Red Hat决定支持新的云原生计算基金会(CNCF)项目。Red Hat在一篇官方博文中指出,他们投资的新项目名为Confidential Containers,属于CNCF支持的机密计算联盟中的一个新型项目。
Confidential Containers,简称“CoCo”,目前刚刚发布了首个0.1.0版本。从极低的版本号就能看出,目前的CoCo属于新生技术,还没有准备好迎接实际应用。此外,它的说明文档也还远称不上完善。
这种在可信执行环境(TEE)中运行容器的思路,多年来已经在大部分处理器架构中得到实现,例如OpenTEE。但也有研究人员发现了回避这种保护机制的方法。
在TEE之内运行全部容器的最大挑战,在于如何限制TEE与主机之间的通信,常规容器是无法轻松实现这种限制的。毕竟容器的本质就是直接在主机之上运行的普通进程内核。
相比之下,如今运行加密虚拟机还更容易些,也有多家厂商在提供硬件支持。包括Google Cloud所使用的AMD SEV,英特尔的同类方案SGX以及新近出现的TDX等。
因此,为了让工作负载能运行在TEE之内但由Kubernetes负责管理,CoCo项目使用了另一项技术Kata Containers。它是由英特尔的ClearContainers与Hyper runV合并而来,而且得到了OpenStack基金会的支持。
根据CoCo项目文档概述,该工具初步支持五种不同的TEE技术,首先是AMD和英特尔工具,外加两种IBM技术:用于POWER服务器的Protected Execution Facility(PEF)和面向z/架构大型机的Secure Execution。
如果这项计划真能成功,那么未来应该会快速支持更多架构——例如Arm的TrustZone,以及RISC-V自己的可信执行环境技术。
可能跟传统本地计算设施打过多年交道的朋友,一时之间理解不了为什么要对自己的虚拟机进行加密。咱们可以换个思路,如果这些虚拟机是运行在其他人的硬件之上并通过网络开放访问,那这种加密就瞬间有了意义。
虽然配套的硬件支持已经部署到位,但真正实现起来仍非易事。如果CoCo项目能尽快把这项功能简化进K8s配置页面或者YAML行中的复选框形式,肯定会受到很多人的欢迎。而且芯片供应商那边应该也会为此拍手叫好,毕竟再轻量化的虚拟机往往也要比容器更耗资源。
好文章,需要你的鼓励
Meta宣布为Facebook Dating推出AI聊天机器人助手,帮助用户找到更匹配的对象。该AI可根据用户需求推荐特定类型的匹配者,并协助优化个人资料。同时推出Meet Cute功能,每周提供算法选择的"惊喜匹配"。尽管18-29岁用户匹配数同比增长10%,但相比Tinder的5000万日活用户仍有差距。AI功能已成为约会应用标配,Match Group等竞争对手也在大力投资AI技术。
中科院深圳先进技术研究院联合中科院大学提出PACS框架,通过将强化学习问题转换为监督学习任务,让大语言模型学会自我监督和评价。该方法在数学推理任务上显著超越现有方法,在AIME 2025测试中成功率达59.78%,比传统方法提升13-14个百分点,为AI推理能力提升开辟了新路径。
Neo4j认为已找到让生成式AI访问图数据库记录的方法。图数据库专注于数据点之间的关系建模和查询,在欺诈检测、推荐引擎等场景中表现出色。2024年4月,ISO批准了图查询语言GQL标准,Neo4j的Cypher查询语言完全符合该标准。现代工具提供拖拽式工作流程,GenAI可作为自然语言接口,将用户请求转换为Cypher查询。
Orange Research团队开发的DivMerge技术实现了AI模型合并的重大突破,通过基于信息论的Jensen-Shannon散度优化,能够将多个专门模型智能组合成保持各自专长的"超级模型"。该技术在双任务合并中达到99.18%性能保持率,显著优于传统88.48%的水平,且在多任务场景下展现更好扩展性,仅需25个样本即可有效工作,为AI应用降本增效提供了新路径。