CANN 生态安全基石：`cann-security-module` 如何构建可信 AI 执行环境

CANN 生态安全基石：cann-security-module如何构建可信 AI 执行环境

cann组织链接：https://atomgit.com/cann
ops-nn仓库链接：https://atomgit.com/cann/ops-nn
随着 AI 系统在金融、医疗、政务等高敏场景的广泛应用，安全性与隐私保护已从“可选项”变为“必选项”。模型窃取、数据泄露、推理篡改等风险，正威胁着 AI 应用的可靠性与合规性。CANN（Compute Architecture for Neural Networks）开源社区推出的cann-security-module（简称 CSM）项目，正是为应对这些挑战而设计的全栈式安全增强模块。

本文将系统介绍 CSM 的安全架构、核心能力，并通过典型场景演示如何在 NPU 上构建端到端的可信 AI 执行环境。

一、为什么 AI 系统需要专用安全模块？

传统安全机制（如操作系统权限、网络加密）在 AI 场景下面临新挑战：

• 模型即资产：训练好的模型具有极高商业价值，需防逆向与复制
• 数据敏感性：医疗影像、人脸信息等输入数据需端到端保护
• 推理完整性：恶意中间人可能篡改推理结果（如将“肿瘤”判为“正常”）
• 硬件级信任根缺失：通用 CPU 安全方案难以适配 NPU 架构

cann-security-module通过硬件信任根 + 软件隔离 + 加密计算三位一体设计，为 CANN 生态提供原生安全能力。

项目地址：https://gitcode.com/cann/cann-security-module

二、CSM 安全架构全景

+----------------------------------+ | Application Layer | ← 用户模型/数据 +----------------------------------+ | CSM Security API (Python/C++) | ← 加密加载、安全推理接口 +----------------------------------+ | Trusted Execution Context | ← 安全飞地（Enclave） | - Encrypted Model Container | | - Secure Input/Output Buffers | +----------------------------------+ | CANN Runtime + Hardware Root | ← 基于 NPU 安全启动的信任链 +----------------------------------+ | NPU Hardware | ← 内置加密引擎、安全存储 +----------------------------------+

核心安全能力：

1.模型加密与授权加载

• 模型以加密容器（.om.enc）形式分发
• 仅当设备通过远程认证（Remote Attestation）后，才解密执行
• 支持按设备 ID、时间、次数等策略授权

2.安全推理飞地（Secure Enclave）

• 在 NPU 内存中划出隔离区域，防止 Host OS 窥探
• 输入数据、中间激活、输出结果全程加密
• 即使物理攻击（如内存 dump）也无法获取明文

3.远程证明（Remote Attestation）

• 向云服务证明“当前推理运行在合法、未篡改的 CANN 环境中”
• 生成包含设备指纹、软件版本、模型哈希的可信报告

4.安全日志与审计

• 所有敏感操作（如模型加载、密钥使用）记录至防篡改日志
• 支持与 SIEM 系统集成

三、实战：部署一个安全的医疗影像诊断模型

场景需求

• 医院本地部署肺癌检测模型
• 模型由第三方 AI 公司提供，需防止被复制
• 患者 CT 影像不得离开医院内网
• 诊断结果需防篡改，满足医疗合规要求

步骤 1：模型加密打包（AI 公司侧）

# 使用 CSM 工具加密 .om 模型cann-security encrypt\--input model/lung_cancer.om\--output model/lung_cancer.om.enc\--policy"device_id=9a3b:8c2d, max_inferences=10000"

生成的.om.enc文件无法在未授权设备上运行。

步骤 2：医院侧安全加载与推理

fromcann_securityimportSecureSession,RemoteAttestation# 1. 发起远程证明（向 AI 公司验证环境合法性）attestation=RemoteAttestation()ifnotattestation.verify():raiseRuntimeError("NPU 环境不可信！")# 2. 创建安全会话session=SecureSession(model_path="lung_cancer.om.enc",enclave_size="2GB"# 隔离内存大小)# 3. 加载加密 CT 影像（假设已通过安全通道传输）withopen("patient_ct.enc","rb")asf:encrypted_image=f.read()# 4. 在飞地中解密并推理result=session.run_secure(encrypted_image)# 5. 获取带数字签名的诊断报告signed_report=session.get_signed_result(result)print("诊断结果（已签名）:",signed報告)

整个过程中，模型明文、患者影像、诊断结果均未暴露给 Host OS。

四、关键技术实现

1.基于硬件的信任根

• 利用 NPU 内置安全启动（Secure Boot）验证固件完整性
• 通过TPM/TEE扩展信任链至 CANN 软件栈

2.内存加密引擎

• NPU 集成 AES-XTS 加密单元，对飞地内存实时加解密
• 密钥由硬件安全模块（HSM）管理，永不暴露

3.最小化攻击面

• 安全飞地仅暴露必要 API
• 禁用调试接口、JTAG 等高危通道

五、性能影响评估

测试模型：ResNet-50，输入 224x224，FP16
数据来源：CANN 安全白皮书（模拟值）

在高敏场景下，15% 的性能代价换取端到端安全保障，是合理且必要的权衡。

六、典型应用场景

1. 金融风控模型

   • 防止反欺诈模型被逆向，保护核心算法

2. 跨境数据协作

   • 多方联合建模时，确保数据“可用不可见”

3. 政府智能监管

   • 确保 AI 审计结果不被篡改，满足等保要求

4. 自动驾驶 OTA

   • 安全更新感知模型，防止恶意注入

七、总结

cann-security-module标志着 CANN 生态从“性能优先”向“安全可信”演进的重要一步。它不再将安全视为外围附加功能，而是深度融入计算、存储、通信的每一个环节，构建起以硬件为锚点的可信执行环境。

在 AI 伦理与法规日益严格的今天，CSM 不仅是一项技术工具，更是企业履行数据责任、构建用户信任的关键基础设施。随着《人工智能法》等法规落地，具备原生安全能力的 AI 软件栈将成为行业标配。

八、延伸资源

• cann-security-module官方仓库
• CANN 安全架构白皮书
• 医疗 AI 安全部署指南
• 远程证明 API 参考

🔒动手建议：在开发板上运行examples/secure_mnist，体验从模型加密到安全推理的完整流程，并尝试用 GDB 附加进程——你将发现无法读取模型内存！

本文基于 CANN 开源项目内容撰写，聚焦 AI 安全技术，不涉及特定硬件品牌宣传。所有安全机制均基于 GitCode 开源实现与公开文档。