本文针对第三方共享加速器基础设施上部署大型基础模型面临的模型窃取风险，提出了一种纯软件的内存混淆框架CloakLM。在现有服务部署中，模型提供者控制虚拟机或裸金属服务栈，但无法控制底层硬件（如主机到GPU互连、加速器结构、相邻基础设施组件），这些组件已被证明可被利用。例如，Hermes通过被动PCIe观察实现无损DNN重建，TunnelS通过驱动级访问以高吞吐量窃取HBM内容而不干扰推理，共租户VM可访问内存映射接口或错误配置的RDMA区域。这些攻击利用ML系统的一个共同特性：模型权重以大型、连续且反复访问的内存区域存储，使得截获的PCIe传输和HBM转储足以揭示模型结构和参数。CloakLM通过三种机制消除这种结构规律性：PCIe流量塑形、层内和层间权重混洗、以及物理HBM页面重映射。授权执行保留有效的虚拟内存布局并带来可忽略的开销，而未授权观察者则看到碎片化和语义不一致的状态。CloakLM集成vLLM和PyTorch，无需硬件改动，并补充了机密计算。在LLaMA和Qwen模型上的分布式推理评估显示，性能接近原生，同时显著增加了对PCIe嗅探和HBM转储攻击的抵抗力，使推理时的模型窃取变得不切实际。该研究适合安全工程师、AI基础设施团队和机密计算研究人员阅读，以了解如何在不依赖硬件信任根的情况下防御模型窃取。