北大博士休学创业，自研异构计算架构，终结密算低效困局

2026 年初，一个名为 OpenClaw 的 AI Agent 产品在全球范围内迅速走红。它能够自主操作电脑、读取文件、执行任务，被视为 AI 从“对话框”走向“数字员工”的标志性产品。但随之而来的，是一场关于数据安全的集体焦虑。

这场焦虑并非空穴来风。在传统互联网时代，人们大多只将一些无关痛痒的生活碎片分享至微博、朋友圈等公开网络。即便如此，“人肉搜索”和隐私泄露依然是引发公众群体性焦虑的常客。进入 AI 时代以后，用户上传至云端的敏感数据和文件数量呈百倍、千倍级激增。特别是 Agent 的普及，进一步放大了数据安全防线的漏洞——它们深度嵌入用户的电脑或手机，拥有极高的系统权限，随时可能将本地文件和操作记录同步至云端。

在这一背景下，错误使用 AI 可能导致三大后果。职业危机，机密公文或案件卷宗被 AI 意外同步至云端，导致法律与职业道德追责；个人隐私受损，医疗、性取向等高度敏感的私密咨询一旦被恶意检索，将导致社会评价受损及社交关系崩塌；被迫缴纳“隐私税”，用户的消费习惯被算法跨平台精准画像，导致其被迫购买溢价远超市场均价的商品，实质上是在为隐私泄露支付成本。

为了打破“隐私与便利不可兼得”的死局，出生于 2000 年的林修醇按下了博士学业的暂停键创办荆华密算，并联合清华大学任炬教授实验室，共同推进高性能密态计算的商业化落地。目前，该公司已完成种子轮和天使轮累计数千万元人民币的融资。

他们所瞄准的技术路径，是曾被公认为数据安全终极方案的密态计算。

理论上讲，密态计算能让数据在完全不解密的状态下完成计算，数据在流转的每个环节，都处于加密状态。用林修醇的话说：“密态计算拥有最强健的攻击模型，即便数据在传输、存储及计算全过程中遭遇黑客窃取或厂商窥探，甚至数据丢失，也无需担心泄露。因为数据始终处于加密状态，对外界而言如同无法破解的乱码。”

然而，在过去的十年里，它更多是被戏称为一颗“炸不响的哑弹”。原因只有一个：太慢了。由于需要对海量密文进行复杂的运算，会给模型训练带来1,000 到 1 万倍的时间损耗。

“我们做了一个取舍，放弃了 99% 的通用计算能力，只针对 AI 相关的 1% 的算子进行极致优化。”林修醇说道。在历经数年的技术长跑后，他们通过对 AI 计算算子的彻底重构，不仅实现了全面兼容国产异构 GPU，更将密态计算的性能损耗降低了 3-4 个数量级，成功打破了“安全”“效率”与“通用性”难以兼得的行业“不可能三角”，使其真正达到可用水平。

这意味着，密态计算正在逐步商业化落地，成为触手可及的生产力工具。

把传统密态计算损耗从一万倍降到可用水平

为什么数据裸奔了这么久，安全的密态计算却迟迟无法落地？这背后涉及两个关键概念——CPU TEE 和 GPU TEE（可信执行环境）。

在数据安全领域，TEE被视为有效的防线之一。传统的 CPU TEE 虽然安全性可以接受，但面对大模型的海量并行计算时显得力不从心，相比较 GPU速度损耗极大；而 GPU TEE 虽然算力尚可，却因技术不成熟且被海外厂商垄断，长期停留在“看起来很美”的阶段。业界曾陷入两难：要么牺牲性能保安全，要么为了效率放弃加密。

过去，行业的普遍解法是“机密计算”，即通过英伟达 GPU-TEE 这类硬件，在芯片层面创建一个隔离的“安全屋”。但这种方案有两个致命局限：一是技术被绑定在海外显卡上，无法兼容国产厂商；二是安全性由单一海外厂商担保。在林修醇看来，“把信任根寄托于人，本身就是巨大的潜在风险。”

为了兼顾绝对安全与极致效率，荆华密算团队对大模型的计算任务进行了分流。

一方面，将约 95% 的基础运算，交由普通 GPU 进行加密盲算。 团队引入了 OTP（One-time Pad）方案——在数据离开安全区（TEE）之前，系统会使用一次性密钥，将原始数据转化为一堆毫无规律的密文。随后，密文被送入普通 GPU 中快速处理，而密钥始终死死锁在安全区内。计算完成后，结果回传并用原密钥解密还原。在这套流程下，外部 GPU 自始至终只能接触到与随机噪声无异的密文，根本无法窥探任何原始信息。

另一方面，针对剩下 5% 的复杂运算，交由 CPU TEE 进行精准保护。 面对那些难以用纯密码学高效处理的非线性算子，团队直接将其引入防线最坚固的 CPU TEE 中，进行内存级的加密运算，确保核心逻辑滴水不漏。

更关键的是，团队攻克了最容易带来的卡顿难题。他们自研了全新的底层架构（Infra），将这种复杂的异构计算环境进行了极致的流水线化（Pipeline）设计。这使得数据在 CPU 和 GPU 之间流转时如同上了高速公路，不仅将性能损耗压降到了最低，实际的数据吞吐量也远远甩开了传统方法。

最终，团队将性能损耗从万倍降到可用水平的同时，实现了对国产异构 GPU 的全面兼容，同时在确保零精度损耗的前提下，密态计算正式具备了商用级的可用不可见。

在林修醇看来，AI 数据安全问题并非突然出现，而是随着计算范式的跃迁，经历了一场从边缘到内核、从显性到隐性的危险突变，并正在历经着三个时代的演进。

第一个是传统互联网时代，隐私威胁主要体现为基于公开信息的人肉搜索，利用边缘信息推断人的生活轨迹，最后通过诈骗、威胁等手段获利，危害范围相对有限。

第二个是以 Chatbot 为主的（前）大模型时代，用户开始大规模将敏感文件、会议纪要、工作内容上传至公网，安全与效率的两难抉择成为企业和个人用户的普遍困境；

第三个是以 Agent 为主的（后）大模型时代，风险性质发生了根本性变化，Agent 具备自主思考与行动能力，可以在用户完全不知情的情况下，将本地高度敏感的数据带至公网进行推理。

基于对这一趋势的判断，荆华密算推出了两款核心产品：密态推理引擎解决刚需隐私场景下云端大模型的使用问题，特别是针对医疗、法律、科研等极度敏感领域；密态训练引擎则解决数据买卖中的安全隐患，确保数据在训练过程中“租而不售”，防止核心资产被复制。

“我赌 AI 安全问题一定会爆发”

根据 IBM 和安全研究公司波耐蒙研究所联合发布的《2025 年数据泄露成本报告》，全球数据泄露的平均成本为 444 万美元。在泄露数据中，个人身份信息占半数以上，知识产权泄露更是以每条记录 178 美元的代价成为最贵损失。数据泄露生命周期一旦超过 200 天，平均损失将突破 500 万美元。

这种严峻的现状揭示了一个残酷的商业真相：在大模型深度参与业务的今天，数据安全不再是单纯的合规成本，而是决定企业生命周期的核心红线。如何在 AI 加速迭代的浪潮中，守住数据流动的安全底线，已成为全球企业的必答题。

行业对安全的迫切需求，正迅速转化为真实市场动力。“龙虾事件后，市场对我们的需求迅速升温，比预期要快。”林修醇透露，“自四月中旬在大模型上跑通密态计算全流程以来，已有多家机构立项或表达了合作意向，估值翻了一倍。”

他表示，“像‘龙虾’这类超长上下文应用，必须依赖云端满血版大模型才能发挥潜力。用户始终面临两难：端侧模型相对安全但能力受限，云端模型能力强大却存在数据泄露隐患。我们希望提供一个能够安全使用云端大模型的方案。”

在具体的商业落地路径上，荆华密算试图针对不同隐私级别需求构建分层的防护体系。据介绍，面向数据高敏感行业提供高密级的本地化私域部署方案，构建覆盖“输入-推理-输出”全流程的密态计算防护体系；面向开发者与 C 端用户，推出密态推理平台和“龙虾安全卫士”，支持跨平台、多终端即插即用；同时针对高价值私域数据领域，基于密态训练引擎，实现数据真正以密文形式的租赁式出售。首批商业落地场景覆盖政企、金融、医疗、法律、科研等行业。

在采访的最后，谈及对未来的判断时，林修醇语气笃定。“我赌两件事。”他说，“首先，伴随大模型能力的迅猛提升，人工智能将在高隐私需求的刚需场景中加速渗透。其次，若延续当前的使用模式，叠加黑客技术的日益精进，AI安全领域极有可能爆发类似‘熊猫烧香’级别的重大安全灾难。短期而言，这或许尚属随机的概率事件；但从长远演进的视角审视，此类毁灭性事故的发生具有必然性。”他正用一场豪赌，在 AI 安全赛道上稳步前行。

参考链接：

1.https://www.morganlewis.com/de/blogs/sourcingatmorganlewis/2026/04/study-finds-average-cost-of-data-breaches-decreased-globally-in-2025

2.https://www.fxbaogao.com/view?id=5171303