戶(hù)數(shù)據(jù)和模型產(chǎn)權(quán)，需確保每個(gè)環(huán)節(jié)的安全性（不同硬件、運(yùn)行環(huán)境、網(wǎng)絡(luò)和存儲(chǔ)等）。

2.計(jì)算量大，且對(duì)性能敏感。LLM 的計(jì)算量非常大，需引入足夠多的性能優(yōu)化。但是，不同模型、平臺(tái)和軟件棧需要使用不同的優(yōu)化方案，要在特定平臺(tái)上實(shí)現(xiàn)更理想的性能，需要長(zhǎng)時(shí)間的性能調(diào)優(yōu)。

為解決這些痛點(diǎn)，由英特爾主導(dǎo)的開(kāi)源項(xiàng)目BigDL，近期就推出了針對(duì) LLM 的隱私保護(hù)方案，其兩大主要功能為：

1.提供端到端的安全保護(hù)：在不修改代碼的情況下，為單機(jī)和分布式的 LLM 應(yīng)用提供端到端的安全保護(hù)功能。具體包括，基于英特爾? SGX/TDX 的 TEE、遠(yuǎn)程證明、統(tǒng)一的密鑰管理接口和透明的加解密 API 等。

2.實(shí)現(xiàn)一站式性能優(yōu)化：BigDL Nano 提供的針對(duì) LLM 的一站式性能優(yōu)化方案，可讓現(xiàn)有 LLM 應(yīng)用在幾乎不用修改代碼的情況下受益于英特爾? AMX、英特爾? AVX-512 和英特爾? Extension for PyTorch。同時(shí)，用戶(hù)還可利用 BigDL Nano 提供的 LLM API，快速構(gòu)建應(yīng)用。

圖5. BigDL 端到端安全的大模型方案

如圖6 所示，在應(yīng)用了 PPML（Privacy Preserving Machine Learning，隱私保護(hù)的機(jī)器學(xué)習(xí)）提供的安全技術(shù)后，由于更強(qiáng)的安全和隱私保護(hù)會(huì)帶來(lái)額外開(kāi)銷(xiāo)，因此端到端應(yīng)用性能會(huì)略有下降；但應(yīng)用了 BigDL Nano 提供的優(yōu)化功能后，端到端的性能得到了顯著改善*，總體性能甚至高于沒(méi)有任何保護(hù)的明文性能。

圖6. BigDL PPML + Nano 端到端性能損失情

目前，該方案已經(jīng)開(kāi)源，并開(kāi)始陸續(xù)交付給行業(yè)客戶(hù)進(jìn)行測(cè)試和集成^[5]。

5. 未來(lái)趨勢(shì)

TEE 提供了隱私保護(hù)和數(shù)據(jù)安全防護(hù)功能的創(chuàng)新解決方案，將在 LLM 實(shí)際落地過(guò)程中扮演重要角色。通過(guò)將二者融合，可更好地保障數(shù)據(jù)在訓(xùn)練和推理過(guò)程中的保密性，增強(qiáng)對(duì)未經(jīng)授權(quán)訪(fǎng)問(wèn)和模型結(jié)果篡改的防御。然而，在 TEE 中保護(hù)用戶(hù)隱私的同時(shí)，需要平衡性能需求，隨著大模型對(duì)于計(jì)算需求的大幅提升，算力可能會(huì)執(zhí)行在異構(gòu)硬件上，TEE 和異構(gòu)硬件的結(jié)合將成為未來(lái)發(fā)展趨勢(shì)。隨著 CPU 性能的提升以及內(nèi)置 AI 加速技術(shù)的升級(jí)和更新，在方便部署的場(chǎng)景下，CPU 會(huì)是大模型推理和 TEE 結(jié)合的首選，在訓(xùn)練的場(chǎng)景下，基于CPU 的 TEE 結(jié)合異構(gòu)硬件的加密支持，則會(huì)是大模型訓(xùn)練甚至大模型聯(lián)邦訓(xùn)練的技術(shù)方向。英特爾將一如既往地以軟硬結(jié)合的產(chǎn)品技術(shù)組合促進(jìn)開(kāi)發(fā)者參與，推動(dòng)LLM 與 TEE 的融合。

作者簡(jiǎn)介：

英特爾公司AI 架構(gòu)師俞巍，英特爾公司平臺(tái)安全資深架構(gòu)師李志強(qiáng)，英特爾公司安全軟件研發(fā)工程師李青青，英特爾公司軟件架構(gòu)師龔奇源，都在從事AI 和SGX/TDX 相關(guān)工作。

[1] SGX/TDX: https://www.intel.cn/content/www/cn/zh/customer-spotlight/cases/innovation-data-protection-with-security-engines.html

[2] Wei Yu. et al. 2022, TEE based Cross-silo Trustworthy Federated Learning Infrastructure, FL-IJCAI'22

[3] https://github.com/hyperledger-archives/avalon

[4] Souza, F., Nogueira, R. and Lotufo, R. 2020, Portuguese Named Entity Recognition using Bert-CRF, arXiv.org（請(qǐng)參見(jiàn)https://arxiv.org/pdf/1909.10649.pdf）

[5] https://github.com/intel-analytics/BigDL/tree/main/python/llm

*性能優(yōu)化效果與具體平臺(tái)、模型和環(huán)境有關(guān)