任何技術產品都有攻擊面，大模型也在所難免。模型產品和攻擊方式永遠是「道」與「魔」的此消彼長。

比如去年就 提出一個新的攻擊方法，成功盜取了其他用戶發送給大模型的字段。此漏洞利用了 KV 緩存共享——一項大語言模型 (LLM) 業界廣泛應用，兩大主流推理框架 SGLang 和 vLLM 都在使用的技術。

LLM 的安全問題不容小覷。無論對于用戶還是企業，數據泄露都足以「致命」。APPSO 之前的一篇文章就曾提到，越來越多的人將豆包、DeepSeek 和 ChatGPT 們視作傾訴對象，和它們推心置腹，不經意間便將個人的隱私信息吐露其中。而一旦 LLM 遭遇泄露事故，好事者能夠依據數據識別出具體的用戶以及對應的現實身份，從而用于不法意圖。

為了應對 iPhone 用戶使用 AI 產品的隱私顧慮，維持公司數據隱私政策的連貫性，蘋果在 24 下半年宣布了一個名叫 Apple PCC（私密云計算 Private Cloud Compute）的系統：

在 Apple Intelligence 場景下，端側算力不足時，用戶數據經私鑰加密上傳云端，由部署在服務器私密計算模塊（類似 iPhone 芯片里的安全隔區）里的大模型進行加密推理，僅在推理過程和結果返回端側時短暫解密。全鏈路數據均以密文流轉，且采用無狀態計算模式，確保數據零存儲、用后即焚。

技術是很好，但遺憾由于國內 Apple Intelligence 目前狀態微妙，iOS 用戶反而用不上。

在 iOS 以外的科技產品世界，另一家公司也正在應對私密云計算的挑戰：

火山引擎開發的 Jeddak PCC（私密云計算）平臺，有望應用于 Android 手機、PC 電腦、新能源汽車等更多領域，為數十億用戶的 LLM使用隱私保駕護航，企業在加大 LLM 與自身場景結合的同時無需擔心數據泄露。

通過在各自的硬件產品和 LLM 技術棧中應用 Jeddak PCC 平臺能力，硬件廠商能將保護用戶個人數據隱私的承諾，從設備端延伸到云端。

新時代的 LLM 要大，也要安全

近期，火山引擎對外公布了基于 Jeddak PCC，面向私有云 AI 安全推理/私密計算的合作案例，合作伙伴包括聯想和努比亞等設備品牌。這也讓 Jeddak PCC 成為了國內首個針對個人電腦和智能手機市場布局的私密云計算解決方案。

背景不難理解：日常生活中，每天有大量用戶和企業在PC 和智能手機等主流設備上與 LLM 進行互動。聯想用戶在 PC 上進行文本生成、潤色、提煉摘要、深度思考等文本類工作，努比亞用戶在手機上使用多模態豆包大模型、扣子空間 Agent（智能體）等產品。

不是所有的 AI 任務都能夠在本地完成。一些需要深度思考、知識庫建立、以及 Agent 能力的任務，本地模型尺寸太小或算力不夠，需要使用云端的 LLM。

問題在于，用戶與 LLM 和 Agent 互動，可能涉及機密數據或個人的隱私信息。這就遇到了敏感數據上云的困境了。云端的模型大歸大，但服務提供方無法保證安全。當用戶處在高敏感、高密級的工作環境中，是不能輕易將資料隨便上傳給 LLM 的。

PC 和手機廠商對于 AI 產品和服務的架構，需要針對隱私計算的需求進行重構。它們希望構建一個端到端全流程，且能夠自證清白的私密云計算平臺，用來解決端云協同計算下的 LLM 數據安全隱私問題。

少有其它解決方案，比 Jeddak PCC 更適合解決這個問題。看下面這個典型案例就行了：

假設一個企業科研人員，寫了一篇論文準備投稿到頂級期刊，但需要使用 LLM 工具對論文進行潤色優化，需要使用外部公司提供的 LLM 工具，同時要求數據全程加密——這是一個典型的檢索增強生成（RAG） 任務。

1.

密鑰：用戶托管一個密鑰（BYOK - Bring Your Own Key），PCC 在 LLM 任務的全流程期間使用該密鑰進行加/解密。密鑰保存在用戶設備上 + 云端的安全隔區（TEE 可信執行環境）模塊內。

2.

知識庫創建：用戶上傳文檔時，PCC提供端云互信的加密通信能力，將用戶文檔從端側設備安全地傳輸到安全隔區內；知識庫服務對文檔解密、切片，生成明文向量和片段；加密服務將其變成密文向量和密文切片，存儲在向量數據庫 (VikingDB) 內——密態知識庫創建完成。

3.

知識庫檢索召回：用戶對 LLM 輸入提示；提示詞通過端云互信加密通信傳輸至安全隔區，在安全隔區內生成并加密明文向量；使用密文向量在數據庫檢索，召回密文切片；在安全隔區內解密切片后，進行 rerank 等處理。

4.

推理階段：拼接生成的明文檢索結果+用戶的提示詞，給到大模型（也在安全隔區內）進行推理，生成明文的推理結果——推理完成。

5.

回傳階段：PCC 對生成結果加密，生成密文結果，傳回用戶設備上；端側 TEE 的解密服務對結果進行解密，向用戶呈現明文結果。

這也正是聯想使用 Jeddak PCC 正在做的事情。5 月 7 日，聯想正式發布了面向個人和企業用戶的超級智能體產品，而火山引擎的私密云計算解決方案成為了這一 Agent 解決方案的基石。

在 RAG 類型工作中，Jeddak PCC 將用戶的各類文檔進行向量化處理，將硬件芯片級加密安全能力延伸至云端，通過機密計算、密碼學等隱私計算手段，實現全流程加密——讓用戶在構建私人/企業級知識庫的時候，無需擔心數據泄密。

聯想同期發布的多款 PC 設備，包括消費級和商用市場 SKU，均支持 Jeddak PCC 技術。

從整個流程可以看到：

所有涉及到數據流轉的過程，全部受到用戶粒度密鑰的加密保護；

云端只存儲密文向量，不存儲明文的文本和向量；

只有 LLM 推理使用明文，且推理過程在安全隔區內進行；

LLM 運營商和云計算服務提供商全程不掌握用戶密鑰，無法看到明文，實現了全程保密。

那么問題也來了：全程加密的方式，對推理效率和用戶側體驗是否有影響？

實際上沒有可觀影響。APPSO 從火山引擎了解到，雖然加密的過程復雜，但從用時的角度，用戶不會有明顯感知，速度相比明文方式只會慢 5% 或更低。

而從推理結果上，由于采用了高性能的密碼學方法，加解密過程的信息很難出現信息損失。LLM 的推理工作在安全隔區進行，沒有數據泄密的風險。最后的推理結果無限接近于無損，并且 LLM 仍然保持流式輸出的工作方式，讓用戶可以看到 token 不斷生成。

架構開放，業務廣泛，Jeddak PCC 已為「Agent 元年」準備好

隱私計算 (privacy/confidential computing) 第一次在大眾面前被提起，還是在 2013 年。自從當年的 iPhone 5s，蘋果開始在 A 系列處理器內封裝一顆單獨的隱私計算小模塊，名叫安全隔區 (secure enclave)，用于生物驗證、支付等操作。應用、處理器，乃至整個操作系統，都無法看到這些私密數據對應的明文。

時代更替技術升級，現在每個人都在努力追上 AI 的潮流，享受 LLM、Agent 等技術帶來的便利和創新體驗。然而隱私計算很長時間以來并沒有跟上 AI 普及化的腳步——直到 Jeddak PCC 的問世。

私密云計算的概念，是隱私計算在云時代和 AI 時代的延伸擴展。而 Jeddak PCC 其實就是在用同樣的技術，把概念擴展到 AI 云計算的場景下，將存儲在用戶端側的私密數據，放在一個更大的區域內做安全的存儲、托管和計算。

就像蘋果安全隔區讓用戶首次接觸到隱私計算，Jeddak PCC 也是私密云計算的能力第一次交到企業開發者、設備廠商，以及它們的終端用戶的手上。而且從架構開放性、支持業務種類、軟硬融合等多個方面來看，Jeddak PCC 和蘋果 PCC 相比也已經展現出明顯的優勢。

據 APPSO 的了解，Jeddak PCC 采用開放架構，支持 CPU、GPU 以及異構計算，支持英偉達 Hopper、英特爾 TDX、AMD SEV 等機密算力平臺，滿足客戶的公有/私有云等多種或融合的部署需求。

這讓 Jeddak PCC 和蘋果 PCC 的封閉架構和完全依賴獨家軟硬件實現的做法，形成了明顯差別。畢竟蘋果 PCC 只是為了實現其原生內部應用 (Apple Intelligence) 而推出，而 Jeddak PCC 是火山引擎自研的私密云計算能力輸出并普及給整個科技行業。

蘋果宣稱其 PCC 系統采用封閉架構的一大原因在于確保安全閉環。但其實隨著技術和觀念的進步，安全行業目前更普遍認為，封閉系統無法減緩「漏洞-入侵-補丁」的亡羊補牢式循環；安全軟件在開放的架構和協作的模式中開發，可以確保所有的利益相關者能夠及時發現漏洞、補強安全。

這也是為什么 Jeddak PCC 方案的開放架構，可能更容易被行業普遍接受，能夠大大加速行業整體安全水位的提升。

火山引擎積累了大量數據庫、密碼學等方面的人才，這些領域都和私密云計算高度相關。強大的人才儲備、安全科研能力，加上一線云服務商的安全政策，可以確保隱患及時發現。

Jeddak 項目組目前在安全方面專利累計達到 130 件，2024 年新增 62 件，涉及密碼學、隱私計算、系統安全等專業，覆蓋AI、LLM 安全、可信執行環境等技術方向。

除了火山引擎的工作外，開放架構也意味著 Jeddak PCC 的能力和安全性提升也依賴聯合端側廠商客戶共同建設。

在支持的 AI 業務類型上，Apple PCC 目前存在唯二目的：1）服務 Apple Intelligence 產品的用戶端體驗；2）蘋果自己的后端訓練，以及公司內部的員工任務。具體能力目前也僅僅涉及推理層面，沒有看到對其它 LLM 主流業務類型的支持。

而 Jeddak PCC 已經支持可信 AI 推理和安全 RAG——這兩者已經通過前一小節的案例體現。這背后其實是火山引擎隱私計算團隊將多年以來在機密計算、同態加密上的技術外放給云服務客戶，幫助它們更好在 LLM 安全合規的前提下，實現應用拓展和降本增效。

至于 Jeddak PCC 對 Agent 的支持，更是火山引擎正在加緊研發和測試的業務項目。

業界普遍認為 2025 年是「Agent 元年」，從娛樂休閑到專業任務，各種類型、具備各種能力的的 Agent 層出不窮；火山引擎背后的字節跳動本身也通過豆包、扣子空間等產品深度布局了 Agent 市場。顯然 Agent 成為了當下場景可能性最豐富、生命力最強的 AI 產品類別。

火山引擎在6月即將上線基于 Jeddak PCC 的可信版 Agent——OS Agent，讓用戶通過自然語言指令，即可完成點外賣、訂機票等復雜操作，并且任務全過程貫徹 Jeddak PCC 的私密云計算邏輯。隨著 Agent 技術的不斷進步、市場活躍度提升，Jeddak PCC 也已經為 Agent 的徹底爆發做好了準備。

用戶可感知的 AI 安全

無論是觸摸屏幕還是輸入內容，用戶與應用產品的每一次互動都會留下痕跡。而在今天的互聯網服務用戶權利結構下，一個尷尬的事實是，用戶并不真正「擁有」自己的數據。

在 AI 的時代，這個邏輯同樣延續。僅就目前的 LLM 產品形態來看，用戶的隱私控制權同樣極其有限，服務商的隱私政策還未跟上節奏。用戶往往在未意識到這一點的前提下，向 LLM 產品發送更多隱私和機密的數據。

火山引擎認為，在這樣的背景下，LLM 開發者和云計算平臺更需要多做一些努力，幫助國民提高 AI 時代的數據隱私和安全意識。

在 AI 完全起飛，LLM 植入每一個產品的前中后端的新時代，私密云計算技術對于用戶的重要性與日俱增。與此同時，這一技術的好處，也應該讓用戶感知到，給他們可見的獲得感。

想象一下，在不遠的將來，手機的系統設置-隱私功能里面，會新增一個「AI」模塊：

比如，你可以看到自己今天和 AI 進行了 100 次互動，其中有 80 次在本地，20 次發送到云端執行。

不僅如此，你還可以查看每次互動的具體明細，例如時間、輸入的提示內容、本地或云端處理。這些細節需要你用指紋、人臉，或者至少輸入密碼才能查看，因為它們受到手機芯片的安全隔區的保護——本地隔區同樣受到 Jeddak PCC 體系的保護。

更進一步，或許你還可以看到那些上云的互動次數，數據在云端被如何加密，用后是否已刪除——能夠「自證清白」對于一個健全的 PCC 平臺來說，是最基本的要求之一。

好的設計，潤物細無聲。但對于數據隱私安全這種焦點議題，或許讓用戶能夠實際感知到，體驗流暢的同時也用得放心，才是真理。

2025 上半年，國內各主流 Android 廠商都在加碼 LLM、Agent 相關的功能，創新層出不窮。但與此同時，個人數據隱私的泄露風險在 AI 時代也進一步提高。對于私密云計算技術的需求，也與日俱增。

火山引擎希望 Jeddak PCC 的推出能夠滿足這些設備廠商和 LLM 開發者的需求，成為 AI 時代全民提升隱私保護和增強安全意識的一個里程碑。