联邦检索增强生成：在可信执行环境中实现隐私保护的大模型推理

本文介绍了一种结合Flower框架与可信执行环境（TEE）的安全联邦RAG架构，解决跨数据孤岛的知识检索与聚合问题，同时保护数据隐私。核心创新包括本地检索+机密聚合、级联推理机制、基于Flower CRC的机密远程推理，为医疗、金融等敏感领域的隐私保护AI应用提供新思路。

传统RAG假设文档可集中访问，但实际中数据分散在孤岛（因监管、隐私等无法汇聚）。联邦RAG虽解决分散问题，但现有方案存在安全短板：检索结果明文传输，易被服务器泄露。

本研究的核心创新包括三点：1.本地检索与机密聚合结合：客户端本地检索，仅传结果至TEE内服务器聚合；2.级联推理：利用非机密第三方模型生成初步回答作为上下文，增强主模型推理；3.基于Flower CRC的机密远程推理：在加固TEE中运行大模型，保护提示词与上下文。

工作流程：1.服务器（TEE内）广播查询；2.客户端本地检索top-k文档并返回结果；3.服务器用倒数排名融合算法聚合；4.构建增强上下文；5.按推理模式生成回答。

三种推理模式：独立推理（TEE内LLM处理）、级联推理（结合第三方模型辅助回答）、机密推理（Flower CRC中运行大规模LLM）。

实验设置：医疗场景，服务器模型SmolLM 1.7B（CPU），级联第三方模型AWS Nova Micro，机密推理模型Qwen3 235B（Flower CRC的H100），4个客户端文档库（PubMed、StatPearls等），评估基准MIRAGE。

核心发现：级联推理使SmolLM在PubMedQA提升40%、MedQA提升46%；机密推理表现最优；独立推理延迟较高但安全。

可信组件：硬件TEE及远程证明、数据孤岛客户端（不共享原始文档）。

不可信组件：诚实但好奇/被攻破的服务器运营商、网络攻击者（无法破解标准加密）。

范围：假设TEE实现正确，侧信道攻击不在考虑内。

该架构为敏感领域提供新可能：医疗（多医院联合问答不共享患者数据）、金融（跨机构市场分析与风险评估）、企业知识管理（跨部门统一检索系统）。

局限性：聚焦医疗领域，其他领域需验证；第三方模型选择需优化；系统可扩展性待提升。未来方向：拓展应用领域、探索最优第三方模型组合、增强系统扩展性。