基于可信執(zhí)行環(huán)境有效應對大語言模型隱私和安全挑戰(zhàn)

可信執(zhí)行環(huán)境是什么?大語言模型為什么需要它?

OpenAI 的 GPT 系列大語言模型(Large Language Mode,以下縮寫為 LLM)的興起與應用,也帶來了諸如數(shù)據(jù)泄露、數(shù)據(jù)濫用、模型被攻擊和知識產權被竊取等一系列隱私和安全風險或挑戰(zhàn)。

可信執(zhí)行環(huán)境(Trusted Execution Environment,以下縮寫為 TEE)是一項基于軟硬件組合創(chuàng)建安全執(zhí)行環(huán)境,能夠更好地確保計算和數(shù)據(jù)處理機密性和完整性。其關鍵機制為:

安全隔離:通過硬件加密和內存隔離等硬件隔離技術,將敏感數(shù)據(jù)和關鍵代碼與其他應用及操作系統(tǒng)相隔離,從而確保它們即使在系統(tǒng)其他部分被攻擊或受到惡意軟件影響時也能夠得到更好的保護。

安全驗證:在啟動過程中進行身份驗證和完整性檢查,確保只有經(jīng)過授權的代碼和數(shù)據(jù)可以在其中運行,以此防止惡意軟件或未經(jīng)授權的訪問。

安全執(zhí)行環(huán)境:提供包含加密算法、安全協(xié)議和密鑰管理等防護功能的執(zhí)行環(huán)境,用于處理敏感數(shù)據(jù)和執(zhí)行關鍵算法,以增強數(shù)據(jù)在執(zhí)行過程中的保密性和完整性。

TEE 與 LLM 可在多行業(yè)、多場景融合,TEE 可用于為 LLM 提供頗具商業(yè)落地價值的隱私和數(shù)據(jù)保護創(chuàng)新解決方案。

LLM 與 TEE 的融合需求

LLM 在許多行業(yè)的不同場景都有著廣泛應用,例如金融行業(yè)的風險評估和交易分析,醫(yī)療保健領域的醫(yī)學圖像識別、病歷紀錄和疾病預測,以及法律和合規(guī)行業(yè)的法律咨詢、合同審查和文書處理等。這些行業(yè)或場景中涉及到的數(shù)據(jù)多為重要敏感的交易數(shù)據(jù)或個人數(shù)據(jù),必須得到有效保護。

將 TEE 與 LLM 融合,有助于在這類場景中更好地保障數(shù)據(jù)在 LLM 模型訓練和推理過程中的保密性。訓練階段,TEE 中的數(shù)據(jù)處理都處于加密狀態(tài);推理階段,TEE 則可保護用戶輸入和模型結果的隱私。同時,其硬件隔離和安全驗證機制可以更有效地防止未經(jīng)授權的訪問和攻擊,增強模型運行時的安全性。

TEE 與 LLM 融合的挑戰(zhàn):資源和性能限制

資源限制:TEE 的計算資源和存儲空間通常都非常有限,LLM 龐大的模型參數(shù)和計算需求可能會超出一般 TEE 的能力范圍。

性能下降:I/O 數(shù)據(jù)的加密和安全計算操作會引入額外的計算開銷,導致模型訓練和推理性能有一定程度下降?;谒惴ǖ慕鉀Q方案可減少模型規(guī)模和計算需求,以適應 TEE 的資源限制,但 CPU 仍會成為制約 LLM 訓練的算力瓶頸。

基于英特爾? 平臺的解決方案:加速 TEE 與 LLM 融合應用

4.1 基于英特爾? SGX/TDX[1] 的 TEE 解決方案

英特爾自第三代英特爾? 至強? 可擴展處理器開始內置英特爾? 軟件防護擴展(英特爾? SGX)技術,其安全飛地的容量最多可達單顆 CPU 512GB,雙路共計 1TB 容量,可滿足目前千億大模型的執(zhí)行空間需求。此外,該技術提供支持的機密計算可實現(xiàn)應用層、虛擬機 (VM)、容器和功能層的數(shù)據(jù)隔離。無論是在云端、邊緣還是本地環(huán)境,都能確保計算與數(shù)據(jù)始終在私密性和安全性上獲得更全面的保護,以免暴露給云服務提供商、未經(jīng)授權的管理員和操作系統(tǒng),甚至是特權應用。另一方面,英特爾? Trust Domain Extension(英特爾? TDX)可將客戶機操作系統(tǒng)和虛擬機應用與云端主機、系統(tǒng)管理程序和平臺的其他虛擬機隔離開來。它的信任邊界較英特爾? SGX 應用層的隔離邊界更大,使受其保護的機密虛擬機比基于英特爾? SGX 的安全飛地的應用更易于進行大規(guī)模部署和管理,在部署 LLM 這類復雜應用時,TDX 在易用性上更具優(yōu)勢。此外,今年推出的全新第四代英特爾? 至強? 可擴展處理器內置英特爾? AMX,可大幅提升矩陣運算性能,而英特爾? SGX/TDX也可為英特爾? AMX、英特爾? DL Boost等計算指令提供支持,進而為 TEE 中的大模型賦予快速落地+優(yōu)化性能的雙重優(yōu)勢。

圖1. SGX/TDX的可信邊界

構建完善的 TEE 生態(tài)系統(tǒng)對推動 LLM 的應用和發(fā)展至關重要。開發(fā)者需要能夠簡化集成和使用過程的面向 TEE 的開發(fā)者工具和框架。為此,英特爾在 SDK 的基礎上,推出了開源的 lib OS 項目 Gramine 來幫助開發(fā)者更好地使用基于英特爾? SGX的 TEE,助推 LLM 與 TEE 的融合。

4.1.1 大語言模型推理

使用私有數(shù)據(jù)進行個性化訓練的大模型不僅包含私有數(shù)據(jù)信息,其查詢本身也具有隱私性,尤其是基于邊端的非安全環(huán)境部署。基于英特爾? SGX/TDX 的 TEE 可為大模型提供更安全的運行環(huán)境,在數(shù)據(jù)上傳云端前,查詢可先通過客戶端對傳輸內容加密,云端只需在英特爾? SGX/TDX 中解密查詢問題,然后輸入大模型的推理服務中,并將所得結果在云端的 TEE 中加密后傳輸回本地客戶端。在整個工作流程中,客戶端以外的數(shù)據(jù)和運行態(tài)程序均處于密態(tài)環(huán)境當中,效率遠遠高于其他基于純密碼學的解決方案。目前像 LLAMA 7B、ChatGLM 6B 等模型都可以在該 TEE 方案上滿足實時可交互性能的運行。圖 2 展示了使用 LLM 部署知識問答的參考設計?;谟⑻貭? SGX/TDX 的 TEE 為實際部署 LLM 中的自有知識產權保護提供了一套完整的方案,優(yōu)化整個模型在查詢、傳輸和推理過程中的安全保護。

圖2. 基于TEE的大語言模型私密問答

4.1.2 聯(lián)邦學習

借助基于 TEE 的聯(lián)邦學習解決方案[2](見圖 3),就可在多機構之間實現(xiàn)基于 NLP 的深度學習例如使用 BERT 的命名體識別。在金融和醫(yī)療等行業(yè)提升準確性,實現(xiàn)多機構數(shù)據(jù)互通,同時更好避免數(shù)據(jù)泄露。

此方案中每個參與方包含一個 Avalon[3] 管理模塊和 Gramine 工作負載,均運行在英特爾? SGX 的安全飛地中,在管理模塊彼此間的遠程認證完成執(zhí)行后,即可啟動聯(lián)邦學習過程,參與方在本地使用各自的數(shù)據(jù)集進行訓練,然后將梯度上傳至聚合方,聚合方進行聚合后將平均梯度下發(fā)至各參與方,以繼續(xù)進行下一輪訓練。對比圖 4 所示的 BERT + CRF 模型[4],此方案可以在強化隱私保護的同時,讓性能損失維持在 50% 以下[2]。

圖 3. 基于TEE的聯(lián)邦學習

圖4. BERT + CRF模型[4]

4.2 BigDL:端到端大模型和 TEE 融合的方案

據(jù)行業(yè)用戶反饋,LLM 在端到端應用中的痛點包括:

軟件棧復雜,難以確保端到端應用的安全。LLM 的訓練和推理常依賴較多的軟件棧、服務和硬件。為保護用戶數(shù)據(jù)和模型產權,需確保每個環(huán)節(jié)的安全性(不同硬件、運行環(huán)境、網(wǎng)絡和存儲等)。

計算量大,且對性能敏感。LLM 的計算量非常大,需引入足夠多的性能優(yōu)化。但是,不同模型、平臺和軟件棧需要使用不同的優(yōu)化方案,要在特定平臺上實現(xiàn)更理想的性能,需要長時間的性能調優(yōu)。

為解決這些痛點,由英特爾主導的開源項目 BigDL,近期就推出了針對 LLM 的隱私保護方案,其兩大主要功能為:

提供端到端的安全保護:在不修改代碼的情況下,為單機和分布式的 LLM 應用提供端到端的安全保護功能。具體包括,基于英特爾? SGX/TDX 的 TEE、遠程證明、統(tǒng)一的密鑰管理接口和透明的加解密 API 等。

實現(xiàn)一站式性能優(yōu)化:BigDL Nano 提供的針對 LLM 的一站式性能優(yōu)化方案,可讓現(xiàn)有 LLM 應用在幾乎不用修改代碼的情況下受益于英特爾? AMX、英特爾? AVX-512 和英特爾? Extension for PyTorch。同時,用戶還可利用 BigDL Nano 提供的 LLM API,快速構建應用。

圖5. BigDL端到端安全的大模型方案 圖5. BigDL端到端安全的大模型方案

如圖 6 所示,在應用了 PPML(Privacy Preserving Machine Learning,隱私保護的機器學習)提供的安全技術后,由于更強的安全和隱私保護會帶來額外開銷,因此端到端應用性能會略有下降;但應用了 BigDL Nano 提供的優(yōu)化功能后,端到端的性能得到了顯著改善*,總體性能甚至高于沒有任何保護的明文性能。

圖6. BigDL PPML+Nano端到端性能損失情況

目前,該方案已經(jīng)開源,并開始陸續(xù)交付給行業(yè)客戶進行測試和集成[5]。

未來趨勢

TEE 提供了隱私保護和數(shù)據(jù)安全防護功能的創(chuàng)新解決方案,將在 LLM 實際落地過程中扮演重要角色。通過將二者融合,可更好地保障數(shù)據(jù)在訓練和推理過程中的保密性,增強對未經(jīng)授權訪問和模型結果篡改的防御。然而,在 TEE 中保護用戶隱私的同時,需要平衡性能需求,隨著大模型對于計算需求的大幅提升,算力可能會執(zhí)行在異構硬件上,TEE 和異構硬件的結合將成為未來發(fā)展趨勢。隨著 CPU 性能的提升以及內置 AI 加速技術的升級和更新,在方便部署的場景下,CPU 會是大模型推理和 TEE 結合的首選,在訓練的場景下,基于 CPU 的 TEE 結合異構硬件的加密支持,則會是大模型訓練甚至大模型聯(lián)邦訓練的技術方向。英特爾將一如既往地以軟硬結合的產品技術組合促進開發(fā)者參與,推動 LLM 與 TEE 的融合。

免責聲明:此文內容為第三方自媒體作者發(fā)布的觀察或評論性文章,所有文字和圖片版權歸作者所有,且僅代表作者個人觀點,與極客網(wǎng)無關。文章僅供讀者參考,并請自行核實相關內容。投訴郵箱:editor@fromgeek.com。

極客網(wǎng)企業(yè)會員

免責聲明:本網(wǎng)站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性,但不保證有關資料的準確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏,概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時,應及時向本網(wǎng)站提出書面權利通知或不實情況說明,并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關文章源頭核實,溝通刪除相關內容或斷開相關鏈接。

2023-07-02
基于可信執(zhí)行環(huán)境有效應對大語言模型隱私和安全挑戰(zhàn)
基于可信執(zhí)行環(huán)境有效應對大語言模型隱私和安全挑戰(zhàn)

長按掃碼 閱讀全文