作者：Yiping、Jiawei、Danny，IOSG

什麼是TEE？

TEE 在處理過程中將敏感資料隔離在受保護的CPU 隔離區。隔離區的內容（包括正在處理的資料和處理方法）僅對授權的程式碼可見，其他任何人或事物（包括雲端服務提供者）都無法存取或了解。

 ▲ 來源：Twitter

TEE 的配置決定了哪些實體被授權輸入資料、可以處理的資料集和程式類型，以及允許的輸出結果。 TEE 的核心功能之一是透過單獨的認證流程來驗證其正確的配置。認證過程為TEE 的硬體和配置元素提供加密驗證，以保障其隔離處理的安全性。

TEE 的發展與演變

TEE 的演變主要圍繞在三個概念：

• 開發者體驗
• 效能
• 安全性

開發者體驗

Intel SGX 革新了安全硬件，提供了接近本地性能的強隔離能力，但其開發者體驗存在挑戰。開發者需要對應用程式進行大量重寫以適應SGX 的程式模式，這一複雜性限制了其在金鑰管理等少數領域以外的應用。

隨著像Gramine 這樣的框架的引入，開發者體驗顯著提升。 Gramine 為CPU 隔離區提供軟體抽象，開發者可以直接將應用程式編譯為二進位檔案並運行在SGX 中。 Gramine 的作用類似於將SGX 環境與常規Linux 環境連接的「黏合劑」。

性能提升

隨著TEE 發展為Confidential VMs 和GPU（如Intel TDX 和H200），開發者可以直接部署未經修改的應用程式。開發者可以將整個生產環境打包並直接運行在加密虛擬機器中。 H200 是首個提供GPU 等級TEE 的產品，能夠運作更多AI 與影像處理相關的應用。

例如，dStack 平台進一步簡化了開發者在機密運算環境中的部署和擴充。 dStack 基於微服務架構，支援多個微服務在單一TEE 實例中部署並安全通訊。這種模組化設計使得更複雜的工作流程能夠在TEE 中安全運作。

安全性

TEE 的安全性依賴於硬體製造商提供的信任根，但這也帶來了對專有硬體和閉源實現的依賴，可能引發透明性和潛在後門的擔憂。為了解決這些問題，開源TEE 解決方案（如Keystone 和OpenTEE）正逐步成為可行的替代方案。儘管目前性能遜色於專有解決方案，但其透明設計和可驗證的製造過程增強了硬體完整性的信任。

開發者還可以結合不同供應商的多個TEE，運行相同的工作負載並對比輸出結果，透過這種交叉驗證降低單一TEE 潛在漏洞的風險。

另一個關鍵的安全挑戰是側通道攻擊（side-channel attacks）。這類攻擊透過時間、功耗或電磁洩漏等物理特性來提取TEE 中的敏感資料。一種新穎的解決方案是將TEE 部署在完全隔離的環境中。例如，SpaceCoin 計畫將TEE 發射到軌道衛星中，透過衛星的物理隔離性來消除基於接近的攻擊威脅。透過在太空中運行計算，這些TEE 實現了對側通道攻擊及其他物理威脅的保護。

TEE 的未來

隨著TEE 進一步發展，權衡變得更加複雜：

• 提升開發者體驗可能會增加可信任計算基（TCB）。
• 開源指令集可能會降低效能，但可提高可驗證性。
• 透過Yocto 專案改進TCB 可能會使部署更複雜。

從創造有趣的社交體驗，到建立公平的全球金融系統、訓練帶有敏感資料的大型模型，再到實現全球規模的隱私身分管理，我們需要達到TEE 的第五級—— 加密運算的聖杯，未來前景令人振奮。

早期TEE（如SGX）要求開發者編寫自訂C 程式碼，或使用像Gramine 這樣的抽象層提供類似Linux 的介面。

進階解決方案（如TDX 和Nitro）現在支援類似Docker 的容器化工作流程，但偵錯仍然困難。

Paradigm 展望透過多方計算（MPC）或全同態加密（FHE）實現多隔離區協作，以緩解單一隔離區故障的風險。

對於Crypto x TEE，Phala、Automata 和Flashbot 正在推動標準的建立。透過提供標準並完善Tee 相關基礎服務，讓Crypto TEE 被更多協議所快速採用。

 ▲ 來源：IOSG

TEE 的用例

去中心化網路中的TEE 硬體創造了一個可信任的運算環境，稱為Decentralized Confidential Computing，催生了加密領域眾多有趣且具有市場關注度的用例，包括Agent、DePIN 和社群媒體帳號管理。在眾多新興基礎設施中，Unichain、Flashbots 和Taiko 也正在利用TEE 來優化其服務。

 ▲ 來源：IOSG

MEV 相關用例

身為MEV 領域的先驅，Flashbots 早在2022 年12 月就開始探索像TEE 這樣的隱私技術在交易生命週期中所扮演的角色。其主要目標是實現交易供應鏈中的信任無關協作，包括去中心化區塊建構和訂單流共享。 Flashbots 進行了一系列與TEE 相關的研究和實驗，例如在Intel SGX 中執行Ethereum 用戶端Geth，以及在SGX 中執行區塊建構器的操作。

長期以來，Ethereum 區塊的90% 都由僅兩個區塊建構者構建，這對Ethereum 的去中心化、彈性和抗審查能力構成了持續的風險。為了增強區塊建構的去中心化，Flashbots 推出了BuilderNet，一個由TEE 提供支援的Ethereum 去中心化區塊建構網路。該網路還支援向來自dApp、錢包和用戶的上游訂單流提供退款，同時確保安全性和效能。

隨後，Flashbots 停止了其在主網路上的集中化區塊建構器的運行，並遷移至BuilderNet。目前Ethereum 排名第一的區塊建構者Beaverbuild 也將其軟體、基礎設施和訂單流整合到這個去中心化網路中。

幾個月前，Flashbots 聯合Uniswap Labs 和OP Labs 在Unichain 上推出了Rollup-Boost，這是一個基於TEE 支援的可驗證Rollup 區塊建立平台。

基於類似的TEEcoprocessor 技術，Flashbots 也發布了Teleport——一個應用程序，它利用TEE 協處理器實現了智能合約對Twitter 帳戶的控制。

AI 相關用例

Crypto 和AI 結合誕生了諸多環節，這點在IOSG 之前的文章中有所闡述。隨著TEE 跑在GPU 的支持增加，AI 各個環節對於TEE 的需求得到落地，包括

• 數據收集&標註
• 模型訓練
• 模型推理
• 自治agent

數據收集&標註

在Scailing law 的影響下，數據成為了AI 發展最重要的一環。而Crypto 在資料層能為AI 提供最大的幫助是透過去中心化的機制，鼓勵使用者貢獻私有資料、貢獻資料標註，彌補無法在公開網路中獲得的資料集尤其是標記資料。透過TEE 能夠提高資料收集和標註的隱私性和安全性。

以Vana 舉例，Vana 是一個去中心化資料網絡，其中Satya 類型的驗證者專門提供TEE 環境。透過TEE 驗證節點，Vana 中作為資料市場的資料流動池（DLP）能夠在不暴露原始資料的情況下，確保資料的溯源性和準確性，並安全地提供資料。用戶提交加密資料到智能合約，智能合約為用戶創造資產標識。用戶資料透過端對端加密協定（如TLS）傳輸到TEE 節點，資料在TEE 節點中解密，產生品質證明。

從用戶角度來看，TEE 將數據轉化為了可驗證的資產，數據變成一種“使用權”，用戶保留數據的所有權，獲得對應類型的代幣獎勵並透過治理機制參與決策。

 ▲ 來源：Phala 2025 Report

尤其是對於醫療或金融等敏感數據，TEE 使數據的提供和標記隱私化。這對於維護用戶放心大膽提供資料和在合規層面遵守GDPR 和CCPA 等資料保護法規至關重要。

模型訓練

TEE 的獨立性意味著其是模型訓練的最佳地點。隨著基於GPU 的TEE 的普及、硬體效能的提高，TEE 能夠支援更多訓練的場景。目前，透過Nvidia H200 GPU，可以對Llama-3.1-8B 類開源模型進行fine tuning，不僅能確保訓練資料和運算的隔離與加密，還可以產生加密證明和模型指紋，供公眾驗證。在參數適當的情況下，TEE 的模型訓練性能足以支撐大部分模型。在H200 GPU 的TEE 中訓練Llama-3.1-8B，僅用1 小時完成30 輪訓練，達到98% 的準確率，幾乎無效能損失。

Tee 依賴硬體的性質決定了需要一個去中心化的GPU 網路才能夠支援其訓練的穩定性。如Hyperbolic 利用TEE 支援分散式節點間的AI 訓練，相比OpenAI 等中心化GPU 供應商，成本更低，同時還能提供可驗證的執行證明。

 ▲ 來源：Phala 2025 Report

對於AI 訓練有強大需求的平台都可以較為輕鬆地連接TEE 技術，如Near 透過和phala 一同建構TEE 的模型訓練能力

 ▲ 來源：Twitter

模型推理

從使用者的角度來看，最在意的是使用模型是否真的經過了對應模型的計算。上至Chatgpt 接口，下至TEE 環境內的開源模型。 TEE 支援的推理過程可以讓模型的推理結果得到驗證，Nvidia GPU TEE 讓推理過程在不犧牲速度和準確性下能夠保護用戶隱私。服務如Phala 的保密AI 推理，會為每個輸出產生驗證證明，使用者可以驗證推理是否真正發生在TEE 內，提升對AI 輸出結果的信任。平台如0G 將TEE 整合至AI 推理服務中，確保從請求到回應的端對端資料保護和可驗證性。

 ▲ 來源：Phala 2025 Report

對於AI 訓練有強大需求的平台都可以較為輕鬆地連接TEE 技術，如Near 透過和phala 一同建構TEE 的模型訓練能力

 ▲ 來源：Twitter

自治agent

Crypto Agent 正逐漸成為鏈上活動的重要參與者。而真正讓agent 更有效的參與鏈上金融體系，需要給予agent 自治和主權能力。

自治，意味著Agent 的運作、決策、輸入、輸出不受人為幹預。舉例來講，自治意味著Truth Terminal 推上的輸入、輸出內容無法由Andy 控制。目前雖不是直接幹預，但仍有後台prompt 引導嫌疑。主權，則強調所有權。包括Crypto 資產和運算資源。 Agent 對資產100% 操控權和對自身運作環境的獨立控制。

自治和主權的agent 是開啟更多用例的前提。只有Agent 擁有自主權才能夠扮演更多經濟活動中的角色。同時這是從未有過的社會實驗，而且只能在Crypto 中發生，任何的進展都是超級Meme，在crypto 市場中會產生極大的注意力經濟。

目前，最廣泛使用的ai16z 的Eliza 框架已經整合了TEE 技術，開發者可以快速透過Eliza 部署具有TEE 特性的agent。 Agent 透過TEE 能夠自主的取得對於推特帳號、錢包、計算資源的控制權。

最早的TEE agent 實驗是來自Pet rock，一個跑在TEE 環境並掌握推特權限的agent。後來的AI pool 是透過Agent 在TEE 中的操作不受外界干涉這一特質，提供了一個公平發射並富有隨機性的launchpad。只需要在特定地址打錢，agent 會以安全參數進行初始化，初始化後，待打錢過程完成，agent 會自動選取隨機時間、隨機Ticker，並部署流動性以及發射代幣。這一切操作都運作在TEE 保護的環境中，人類無法干涉。 Spore.fun 更是透過TEE 展現了Agent 管理錢包這一過程。

任何的TEE agent 都有對應的驗證流程，能讓使用者隨時進行agent 是否跑在TEE 中，是否真的權限不受人類控制相關的驗證。這一點除了TEE 也可以透過ZK 做到。

許多TEE 專案在嘗試和Agent 專案合作創造一些比較有新意的玩法。

 ▲ 來源：IOSG

隨著Agent 更加智能，在鏈上生態中扮演的角色更加重要，減少其受人類影響的重要性也更高。將TEE 嵌入agent 的生命週期是最可見的實作方式。

結語

對Crypto 來說，TEE 是目前可用性較強，應用發展速度較快的一個可信計算工具，其發展圍繞著開發者體驗、性能、安全性三個方向發展，並同時受制於硬件，隨著英偉達主導的GPU 發展，TEE 從SGX 逐漸過度至TDX 。

應用層面，AI、社交、depin 是Toc 的強應用的方向，區塊搭建則是偏infra 的應用方向。隨著AI 敘事的發展，TEE 在去中心化計算上能夠貢獻不同AI 環節的計算隱私、模型/ 資料溯源能力，並能夠賦予Agent 獨立自治運行的能力。社交和depin 則是不斷探索的零售新方向。對於區塊鏈本身的運作來說，TEE 未來將扮演重要的節點能力，為區塊鏈帶來隱私和公平性。

隨著底層服務/SDK 越來越成熟，各類項目對TEE 技術的運用門檻也越來越低。專注於TEE 之於crypto 應用的服務供應商們正在往規範統一標準、成熟的開源技術支援等方向積累，並且已經誕生出不小新的用例。隨著這樣的垂直整合發生，我們期望看到更多基於TEE 應用的爆發。