本文针对在可信执行环境（TEE，如 Intel SGX）中安全使用遗留代码实现可信代码的问题展开研究。遗留代码通常假设操作系统存在，因此容易遭受 Iago 攻击——一种通过伪造系统调用返回值来劫持程序行为的攻击。作者发现，并非所有遗留代码都易受此类攻击，只有那些以不安全方式使用系统调用返回值的代码才存在 Iago 漏洞。论文的核心贡献在于提出了一种名为 Emilia 的机制，用于在遗留代码中自动检测和防御 Iago 攻击。具体方法是通过静态分析识别代码中不安全使用系统调用返回值的模式，并在运行时施加保护。实验证明，Emilia 能够有效识别漏洞，且性能开销较低。该工作为在 TEE 中安全复用遗留代码提供了新的思路，对系统安全研究者和 TEE 应用开发者具有参考价值。

该论文针对云推理服务（CIS）中用户请求包含大量个人敏感或企业机密信息，而现有保护方案（如苹果的PCC、谷歌的Private AI Compute）依赖专有硬件和封闭生态系统，难以被其他厂商采纳的问题，提出了OpenPCC：一个基于商用可信执行环境（TEE）的开放且机密的LLM服务框架。论文首先分析了构建安全、开放CIS的基本需求，然后设计了OpenPCC架构，该架构利用商用的Intel SGX或AMD SEV等TEE硬件，在不依赖专有硬件的前提下实现机密性保护。作者实现了开源原型，并在Llama-3 8B vLLM负载上进行了端到端评估，分离了OpenPCC自身开销与底层TEE硬件开销。分析和评估证明了系统的可行性和安全性。论文适合云安全研究人员、LLM服务提供商和隐私工程师阅读。

本文针对跨组织协作计算中，参与方需要处理敏感数据和专有代码但不愿将其暴露给不可信基础设施或其他参与者的难题，提出了一种名为双向机密虚拟机（2cVM）的双层架构。该架构将硬件可信执行环境（TEE）与工作负载内隔离层相结合。与普通机密虚拟机（CVM）不同，2cVM 强制执行共存工作负载之间的相互隔离，确保各参与方对自己的数据和代码保持控制。2cVM 中所有计算受一份“承诺清单”约束，该清单枚举了参与方、组件组成、允许的数据通道以及授权输出；清单被锁定在虚拟机中并纳入远程证明证据，使得策略在虚拟机整个生命周期内不可变且可独立验证。概念验证实现结合了 AMD SEV-SNP 提供的硬件保护与 WebAssembly 组件模型提供的细粒度沙箱隔离。在商用硬件上针对四类基准测试的评估表明，两层隔离的开销并非线性叠加：一旦工作负载在 WebAssembly 沙箱内执行，启用硬件内存保护的边际成本很小。开销取决于工作负载，主要由内存访问模式决定，从顺序访问的几乎可忽略到不规则指针追逐访问的大约 2 倍。这些结果表明，2cVM 为隐私保护的协作计算提供了实用且可验证的基础。

本文提出 EnclaveScale，一种分布式硬件辅助遥测架构，旨在解决数据中心电源遥测中传感器数据伪造和隐私泄露问题。现有加密技术对高频率（如10 Hz）流式数据扩展性差，且无法认证数据源，允许恶意主机注入虚假传感器输入。EnclaveScale 利用 Intel DCAP 远程认证、差分隐私噪声注入和拜占庭拒绝机制，构建了一个提取后（post-extraction）验证流水线。该架构在32个 GCP 机密虚拟机（Confidential VMs）上实现，达到0%的提取后攻击成功率。此外，为了缓解数据摄取前的漏洞，提出了基于 SPDM（Security Protocol and Data Model）认证的第一英里层。在全局聚合阶段，全局聚合飞地（Global Aggregation Enclave）在容量加权聚合前验证所有加密证明。实验评估显示，每个飞地的稳态吞吐量达131,406样本/秒，认证开销摊销至0.23微秒/样本。在基于 NVML 采样的 H100、A100 和 L4 真实轨迹上，EnclaveScale 的动态编排边际误差为1.3 MW，而诚实聚合器的中心差分隐私基线误差为0.1 MW。该架构为多租户动态电源编排提供了安全基础，通过边缘差分隐私在局部混淆亚秒级异常，并通过全局聚合时的空间稀释保护宏观工作负载的机密性。本文主要贡献包括：首次提出结合硬件辅助飞地与边缘差分隐私的电源遥测框架；设计并实现了提取后验证与拜占庭拒绝机制；通过实验证明了高吞吐、低开销和强大的安全保证。

本文对三星移动设备中基于 TrustZone 的密钥管理员组件（Keymaster）进行了深入的安全分析。研究团队通过逆向工程和代码审计，系统性地评估了 Keymaster 的设计与实现，发现其存在若干安全缺陷，包括但不限于：密钥存储与隔离的不足、授权验证机制中的逻辑错误、以及硬件与软件交互接口的信任模型薄弱。这些漏洞可能导致攻击者利用特权或本地代码执行从 TrustZone 安全世界提取或滥用机密密钥。论文详细描述了攻击者如何在特定条件下绕过 Keymaster 的安全保护，窃取设备加密密钥、数字签名密钥或 DRM 密钥。实验在多个三星 Galaxy 设备上进行，验证了攻击的可行性。研究还讨论了此类缺陷对 OEM 设备安全供应链的影响，并提出了针对性的硬件/软件设计改进建议及检测方法。该工作对理解商用移动设备中硬件安全模块（TEE）的实际安全状况具有重要参考价值，并揭示了即使经过广泛商用的安全实现也可能存在根本性的设计盲区。

本文研究了ORAM（遗忘随机存储器）的批量加载问题，即如何高效地将大量数据快速构建成ORAM结构。ORAM是一种重要的密码学原语，用于保护数据访问模式不被泄露。近年来，随着ORAM协议的理论改进以及基于硬件的可信执行环境（TEE）的引入，ORAM在实际安全系统中开始被采用。然而，现有ORAM协议的批量加载过程效率低下，理论复杂度高达O(N log^3 N)，严重制约了其在安全云系统中的应用场景，如数据恢复、布局转换和查询处理。为此，本文提出了BULKOR协议，该协议基于当前最先进的Path ORAM协议进行了扩展。BULKOR支持在不信任服务器上部署TEE，并满足双重遗忘要求，以缓解现代TEE中的侧信道问题。BULKOR将批量加载的理论复杂度从O(N log^3 N)降低到O(N log^2 N)，并在实际性能上取得了显著提升。实验表明，在多种设置下（包括硬盘和内存中实现ORAM），BULKOR相比基线设计Oblix和ZeroTrace分别实现了8.7倍至54.6倍和5.8倍至533.1倍的性能提升，且不牺牲安全性。本文的主要贡献包括：提出了一种适用于TEE的批量加载ORAM协议，优化了理论复杂度，并通过大量实验验证了实际性能优势。适合对ORAM、TEE安全以及云存储安全感兴趣的研究人员阅读。

本文针对低端边缘设备上部署深度神经网络（DNN）推理时面临的两个关键挑战：模型机密性保护（防止被受损的边缘系统窃取）和可验证推理（确保推理结果正确且未被篡改）。现有方案要么将部分模型和推理软件置于可信执行环境（TEE）中，导致高成本和依赖于应用的受信任计算基（TCB）；要么在不可信环境中执行，安全性很低。为此，作者提出VECODI框架，其核心是SHANGRI-LA——一种基于TrustZone-M TEE的新执行抽象，创建一个权限严格介于安全世界和非安全世界之间的第三运行时环境。VECODI利用SHANGRI-LA在非安全世界中执行不可信的推理代码，同时借助最小化的与应用无关的安全世界支持来保护模型机密性并实现推理结果的可验证性（包括推理代码和模型参数的正确执行）。作者在真实NUCLEO-L552ZE-Q开发板上实现了VECODI并开源了原型。实验结果表明，VECODI具有较小的TCB、内存占用和运行时开销，使其成为低端边缘设备上安全推理的实用选择。该工作为资源受限设备上的隐私保护推理提供了新思路，适合对TEE、边缘AI安全感兴趣的研究者和工程师阅读。

本文提出了一种名为POSE（Practical Off-chain Smart Contract Execution）的实用链下智能合约执行协议。当前，以太坊等区块链平台的智能合约执行成本高昂，尤其是Gas费用飙升，使得复杂应用难以部署。现有的链下解决方案存在区块链交互成本高、数据隐私缺乏、质押资本大量锁定或仅支持有限应用等缺陷。POSE通过利用可信执行环境（TEE）池来高效执行计算，并能快速从意外或恶意故障中恢复。该协议在大量参与者被攻陷的情况下仍能提供强安全保证。作者实现了概念验证系统，并评估了其效率和有效性。该工作主要面向区块链、智能合约及可信计算领域的研究人员和开发者。

本文提出了一种名为 TeeDAO 的三层框架，旨在通过异构可信执行环境（TEE）构建分布式信任系统，解决单一 TEE 带来的单点攻击以及集中管理、自适应移动对手带来的安全威胁。TeeDAO 结合了 BFT 排序治理与异构感知的分布式主动秘密共享（DPSS）和安全多方计算（MPC），使得基于远程证明的委员会变更能够一致地反映在秘密恢复、重新共享和跨动态异构 TEE 委员会的计算中。研究团队将 COBRA 的 DPSS 方案与 HotStuff BFT 共识协议集成，并适配了 Intel SGX、TDX 和 Hygon CSV 三种 TEE 硬件架构。实验结果表明，在包含 61 个节点的大规模集群中，与现有系统相比，TeeDAO 的键值存储吞吐量提升高达 1.8 倍，且自治管理高效，多方计算任务的计算开销低于 18%。该框架为在异构 TEE 环境中实现长期可用性、完整性和保密性提供了新的技术路径。

本文针对基于可信执行环境（TEE）的联邦学习聚合协议中的安全漏洞进行了研究。作者首先分析了现有协议，发现服务器端攻击者可以利用TEE的局限性，即状态回滚和I/O操纵，通过操纵客户端选择和重放聚合来破坏系统的鲁棒性和隐私性。为了解决这些问题，本文提出了DIST-FL，一种由多个TEE保护的分布式服务器系统，这些TEE形成一个仅追加账本，用于实现隐私保护和鲁棒的联邦学习聚合。具体而言，DIST-FL通过确保操作线性化来防止状态回滚攻击，并通过纳入来自可靠服务器的输入来缓解I/O操纵威胁。作者在广域网（WAN）环境中实现了DIST-FL并进行了评估。实验结果表明，DIST-FL能够有效抵御所提出的攻击，并且在利用TEE计算优势的同时，其性能与单TEE方案相当，但吞吐量比同类方案提升了6倍。该研究为联邦学习安全聚合提供了新的思路，适合联邦学习、系统安全、隐私保护领域的研究人员和工程师阅读。

本文实证研究了在Intel SGX2安全区内运行Arrow-native DataFrame引擎Polars的性能特性。作者使用Gramine作为LibOS，在TPC-H SF30基准测试集（约22-73 GB）和Azure Blob Storage环境下，测量了端到端、仅查询和表加载三种性能开销。实验发现，端到端开销相对稳定在1.49-1.56倍，但分解后显示：仅查询开销从1.51-1.52倍下降至1.43-1.44倍，而表加载开销则从2.27倍上升至4.07倍，说明数据摄入是主要瓶颈。查询级分析显示，中位数SGX减速为1.45倍，最大2.57倍，部分查询因状态性EPC压力出现运行时间剧烈波动。此外，比较了Polars的惰性（lazy）与急切（eager）两种API，惰性执行整体快2.25-2.27倍，而急切执行在41 GB及以上时因内存不足失败。与近期DuckDB-SGX2研究对比，结果表明SGX2支持Arrow-native分析处理的额外开销与SQL引擎相当，但加载路径放大和API级优化是影响端到端性能的主要因素。该研究为机密分析工作负载在TEE中的部署提供了定量参考。

本文提出EBCC（Enclave-Backed Confidential Containers），一种兼容OCI（Open Container Initiative）的运行时架构，旨在将机密计算工作负载无缝集成到标准容器生命周期管理中。现有机密容器系统通常依赖虚拟机后端或特定TEE的执行基板，导致机密执行与常规OCI运行时生命周期分离，增加了部署和管理的复杂性。EBCC将REE（富执行环境）侧的锚点和TEE（可信执行环境）侧的机密阶段视为一个单一的容器化机密计算复合体，保留标准OCI生命周期操作（如创建、启动、停止、删除），并将TEE特定执行逻辑封装在后端适配器之后。它维护每个实例的持久状态和每个阶段的工件，用于请求处理、响应生成、日志记录和证据绑定。作者在Keystone TEE后端上实现了EBCC原型，并评估了其正确性、性能、内存占用和并发行为。结果显示，EBCC相比原生Keystone执行引入了额外延迟，主要来自生命周期中介、请求验证、EID分配、后端分发和工件持久化，但额外开销集中在主机端管理状态。跨TEE案例研究（SGX、TDX、OP-TEE）表明，相同的生命周期和阶段抽象可以映射到enclave风格、VM风格和嵌入式风格的TEE。这些结果表明EBCC能够使基于TEE的执行通过OCI风格的生命周期进行管理，而不会显著扩大受保护侧的TCB（可信计算基）。

本文提出BOLT，一种基于高带宽内存（HBM）加速器的带宽优化的轻量级Oblivious Map（OMAP）硬件加速方案。传统OMAP通过随机重映射和最坏情况填充来隐藏访问模式，但开销极大。作者指出，现代HBM加速器将内存通道与处理器核心封装在同一物理封装内，使得物理攻击者也难以窃听HBM；通过适当的隔离，HBM可变为不可观测区域，隐藏数据和内存轨迹。基于此，BOLT重新设计了OMAP，首次实现了O(1)+O(log_2(log_2(N)))的带宽开销。其三个关键创新为：(i) 利用隔离HBM作为不可观测缓存，加速对大型主机存储的 oblivious 访问；(ii) 自托管架构，将执行和内存控制从CPU卸载，减少CPU侧泄漏；(iii) 定制算法-架构协同设计，最大化资源效率。在Xilinx U55C FPGA上的原型评估显示，相比现有最先进OMAP（包括Facebook的工业实现），BOLT在初始化和查询时间上分别实现了高达279倍和480倍的加速。该工作为安全云计算中的访问模式隐藏提供了高性能硬件解决方案。

该论文提出 MyTEE，一种在嵌入式设备上构建可信执行环境（TEE）的方案，其核心假设是大部分 ARM TrustZone 硬件扩展（如 TZASC、TZMA、TZPC、IOMMU）均不可用。为克服缺乏硬件内存隔离、DMA 防护和安全 IO 通道的问题，MyTEE 采用以下关键技术：1）内存隔离：利用 stage-2 页表（扩展页表）将 TEE 与非可信的操作系统（REE）隔离，并确保 hypervisor 自身的页表不映射 TEE 且不可修改，以防止特权提升攻击。2）DMA 防护：实现一个 DMA 过滤器，该过滤器拦截、验证并模拟所有对 DMA 控制器的内存映射 IO（MMIO）访问，从而阻止恶意 DMA 攻击。3）安全 IO：将设备驱动的大部分逻辑保留在非可信 OS 中，仅将外围设备输出缓冲区和控制器 MMIO 区域通过 stage-2 页表保护，同时将设备驱动的部分代码块提升至 hypervisor 权限，使其能访问受保护对象并记录事务日志，供后续可信应用（TA）验证。这种方式避免了在 TEE 内完整移植设备驱动所带来的新攻击面。MyTEE 的原型在树莓派 3 开发板（基于 Broadcom BCM2837 SoC，不支持 TrustZone 扩展）上实现，并成功演示了与硬件 TPM、帧缓冲和 USB 键盘的安全 IO 通信。实验表明，即便在缺乏硬件安全原语的最差环境中，MyTEE 仍能有效提供 TEE 所需的内存隔离、DMA 防护和安全 IO 通道。该工作适合嵌入式安全研究人员、IoT 设备开发者以及关注 TEE 底层机制的工程师阅读。

该论文研究了如何利用大语言模型（LLM）自动为代码添加注释，以确定可信执行环境（TEE）的边界。在TEE开发中，正确识别和标记边界代码至关重要，但传统上依赖人工手动注释，不仅耗时且容易出错。作者提出了一种自动化框架，通过微调LLM来理解代码语义，自动生成符合TEE规范的安全注释。实验在多个开源TEE项目上进行，评估了注释的准确性和完整性。结果表明，该方法能显著减少人工标注工作量，同时保持较高的正确率，为TEE的自动化安全分析提供了新思路。

本论文是一篇关于加速器可信执行环境（TEE）设计的系统化知识（SoK）综述。随着人工智能、大数据等计算密集型应用的普及，GPU、TPU、FPGA 等加速器被广泛部署，但其安全性面临严峻挑战，尤其是来自云环境中的恶意管理员或特权软件的攻击。可信执行环境（TEE）是一种有前景的防御技术，通过硬件隔离为敏感计算提供机密性和完整性保护。然而，将 TEE 扩展到加速器领域面临诸多独特挑战，如内存一致性、DMA 攻击面、侧信道泄漏等。本文对现有加速器 TEE 设计进行了全面调查和分类，提出了一个统一的分类框架，涵盖架构设计、安全模型、信任根、内存保护、数据流隔离等关键维度。作者分析了超过 20 种代表性方案（如 Graviton、HIX、ReDACT、TPM-based 方案等），并对比了它们在安全属性、性能开销、硬件修改需求等方面的权衡。此外，论文还讨论了加速器 TEE 的威胁模型、认证机制以及针对侧信道的防御措施。最后，论文总结了当前研究的空白和未来方向，包括异构内存管理、可编程硬件支持、多租户隔离等。本文旨在为硬件安全研究人员、系统设计者和云服务提供商提供系统化的知识参考，帮助理解加速器 TEE 的设计空间和挑战。

该论文提出了Pallas和Aegis两种机制，旨在解决基于可信执行环境（TEE）的区块链共识协议中的回滚攻击问题。在TEE辅助的区块链系统中，恶意节点可能通过回滚TEE的持久状态来破坏共识的安全性。Pallas是一种预防性方案，通过在TEE内部维护不可篡改的计数器并强制执行单调递增的序列号，防止状态回滚。Aegis则是一种检测性方案，利用轻量级证明来验证TEE状态的连续性，从而发现回滚行为。实验表明，这两种机制在保证安全性的同时，仅引入可接受的性能开销，适用于现有的TEE平台（如Intel SGX）。该研究为TEE与区块链结合提供了重要的安全加固手段，特别适用于对共识完整性要求极高的场景。

该论文研究了在 Intel SGX（Software Guard Extensions）安全飞地中部署深度神经网络（DNN）模型时，攻击者如何通过侧信道攻击泄露模型架构的隐私问题。Intel SGX 旨在保护飞地内代码和数据的机密性，但先前的研究表明，攻击者可通过观察内存访问模式或执行时间等侧信道信息来推断模型结构。本文提出了一种名为“DNN Latency Sequencing”的新型攻击方法，利用单步执行（single-stepping）技术来精确测量每条指令的执行延迟，从而推断出 DNN 的层类型、层顺序、卷积核大小、通道数等架构参数。攻击者通过在操作系统级别控制时间片或利用调试机制实现单步执行，并记录每个操作的时间戳。由于不同层（如卷积层、池化层、全连接层）的计算模式导致指令序列的延迟特征不同，攻击者可以使用机器学习分类器对延迟序列进行匹配，从而重建出完整的神经网络架构。实验在多个主流 DNN 模型（如 VGG、ResNet 等）上进行，结果表明该方法能够以高准确率（平均超过90%）提取模型架构，即使飞地内采取了简单的防护措施。论文还讨论了针对该攻击的潜在防御方案，如引入随机延迟或使用恒定时间实现，但指出这些方案可能带来显著的性能开销。该研究强调了在可信执行环境中保护 DNN 模型架构面临的挑战，为安全社区提供了新的攻击视角和防御思路。适合关注深度学习安全、侧信道攻击及可信执行环境的从业人员阅读。

本文针对机密虚拟机（Confidential VMs）中的隐私应用，提出了一种侧信道分析方法 SNPeek。侧信道攻击能够利用物理或逻辑侧信道泄漏敏感信息，对机密计算环境构成威胁。文章可能分析了在可信执行环境（TEE）中运行的隐私保护应用（如数据聚合、机器学习推理）如何受到缓存时序、功耗或电磁等侧信道的影响。由于未提供完整摘要，具体方法细节、实验设置和攻击效果未知。作者团队包括多位安全与隐私领域专家，研究方向涵盖侧信道、机密计算和差分隐私。本文适合对机密虚拟机安全性、侧信道攻击与防御感兴趣的读者进一步查阅。

本文是一篇关于机密计算（Confidential Computing, CC）如何保障自主AI代理系统安全的综述。随着LLM驱动的代理系统（如基于MCP和A2A协议进行规划、调用工具、维持持久内存以及委托任务的系统）的兴起，其暴露的攻击面显著不同于独立的模型推理。这类代理积累敏感上下文、持有凭证，并在多方不完全控制的流水线上运行，从而面临提示注入、上下文窃取、凭证盗取以及代理间消息投毒等威胁。当前防御完全在软件栈内实现，容易被具有足够特权的攻击者（如被攻陷的云运营商）静默绕过。机密计算提供了一种基于硬件的替代方案：可信执行环境（TEE）将代理代码和数据与特权系统软件隔离，远程证明则能在分布式部署中建立可验证的信任。本综述从四个部分综合设计空间：（i）对六种TEE平台（Intel SGX、Intel TDX、AMD SEV-SNP、ARM TrustZone、ARM CCA和NVIDIA H100 CC）的统一分类，涵盖部署角色和性能权衡；（ii）一个以代理为中心的威胁模型，涵盖感知、规划、记忆、行动和协调层，映射到九个安全目标；（iii）对基于CC的防御的对比调查，区分了从单次调用推理中迁移的发现与需要全新代理设计的发现；（iv）六个开放挑战，包括多跳代理链的复合证明以及LLM规模的GPU-TEE性能。尽管多个硬件信任基元在针对性部署中已足够成熟，但尚未有广泛建立的端到端框架将它们绑定为生产级代理AI的连贯安全基座。本文适合AI安全研究人员、系统架构师和云基础设施开发者阅读。

这篇论文针对公共机构在资助评审中引入大语言模型（LLM）作为决策辅助工具时面临的治理难题：模型和评分标准不能暴露给申请人以防他们针对优化，但评审过程必须可审计、可质疑且可问责。作者提出了一种基于可信执行环境（TEE）的架构，通过远程证明技术协调上述矛盾。该架构允许外部验证者检查使用的模型、评分规则、提示模板和输入表示，同时不向申请人或基础设施操作者暴露模型权重、专有评分逻辑或中间推理过程。核心成果是“经证明的评审包（attested evaluation bundle）”：一个包含签名和时间戳的记录，关联原始提交哈希、规范化输入哈希、模型与评分规则度量以及评审输出。论文还考虑了场景特定的提示注入风险：申请人控制的文档可能包含隐藏指令影响LLM评估。为此，论文设计了规范化和净化层，用于标准化文档表示并在推理前记录可疑变换。作者将设计置于机密AI推理、可证明AI审计、零知识机器学习、算法问责制和AI辅助同行评议的背景下进行定位。论文的声明刻意狭窄：远程证明不能证明评审是公平或科学正确的，但可以使评审过程的部分环节变得外部可验证。

这篇论文研究了在低功耗微控制器（例如ARM TrustZone-M）上，实时操作系统（RTOS）的时间保持与可信执行环境（TEE）之间的冲突问题。在TrustZone-M架构中，安全世界和非安全世界共享中断控制器等资源。通常，非安全子系统运行RTOS和实时应用，而安全子系统运行预定义的安全操作（如加密），称为可信计算服务。许多RTOS依赖周期性中断（SysTick）来推进其时间概念，这对于维护实时行为至关重要。然而，某些可信计算服务的安全性要求相对于非安全子系统（RTOS所在侧）具有原子性，这需要禁用中断以防止被非安全世界打断，从而阻止了SysTick的处理。这导致RTOS丢失时钟滴答，时间感知出现偏差，破坏实时行为。本文首先刻画了这一冲突，然后提出了一种安全驱动的同步机制：安全世界测量经过的时间，并在重新启用中断并恢复非安全系统执行之前，通过无侵入地更新RTOS的时间保持数据结构（补偿错过的滴答数）来补偿非安全RTOS。该方法恢复了跨世界的一致、单调的时间概念，使得可信计算服务与RTOS能够在微控制器上安全共存。重要地，该方法无需修改底层RTOS，且不引入显著的运行时开销。作者通过实验验证了其有效性。

该论文针对审计专有数据语义属性时的隐私与透明矛盾，提出了一种名为“Agentic Witnessing”的框架。传统方法如零知识证明（ZKP）适用于精确代数约束，但难以验证定性、非结构化属性（如代码库中的逻辑）。该框架将验证从可证明执行扩展到可证明推理，由验证者、证明者和审计者三个智能体组成。验证者被允许提出有限数量的简单布尔问题（真/假），审计者（基于大型语言模型LLM）运行在可信执行环境（TEE）中，通过模型上下文协议（MCP）动态检查证明者的私有数据集，产生是/否结论并附加密审计记录：一条签名哈希链，将推理轨迹绑定到原始数据集和TEE的硬件信任根。论文在21篇同行评审计算机科学论文的GitHub代码库上演示了自动化工件评估，例如验证代码库是否实现了论文描述的系统。将源代码视为私有数据，验证了对应出版物中描述的五项高层属性。实验表明，这一TEE驱动的智能体审计机制能有效实现隐私保护监督，将定性验证与数据披露需求解耦。