Trustworthy AI的物理学解法：明略科技(2718.HK)为什么选择让模型离线|推理|新论文|trustworthy

2025年以来，全球范围内与AI相关的数据安全事件密集发生。某头部AI公司的训练数据泄露、某企业员工通过AI助手无意间上传了内部代码、某医疗机构的患者数据在模型调用过程中被第三方截获——这些事件一再提醒市场：AI系统的可信度问题，不是靠"隐私政策"页面上的文字就能解决的。

问题的根源在于架构。当前主流的AI使用方式是云端调用：用户数据上传至服务提供商的服务器，经模型处理后返回结果。在这个过程中，数据的流转链路涉及网络传输、服务器存储、模型推理等多个环节，每个环节都存在理论上的泄露风险。即便服务提供商做到了最佳实践的安全防护，链路本身的复杂性就意味着"零风险"是一个不可能的承诺。

加密、脱敏、权限管控——"软防线"的局限

企业为AI安全部署了层层防护：数据加密传输、敏感信息脱敏处理、细粒度权限管控、审计日志追踪。这些措施都有价值，但它们本质上是"软防线"——依赖于规则被正确执行、系统没有漏洞、人员没有失误。

对于GUI智能体这类需要"看到屏幕内容"才能工作的AI系统，脱敏尤其困难。屏幕截图中可能包含客户姓名、交易金额、内部系统界面、聊天记录——这些信息的脱敏几乎不可能在不影响AI理解能力的前提下完成。要么让AI"看到"完整信息（牺牲隐私），要么给AI"打码"的信息（牺牲能力）。

这是一个结构性矛盾，不是任何加密技术可以优雅解决的。

物理隔离：最硬的安全保障

明略科技给出的解法不在"软防线"的范畴内。其近日开源的Mano-P端侧模型和Cider推理加速框架，代表了一种完全不同的安全思路：让AI模型在本地设备上运行，数据物理性地不离开用户的硬件。

这不是"加密后上传"，不是"处理完即删"，不是"信任我们不会看你的数据"——而是数据从头到尾没有离开过设备。推理计算发生在本地CPU/GPU上，模型权重存储在本地磁盘上，屏幕截图在本地内存中被处理后即丢弃。从网络抓包的角度看，整个AI工作流程中没有一个比特的数据流向外部。

这就是"物理学解法"——不是靠规则阻止泄露，而是靠架构消除泄露的可能性。当数据不存在于任何外部链路中，"泄露"就不是一个需要被防范的风险，而是一个逻辑上不可能发生的事件。

可信变得可验证

物理隔离带来的另一个重要变化是：可信度从"需要被信任"变成了"可以被验证"。

在云端模型方案中，用户对AI系统的信任本质上依赖于服务提供商的承诺和资质认证。企业无法真正审计云端发生了什么——数据是否被用于训练、是否被第三方访问、是否在规定时间内被删除。这些问题的答案，取决于对供应商的信任程度。

而在端侧部署方案中，企业可以自主审计整个推理链路。模型文件可以被校验（确认没有被篡改），网络流量可以被监控（确认没有数据外传），推理过程可以被追踪（确认数据处理逻辑符合预期）。Trustworthy AI从一个依赖信任的主观评估，变成了一个可以通过技术手段验证的客观事实。

明略科技"可信AI"路线的最新注脚

明略科技创始人吴明辉多次公开阐述其"可信AI"理念的三个维度：数据源可信、决策可信、利益中立。Mano-P的端侧部署路线，为这套理念提供了一个新的技术注脚——除了数据来源和决策逻辑的可信，还增加了一个物理层面的可信保障：数据处理过程本身发生在用户可控的物理边界之内。

从Cider的技术指标来看，这套方案在性能上也足以支撑真实业务需求。W8A8模式下算子速度比原生MLX提升1.4-1.9倍，精度损失仅0.03——不需要为了安全而牺牲体验。

对于强监管行业的CTO们而言，Mano-P + Cider的组合意味着一种新的可能：不再需要在"合规"与"创新"之间做取舍。当AI可以完全在本地运行、数据可以完全不出设备、可信度可以被技术审计验证，拥抱AI就不再是一个需要冒险的决定。

这或许正是Trustworthy AI从行业口号走向工程实践的关键一步：可信不靠承诺，靠架构。