通过硬件共置，TEE 漏洞层出不穷，但这个漏洞将其提升到了一个新的水平，让你能够生成一个虚假的证明报告，使用从生产硬件中提取的密钥在英特尔的最高信任级别进行验证，设置成本约为 1000 美元。以下是详细分析，这也影响到安全的 LLM 推理： 该攻击通过利用英特尔 TDX/SGX 和 AMD SEV-SNP 中的确定性加密来工作。当相同的明文在相同的物理地址上加密两次时，会产生相同的密文。通过观察 DDR5 内存流量，攻击者可以比较加密值并重建秘密，而无需解密任何内容。 这特别具有破坏性的是，他们提取了 PCE 用于认证 QE 密钥的设备特定 PCK。使用这个密钥，你可以伪造 SGX 和 TDX 的证明。伪造的报价即使在没有 TDX 的情况下也能验证。 实际影响是严重的。他们演示了提取 BuilderNet 的以太坊钱包密钥和订单流解密密钥（数百万 MEV 的风险）、Secret Network 的共识种子（解密所有机密交易），并展示了如何 "借用" Nvidia GPU 的证明来伪造机密的 AI 工作负载。 攻击设置的成本低于 1000 美元，使用现成的组件，能够放入一个 17 英寸的公文包中。无需昂贵的实验室设备。公文包在攻击期间甚至不需要打开，还包括一个咖啡杯架。开个玩笑，这对于数据中心渗透来说确实是实用的。 虽然存在缓解措施，但有限且成本高昂。英特尔和 AMD 都认为物理干预超出了他们的威胁模型。唯一的防御是物理安全：摄像头、访问控制，以及信任你的云服务提供商没有被攻破。对于依赖 TEE 证明的服务，你需要深入了解你的受信任硬件实际位于何处。