北大博士休学创业，自研异构计算架构，终结密算低效困局

2026 年初，一个名为 OpenClaw 的 AI Agent 产品在全球范围内迅速走红。它能够自主操作电脑、读取文件、执行任务，被视为 AI 从“对话框”走向“数字员工”的标志性产品。但随之而来的，是一场关于数据安全的集体焦虑。 这场焦虑并非空穴来风。在传统互联网时代，人们大多只将一些无关痛痒的生活碎片分享至微博、朋友圈等公开网络。即便如此，“人肉搜索”和隐私泄露依然是引发公众群体性焦虑的常客。进入 AI 时代以后，用户上传至云端的敏感数据和文件数量呈百倍、千倍级激增。特别是 Agent 的普及，进一步放大了数据安全防线的漏洞——它们深度嵌入用户的电脑或手机，拥有极高的系统权限，随时可能将本地文件和操作记录同步至云端。 在这一背景下，错误使用 AI 可能导致三大后果。职业危机，机密公文或案件卷宗被 AI 意外同步至云端，导致法律与职业道德追责；个人隐私受损，医疗、性取向等高度敏感的私密咨询一旦被恶意检索，将导致社会评价受损及社交关系崩塌；被迫缴纳“隐私税”，用户的消费习惯被算法跨平台精准画像，导致其被迫购买溢价远超市场均价的商品，实质上是在为隐私泄露支付成本。 为了打破“隐私与便利不可兼得”的死局，出生于 2000 年的林修醇按下了博士学业的暂停键创办荆华密算，并联合清华大学任炬教授实验室，共同推进高性能密态计算的商业化落地。目前，该公司已完成种子轮和天使轮累计数千万元人民币的融资。 他们所瞄准的技术路径，是曾被公认为数据安全终极方案的密态计算。 理论上讲，密态计算能让数据在完全不解密的状态下完成计算，数据在流转的每个环节，都处于加密状态。用林修醇的话说：“密态计算拥有最强健的攻击模型，即便数据在传输、存储及计算全过程中遭遇黑客窃取或厂商窥探，甚至数据丢失，也无需担心泄露。因为数据始终处于加密状态，对外界而言如同无法破解的乱码。” 然而，在过去的十年里，它更多是被戏称为一颗“炸不响的哑弹”。原因只有一个：太慢了。由于需要对海量密文进行复杂的运算，会给模型训练带来1,000 到 1 万倍的时间损耗。 “我们做了一个取舍，放弃了 99% 的通用计算能力，只针对 AI 相关的 1% 的算子进行极致优化。”林修醇说道。在历经数年的技术长跑后，他们通过对 AI 计算算子的彻底重构，不仅实现了全面兼容国产异构 GPU，更将密态计算的性能损耗降低了 3-4 个数量级，成功打破了“安全”“效率”与“通用性”难以兼得的行业“不可能三角”，使其真正达到可用水平。 这意味着，密态计算正在逐步商业化落地，成为触手可及的生产力工具。 把传统密态计算损耗从一万倍降到可用水平 为什么数据裸奔了这么久，安全的密态计算却迟迟无法落地？这背后涉及两个关键概念——CPU TEE 和 GPU TEE（可信执行环境）。 在数据安全领域，TEE被视为有效的防线之一。传统的 CPU TEE 虽然安全性可以接受，但面对大模型的海量并行计算时显得力不从心，相比较 GPU速度损耗极大；而 GPU TEE 虽然算力尚可，却因技术不成熟且被海外厂商垄断，长期停留在“看起来很美”的阶段。业界曾陷入两难：要么牺牲性能保安全，要么为了效率放弃加密。 过去，行业的普遍解法是“机密计算”，即通过英伟达 GPU-TEE 这类硬件，在芯片层面创建一个隔离的“安全屋”。但这种方案有两个致命局限：一是技术被绑定在海外显卡上，无法兼容国产厂商；二是安全性由单一海外厂商担保。在林修醇看来，“把信任根寄托于人，本身就是巨大的潜在风险。” 为了兼顾绝对安全与极致效率，荆华密算团队对大模型的计算任务进行了分流。 一方面，将约 95% 的基础运算，交由普通 GPU 进行加密盲算。 团队引入了 OTP（One-time Pad）方案——在数据离开安全区（TEE）之前，系统会使用一次性密钥，将原始数据转化为一堆毫无规律的密文。随后，密文被送入普通 GPU 中快速处理，而密钥始终死死锁在安全区内。计算完成后，结果回传并用原密钥解密还原。在这套流程下，外部 GPU 自始至终只能接触到与随机噪声无异的密文，根本无法窥探任何原始信息。 另一方面，针对剩下 5% 的复杂运算，交由 CPU TEE 进行精准保护。 面对那些难以用纯密码学高效处理的非线性算子，团队直接将其引入防线最坚固的 CPU TEE 中，进行内存级的加密运算，确保核心逻辑滴水不漏。 更关键的是，团队攻克了最容易带来的卡顿难题。他们自研了全新的底层架构（Infra），将这种复杂的异构计算环境进行了极致的流水线化（Pipeline）设计。这使得数据在 CPU 和 GPU 之间流转时如同上了高速公路，不仅将性能损耗压降到了最低，实际的数据吞吐量也远远甩开了传统方法。 最终，团队将性能损耗从万倍降到可用水平的同时，实现了对国产异构 GPU 的全面兼容，同时在确保