# vita-agent:基于机密计算的隐私保护型AI健康助手 > VitaDAO开源的vita-agent项目展示了如何在硬件级机密计算环境中部署LLM驱动的健康应用,通过AMD SEV-SNP、HPKE加密和Sigstore可验证供应链,实现用户健康数据的端到端隐私保护。 - 板块: [Openclaw Llm](https://www.zingnex.cn/forum/board/openclaw-llm) - 发布时间: 2026-06-14T20:16:17.000Z - 最近活动: 2026-06-14T20:21:36.127Z - 热度: 118.9 - 关键词: 机密计算, 隐私保护, AMD SEV-SNP, HPKE加密, Sigstore, AI健康, Tinfoil, VitaDAO, 端到端加密, 可验证供应链 - 页面链接: https://www.zingnex.cn/forum/thread/vita-agent-ai - Canonical: https://www.zingnex.cn/forum/thread/vita-agent-ai - Markdown 来源: ingested_event --- ## 原作者与来源 - 原作者/维护者:VitaDAO - 来源平台:github - 原始标题:vita-agent-tinfoil-config - 原始链接:https://github.com/VitaDAO/vita-agent-tinfoil-config - 来源发布时间/更新时间:2026-06-14T20:16:17Z ## 原作者与来源\n\n- 原作者/维护者:VitaDAO\n- 来源平台:GitHub\n- 原始标题:vita-agent-tinfoil-config\n- 原始链接:https://github.com/VitaDAO/vita-agent-tinfoil-config\n- 来源发布时间/更新时间:2026-06-14\n\n## 项目背景与隐私挑战\n\n在AI驱动的健康应用领域,隐私保护是最核心的挑战之一。用户的健康数据属于高度敏感的个人信息(PHI),传统的云服务架构难以完全保证数据在传输、存储和处理过程中的隐私性。即使服务提供商承诺不滥用数据,用户仍然需要信任云平台的内部人员、基础设施和软件供应链。\n\nVitaDAO的vita-agent项目采用了一种根本不同的方法:利用硬件级机密计算(Confidential Computing)技术,在AMD SEV-SNP安全飞地中运行AI推理,确保即使是服务提供商也无法访问用户的原始数据。这种"可验证隐私"的架构代表了AI健康应用的一个重要发展方向。\n\n## 机密计算技术栈\n\nvita-agent建立在多层安全技术之上:\n\n### 硬件层:AMD SEV-SNP\n\nAMD Secure Encrypted Virtualization-Secure Nested Paging(SEV-SNP)提供了硬件级的内存加密和完整性保护。每个飞地(enclave)都有独立的内存加密密钥,主机操作系统和 hypervisor 无法访问飞地内的内存内容。\n\n### 传输层:HPKE加密\n\n所有LLM推理请求都使用HPKE(Hybrid Public Key Encryption)加密,只有目标飞地能够解密。这意味着:\n\n- 数据在离开用户设备时即被加密\n- 网络中间节点无法解密\n- 只有拥有正确私钥的飞地能够处理请求\n\n### 存储层:AEAD加密\n\nSupabase中的所有数据行都使用XChaCha20-Poly1305进行AEAD加密,密钥为每个用户独立生成。Supabase管理员只能看到密文,无法访问原始数据。\n\n### 客户端层:浏览器端DEK\n\n数据加密密钥(DEK)在浏览器端生成,通过HPKE密封到飞地的静态公钥(`X-Vita-User-DEK-Sealed`请求头),仅在飞地内部打开。这实现了真正的端到端加密。\n\n## 系统架构设计\n\nvita-agent采用微服务架构,与数据摄取服务分离:\n\n### vita-agent(核心AI服务)\n\n运行在Tinfoil飞地中的单一enclave,负责:\n\n- **6个LLM意图处理**:通过OpenAI Agents SDK与Tinfoil Inference交互,支持聊天、每日洞察、优化方案、生成方案、补充剂解析、症状建议等场景\n- **长期加密记忆**:Active Memory管道配合LLM可调用的工具,实现跨会话的记忆保持\n- **Aubrai科学家路由**:通过HPKE密封和x402 USDC微支付,将深度研究问题路由到Aubrai服务\n- **人格文档与事实提取**:自动从对话中提取用户偏好和健康事实\n- **反馈循环**:支持点赞/点踩反馈,持续优化模型输出\n- **按请求RLS**:通过转发用户的Supabase JWT实现行级安全,无需在飞地中存储服务级密钥\n\n### vita-ingest(独立数据摄取服务)\n\n可穿戴设备和原始实验室PDF/图像解析在独立的`vita-ingest`飞地中处理。这种分离是刻意的设计:vita-agent的隐私承诺依赖于将数据摄取和私有AI编排保持隔离。\n\n## 安全防护措施\n\nvita-agent实现了多层防护机制:\n\n### 跨用户输出防护\n\n系统会阻止任何包含其他用户标识符(UUID、邮箱、字节串、base64密钥)的响应,防止数据泄露。\n\n### 提供商策略防护\n\n- **运行时防护**:拒绝任何非Tinfoil Inference的模型客户端\n- **CI防护**:在持续集成中通过grep检查,阻止未经批准的provider模块外的`AsyncOpenAI(...)`调用\n\n### 网络隔离\n\n只有`tinfoil-config.yml`中`shim.paths`列出的路由会被暴露,其他所有路径在反向代理层被阻止。\n\n### 密钥管理\n\n| 密钥 | 用途 | 安全级别 |\n|-----|------|---------|\n| VITA_AGENT_GHCR_TOKEN | 镜像拉取 | 只读PAT |\n| TINFOIL_API_KEY | LLM调用认证 | 必需 |\n| SUPABASE_URL/ANON_KEY | 按请求RLS客户端 | 匿名角色,RLS范围 |\n| AUBRAI_HPKE_PUBLIC_KEY | Aubrai工具 | 32字节公钥 |\n| X402_WALLET_PRIVATE_KEY | Aubrai微支付 | 最高价值,严格保护 |\n| SENTRY_DSN | 错误监控 | 可选,PHI安全 |\n\n特别值得注意的是,`SUPABASE_SERVICE_ROLE_KEY`被明确禁止。启动时的`boot.py::_validate_storage_config`会拒绝任何非空值,除非设置了调试专用的逃生舱口;而`STRICT_PROD=1`会进一步拒绝该逃生舱口。\n\n## 可验证供应链\n\nvita-agent-tinfoil-config仓库的核心价值在于提供了独立验证所需的一切:\n\n### tinfoil-config.yml\n\n完整的部署清单,包含:\n- 镜像摘要(不可变)\n- 资源限制\n- 密钥名称\n- 暴露的HTTP路径\n\n### Sigstore证明工作流\n\n`.github/workflows/tinfoil-build.yml`在每次发布标签上运行,使用Sigstore创建证明包。用户可以通过cosign验证运行中的enclave:\n\n```bash\ncosign verify-attestation \\\n --type 'https://slsa.dev/provenance/v1' \\\n --certificate-identity-regexp 'https://github\\.com/VitaDAO/vita-agent-tinfoil-config/' \\\n --certificate-oidc-issuer 'https://token.actions.githubusercontent.com' \\\n ghcr.io/vitadao/vita-agent@sha256:\n```\n\n这实现了供应链的端到端可验证性:从源代码到构建到部署的完整链条都可以被独立审计。\n\n## 部署流程\n\n部署新版本的标准流程:\n\n1. 在源代码仓库(VitaDAO/vita-agent)等待CI发布新镜像到GHCR\n2. 复制sha256摘要\n3. 编辑tinfoil-config.yml,将新摘要粘贴到containers[0].image\n4. 创建标签并推送\n5. Tinfoil容器可以从签名标签启动\n\n每次发布标签都会创建GitHub预发布版本,附带Sigstore证明包。\n\n## 与Aubrai的协作\n\nvita-agent与Aubrai enclave是协作关系而非包含关系。Aubrai是一个独立的机密服务,vita-agent通过x402 + HPKE调用它来处理深度研究问题。它们有不同的证明链、不同的Sigstore身份和不同的密钥槽位。\n\n这种设计允许:\n\n- 独立升级和扩展\n- 不同安全域的隔离\n- 微服务架构的灵活性\n\n## 实际意义与行业影响\n\nvita-agent代表了AI健康应用的一个重要范式转变:\n\n### 从"信任我们"到"验证我们"\n\n传统模式要求用户信任服务提供商。vita-agent通过硬件级机密计算和可验证供应链,让用户可以独立验证隐私承诺,无需信任任何一方。\n\n### 隐私与功能的平衡\n\n通过将敏感数据处理(vita-ingest)与AI编排(vita-agent)分离,项目在不牺牲功能的前提下最大化了隐私保护。\n\n### 开源可审计\n\n整个配置和验证流程开源,任何人都可以审计部署清单、验证镜像、检查工作流。这种透明度对于建立用户信任至关重要。\n\n## 技术启示\n\n对于正在构建AI驱动敏感数据应用的开发者,vita-agent提供了以下启示:\n\n1. **硬件级机密计算已经成熟**:AMD SEV-SNP、Intel TDX、ARM CCA等技术为敏感AI应用提供了可行的基础设施\n2. **端到端加密是可行的**:通过HPKE和浏览器端密钥生成,可以实现真正的端到端加密,而非仅传输层加密\n3. **可验证供应链至关重要**:Sigstore和SLSA证明让用户能够验证他们运行的代码确实来自声称的来源\n4. **微服务隔离增强安全**:将数据摄取和AI处理分离,可以限制潜在泄露的影响范围\n\n## 总结\n\nvita-agent-tinfoil-config不仅是一个部署配置仓库,更是AI时代隐私保护架构的参考实现。它展示了如何在利用大语言模型强大能力的同时,通过硬件级机密计算、端到端加密和可验证供应链,实现真正的用户数据主权。\n\n对于关注AI隐私、健康科技或机密计算的开发者和研究者,这是一个值得深入研究的案例。