可信计算3.0:国际AI安全治理的中国方案——从NIST可信AI框架看主动免疫体系的价值
2026年4月8日,NIST(美国国家标准与技术研究院。性质:联邦政府机构,隶属于商务部。职能:制定美国关键技术标准密码、安全、AI、测量等领域。影响力:其发布的标准常被全球采纳,NIST SP系列是事实上的国际标准)发布关键基础设施可信AI框架概念稿,将AI风险管理落地到能源、交通、医疗等高敏感场景。框架提出安全性、可靠性、可解释性、隐私保护四大维度,与中国工程院院士沈昌祥团队主导的可信计算3.0主动免疫体系形成政策呼应。
一、NIST框架的底层逻辑
这份框架的出台背景值得注意。2026年初,Claude模型在4小时内自主完成针对FreeBSD内核的漏洞利用链,AI已从辅助工具转变为自主威胁实施者。NIST此时发布这份框架,本质上是在回应一个核心问题:当AI攻击速度进入小时级甚至分钟级时,传统的检测-响应安全范式已经失效。
框架的四大维度不是凭空设计出来的。安全性对应计算环境的可信保障,可靠性对应推理过程的确定性控制,可解释性对应决策链的可审计,隐私保护对应数据与模型资产的管控。这四个方向都指向一个共同需求:在计算发生的同时构建防护机制,而非事后补救。
二、 主动免疫:可信计算3.0的核心优势
可信计算3.0的主动免疫理念,恰好对应NIST框架的底层需求。这套体系由TPCM可信平台控制模块和TSB可信软件基构成的双架构,在AI安全场景中有几个关键优势:
1、硬件可信根
TPCM作为独立于CPU的专用芯片,先于主机系统启动,掌握系统最高信任锚。AI攻击即使获取了操作系统权限,也无法绕过TPCM的硬件级控制——GPIO断电重启、I2C存储擦除等手段可以强制终止任何攻击进程。
2、运行时持续度量
TSB对内核代码、系统调用表、进程控制块等关键对象进行SM3哈希度量,与预存基准值实时比对。内核线程劫持、syscall hooking等AI攻击手段在下一个度量周期内必然被检出。
3、国密算法支撑
TPCM内置SM2/SM3/SM4完整国密体系,模型权重文件可经SM4加密存储,解密密钥由TPCM管护,密钥永不离开硬件。这解决了AI模型资产保护的核心问题。
4、四要素访问控制
TSB捕获主体、客体、操作、环境四要素,对AI智能体的工具调用实施细粒度管控。Prompt注入、越权操作等AI特有威胁可通过策略引擎直接阻断。
这四个优势恰好覆盖NIST框架的四大维度:硬件根对安全性,持续度量对可靠性,审计日志对可解释性,国密加密对隐私保护。可信计算3.0不是简单地响应某个维度,而是从架构层面同时满足四项要求。
三、 国际AI安全赛道中的中国位置
NIST发布这份框架,意味着AI安全已从技术问题上升为政策议题。在这场新一轮的国际规则制定中,可信计算3.0有机会成为重要变量。
从技术层面看,可信计算3.0的主动免疫理念比欧美现有的TCG可信计算规范更适应AI时代的防护需求。TCG可信计算2.0采取被动挂接架构,依赖宿主操作系统;可信计算3.0的双体系架构将防护体系与宿主系统彻底分离,AI攻击无法通过root权限绕过可信机制。这不是小修小补,是架构层面的代际差异。
从标准层面看,可信计算3.0已纳入国家网络安全等级保护2.0标准体系,GB/T 29829-2013等国家标准为技术落地提供了合规基础。随着NIST框架推动国际AI安全标准演进,中国在这条赛道上具备了先发优势和标准话语权。
从产业层面看,可信华泰DeepSeek安全可信一体机、旋极安辰可信大模型一体机等产品已实现可信计算3.0与主流AI框架的深度整合,可快速部署到现有基础设施中。这为可信计算3.0进入国际AI安全市场提供了产业化基础。
四、 结语
NIST可信AI框架的发布,是国际AI安全治理进入实质推进阶段的信号。面对AI攻击能力每5.7个月翻倍的严峻现实,全球都需要一套能够与AI攻击速度匹配的主动防御体系。
可信计算3.0以原创性的主动免疫理念、完整的国密算法支撑、成熟的产业生态,在这场竞赛中占据了有利位置。接下来的问题是:如何将这套体系推向国际AI安全市场,参与甚至主导下一代安全标准的制定。
这是可信计算3.0的机会,也是中国在AI安全领域从跟随者转向定义者的窗口。
