当 Google Chrome 在 2025 年悄然移除 "On-device AI does not send your data to Google" 这一曾被视为隐私护城河的功能声明时,整个行业被迫重新审视一个根本性假设:只要模型跑在用户设备上,数据就天然安全。这句话的消失并非简单的措辞调整,而是设备端 AI 安全范式从 "数据不出端" 向 "混合可信执行" 迁移的分水岭事件。理解这一转移的工程动因,并据此部署可落地的端侧安全加固方案,成为安全团队当前最紧迫的课题。
一、范式转移的工程动因
Chrome 移除该声明的核心原因在于,原有表述无法准确反映现代浏览器 AI 架构的真实攻击面。即便模型权重完全保存在本地,推理过程的输入数据、运行时内存、系统调用轨迹乃至模型输出仍可能通过侧信道被恶意扩展程序、浏览器漏洞或操作系统层面的恶意软件捕获。传统的 "数据不出端" 叙事依赖的是一种静态信任模型 —— 假设设备本身可信、操作系统可信、运行环境可信。但在零信任安全框架深入企业网络的今天,这种假设已被视为过于脆弱。攻击者越来越多地将目标从云端数据转向终端设备,通过提取本地模型权重或拦截推理过程中的中间结果来实现商业间谍活动或深度伪造攻击。与此同时,监管合规框架如 GDPR 和 CCPA 对 "数据处理" 的定义日趋严格,即便数据未经网络传输,只要在设备内存中被处理,即可能触发数据保护义务。Chrome 的声明调整本质上是对这一现实的妥协:与其做出无法被第三方验证的承诺,不如构建一套可审计、可验证的可信执行体系。
二、TEE 作为新的安全基座
可信执行环境(Trusted Execution Environment)正在成为设备端 AI 安全的新基座。与传统的软件隔离不同,TEE 通过硬件级隔离区(如 Intel SGX、ARM TrustZone、Apple Secure Enclave)创建一个仅对授权代码可见的安全飞地。模型权重、推理输入和输出均可在此飞地内完成处理,操作系统和其他应用无法访问其中的明文数据。关键在于,TEE 提供了密码学意义上的远程证明(Remote Attestation)能力 —— 客户端可以向验证方证明其 AI 模型确实运行在未被篡改的 TEE 中,而非被替换或钩挂的恶意版本。这一特性使得 "数据不出端" 的承诺从依赖厂商信誉转变为可由第三方独立验证的技术断言。2025 年以来,基于虚拟化的 TEE 研究(如 ASGARD 项目)进一步降低了在存量 ARM 设备上部署安全 AI 飞地的门槛,使得这一技术有望从高端移动设备向更广泛的消费级硬件普及。
三、模型隔离沙箱的实践路径
在 TEE 之外,模型隔离沙箱构成了第二层防御纵深。其核心思想是将 AI 推理进程与主操作系统隔离在独立的受控执行环境中,即使攻击者通过浏览器漏洞获得代码执行权限,也无法直接访问模型权重或推理数据。实现路径包括操作系统级容器化(如 Chrome OS 的 ArcVM 容器)、WebAssembly 沙箱运行时不加载敏感模型文件、以及针对特定 AI 框架的安全加固运行时。每种方案均在安全性与性能开销之间取得不同平衡:容器化提供强隔离但引入显著的内存占用,Wasm 沙箱轻量但对复杂模型的支撑能力有限,安全运行时则需要针对具体模型架构进行定制化适配。企业安全团队在选型时应评估两个关键指标:模型加载时的内存明文暴露窗口时长,以及沙箱逃逸攻击的 CVEs 历史记录。对于处理高度敏感推理任务的终端,建议采用 TEE 与沙箱的组合方案 ——TEE 保护模型权重和核心推理逻辑,沙箱负责处理不可信的外部输入并限制输出流向。
四、密钥托管与信任锚点设计
范式转移的第三根支柱是密钥托管策略的重新设计。传统设备端 AI 几乎不涉及密钥管理,因为模型以明文形式存储在本地。但当安全方案升级至 TEE 和沙箱混合架构时,加密模型的解密密钥、远程证明的签名密钥、用户身份认证密钥均需要被安全地注入、轮换和托管。当前可行的工程方案包括:基于硬件根信任的密钥注入(在设备制造阶段将密钥写入 TEE 不可导出区域)、用户认证绑定的密钥派生(结合设备 PIN 或生物特征派生加密密钥)、以及支持密钥轮换的远程托管服务。对于企业场景,建议建立密钥生命周期管理流程,确保在设备丢失或固件降级时能够远程撤销密钥。此外,信任锚点的设计不应仅依赖单一硬件安全模块,而应构建从硬件根信任→TEE→安全启动链→应用层的完整信任传递路径,每一环节的验证失败均可触发安全告警或锁定。
五、端侧安全加固的可落地参数
基于上述范式转移的分析,安全团队可按以下清单部署端侧加固方案。第一,启用并验证 TEE 远程证明:配置终端设备要求 AI 推理服务返回 TEE Quote 报告,验证 MRENCLAVE 与预期值匹配,该检查应作为 AI 推理调用的前置条件。第二,最小化模型暴露面:模型权重加密存储在 TEE 可访问的安全分区,推理时仅解密至 TEE 内存区域,主操作系统在任何时刻均不得获得明文权重。第三,部署输入输出过滤沙箱:所有外部输入在进入 TEE 推理前经沙箱清洗,所有推理输出经沙箱格式校验和敏感信息过滤后返回调用方。第四,实施密钥轮换策略:模型加密密钥每 90 天轮换一次,远程证明签名密钥每年更新并通过 OCSP 协议发布吊销列表。第五,建立异常检测基线:监控推理调用的响应时延分布、内存访问模式、系统调用序列,任何偏离基线超过 2 个标准差的事件触发安全审查。
Chrome 移除隐私声明这一看似微小的产品决策,实际上揭示了设备端 AI 安全的深刻变革。当行业从 "数据不出端" 的静态承诺转向 "混合可信执行" 的动态验证框架时,安全团队需要同步升级其技术栈和运营流程。TEE 提供硬件级的信任根基,模型沙箱构建运行时隔离纵深,密钥托管策略确立可验证的信任锚点 —— 三者协同方能在后声明时代为端侧 AI 应用提供真正意义上的安全保障。这不是一次性的技术升级,而是安全范式的根本性重建。
资料来源:Cyber Secure Fox 关于 Chrome 移除本地 AI 模型的报道;Tech Times 关于 TEE 重塑数字信任的分析。