vita-agent：基于机密计算的隐私保护型AI健康助手

VitaDAO开源的vita-agent项目展示了如何在硬件级机密计算环境中部署LLM驱动的健康应用，通过AMD SEV-SNP、HPKE加密和Sigstore可验证供应链，实现用户健康数据的端到端隐私保护。

• 原作者/维护者：VitaDAO
• 来源平台：github
• 原始标题：vita-agent-tinfoil-config
• 原始链接：https://github.com/VitaDAO/vita-agent-tinfoil-config
• 来源发布时间/更新时间：2026-06-14T20:16:17Z

原作者与来源

• 原作者/维护者：VitaDAO
• 来源平台：github
• 原始标题：vita-agent-tinfoil-config
• 原始链接：https://github.com/VitaDAO/vita-agent-tinfoil-config
• 来源发布时间/更新时间：2026-06-14T20:16:17Z 原作者与来源\n\n- 原作者/维护者：VitaDAO\n- 来源平台：GitHub\n- 原始标题：vita-agent-tinfoil-config\n- 原始链接：https://github.com/VitaDAO/vita-agent-tinfoil-config\n- 来源发布时间/更新时间：2026-06-14\n\n项目背景与隐私挑战\n\n在AI驱动的健康应用领域，隐私保护是最核心的挑战之一。用户的健康数据属于高度敏感的个人信息（PHI），传统的云服务架构难以完全保证数据在传输、存储和处理过程中的隐私性。即使服务提供商承诺不滥用数据，用户仍然需要信任云平台的内部人员、基础设施和软件供应链。\n\nVitaDAO的vita-agent项目采用了一种根本不同的方法：利用硬件级机密计算（Confidential Computing）技术，在AMD SEV-SNP安全飞地中运行AI推理，确保即使是服务提供商也无法访问用户的原始数据。这种"可验证隐私"的架构代表了AI健康应用的一个重要发展方向。\n\n机密计算技术栈\n\nvita-agent建立在多层安全技术之上：\n\n硬件层：AMD SEV-SNP\n\nAMD Secure Encrypted Virtualization-Secure Nested Paging（SEV-SNP）提供了硬件级的内存加密和完整性保护。每个飞地（enclave）都有独立的内存加密密钥，主机操作系统和 hypervisor 无法访问飞地内的内存内容。\n\n传输层：HPKE加密\n\n所有LLM推理请求都使用HPKE（Hybrid Public Key Encryption）加密，只有目标飞地能够解密。这意味着：\n\n- 数据在离开用户设备时即被加密\n- 网络中间节点无法解密\n- 只有拥有正确私钥的飞地能够处理请求\n\n存储层：AEAD加密\n\nSupabase中的所有数据行都使用XChaCha20-Poly1305进行AEAD加密，密钥为每个用户独立生成。Supabase管理员只能看到密文，无法访问原始数据。\n\n客户端层：浏览器端DEK\n\n数据加密密钥（DEK）在浏览器端生成，通过HPKE密封到飞地的静态公钥（X-Vita-User-DEK-Sealed请求头），仅在飞地内部打开。这实现了真正的端到端加密。\n\n系统架构设计\n\nvita-agent采用微服务架构，与数据摄取服务分离：\n\nvita-agent（核心AI服务）\n\n运行在Tinfoil飞地中的单一enclave，负责：\n\n- 6个LLM意图处理：通过OpenAI Agents SDK与Tinfoil Inference交互，支持聊天、每日洞察、优化方案、生成方案、补充剂解析、症状建议等场景\n- 长期加密记忆：Active Memory管道配合LLM可调用的工具，实现跨会话的记忆保持\n- Aubrai科学家路由：通过HPKE密封和x402 USDC微支付，将深度研究问题路由到Aubrai服务\n- 人格文档与事实提取：自动从对话中提取用户偏好和健康事实\n- 反馈循环：支持点赞/点踩反馈，持续优化模型输出\n- 按请求RLS：通过转发用户的Supabase JWT实现行级安全，无需在飞地中存储服务级密钥\n\nvita-ingest（独立数据摄取服务）\n\n可穿戴设备和原始实验室PDF/图像解析在独立的vita-ingest飞地中处理。这种分离是刻意的设计：vita-agent的隐私承诺依赖于将数据摄取和私有AI编排保持隔离。\n\n安全防护措施\n\nvita-agent实现了多层防护机制：\n\n跨用户输出防护\n\n系统会阻止任何包含其他用户标识符（UUID、邮箱、字节串、base64密钥）的响应，防止数据泄露。\n\n提供商策略防护\n\n- 运行时防护：拒绝任何非Tinfoil Inference的模型客户端\n- CI防护：在持续集成中通过grep检查，阻止未经批准的provider模块外的AsyncOpenAI(...)调用\n\n网络隔离\n\n只有tinfoil-config.yml中shim.paths列出的路由会被暴露，其他所有路径在反向代理层被阻止。\n\n密钥管理\n\n| 密钥 | 用途 | 安全级别 |\n|-----|------|---------|\n| VITA_AGENT_GHCR_TOKEN | 镜像拉取 | 只读PAT |\n| TINFOIL_API_KEY | LLM调用认证 | 必需 |\n| SUPABASE_URL/ANON_KEY | 按请求RLS客户端 | 匿名角色，RLS范围 |\n| AUBRAI_HPKE_PUBLIC_KEY | Aubrai工具 | 32字节公钥 |\n| X402_WALLET_PRIVATE_KEY | Aubrai微支付 | 最高价值，严格保护 |\n| SENTRY_DSN | 错误监控 | 可选，PHI安全 |\n\n特别值得注意的是，SUPABASE_SERVICE_ROLE_KEY被明确禁止。启动时的boot.py::_validate_storage_config会拒绝任何非空值，除非设置了调试专用的逃生舱口；而STRICT_PROD=1会进一步拒绝该逃生舱口。\n\n可验证供应链\n\nvita-agent-tinfoil-config仓库的核心价值在于提供了独立验证所需的一切：\n\ntinfoil-config.yml\n\n完整的部署清单，包含：\n- 镜像摘要（不可变）\n- 资源限制\n- 密钥名称\n- 暴露的HTTP路径\n\nSigstore证明工作流\n\n.github/workflows/tinfoil-build.yml在每次发布标签上运行，使用Sigstore创建证明包。用户可以通过cosign验证运行中的enclave：\n\nbash\ncosign verify-attestation \\\n --type 'https://slsa.dev/provenance/v1' \\\n --certificate-identity-regexp 'https://github\\.com/VitaDAO/vita-agent-tinfoil-config/' \\\n --certificate-oidc-issuer 'https://token.actions.githubusercontent.com' \\\n ghcr.io/vitadao/vita-agent@sha256:<digest>\n\n\n这实现了供应链的端到端可验证性：从源代码到构建到部署的完整链条都可以被独立审计。\n\n部署流程\n\n部署新版本的标准流程：\n\n1. 在源代码仓库（VitaDAO/vita-agent）等待CI发布新镜像到GHCR\n2. 复制sha256摘要\n3. 编辑tinfoil-config.yml，将新摘要粘贴到containers[0].image\n4. 创建标签并推送\n5. Tinfoil容器可以从签名标签启动\n\n每次发布标签都会创建GitHub预发布版本，附带Sigstore证明包。\n\n与Aubrai的协作\n\nvita-agent与Aubrai enclave是协作关系而非包含关系。Aubrai是一个独立的机密服务，vita-agent通过x402 + HPKE调用它来处理深度研究问题。它们有不同的证明链、不同的Sigstore身份和不同的密钥槽位。\n\n这种设计允许：\n\n- 独立升级和扩展\n- 不同安全域的隔离\n- 微服务架构的灵活性\n\n实际意义与行业影响\n\nvita-agent代表了AI健康应用的一个重要范式转变：\n\n从"信任我们"到"验证我们"\n\n传统模式要求用户信任服务提供商。vita-agent通过硬件级机密计算和可验证供应链，让用户可以独立验证隐私承诺，无需信任任何一方。\n\n隐私与功能的平衡\n\n通过将敏感数据处理（vita-ingest）与AI编排（vita-agent）分离，项目在不牺牲功能的前提下最大化了隐私保护。\n\n开源可审计\n\n整个配置和验证流程开源，任何人都可以审计部署清单、验证镜像、检查工作流。这种透明度对于建立用户信任至关重要。\n\n技术启示\n\n对于正在构建AI驱动敏感数据应用的开发者，vita-agent提供了以下启示：\n\n1. 硬件级机密计算已经成熟：AMD SEV-SNP、Intel TDX、ARM CCA等技术为敏感AI应用提供了可行的基础设施\n2. 端到端加密是可行的：通过HPKE和浏览器端密钥生成，可以实现真正的端到端加密，而非仅传输层加密\n3. 可验证供应链至关重要：Sigstore和SLSA证明让用户能够验证他们运行的代码确实来自声称的来源\n4. 微服务隔离增强安全：将数据摄取和AI处理分离，可以限制潜在泄露的影响范围\n\n总结\n\nvita-agent-tinfoil-config不仅是一个部署配置仓库，更是AI时代隐私保护架构的参考实现。它展示了如何在利用大语言模型强大能力的同时，通过硬件级机密计算、端到端加密和可验证供应链，实现真正的用户数据主权。\n\n对于关注AI隐私、健康科技或机密计算的开发者和研究者，这是一个值得深入研究的案例。