这两年，河南平顶山果农李朝阳在自家地里种起了日本引进的白草莓，不仅能供货给大超市，还能顺道做旅游开发。

几年前，由于奶奶离世的原因，在广东卖了7年糖葫芦的李东旭回到山东临沂老家种起了山楂和桃子。他还把水果搬进直播间，结果不光卖得好，后来他成还了百果园的供应商。

这两位农户都是网商银行农村金融创新服务“农户秒贷”项目的受益者（注：网商银行是由蚂蚁集团发起、银保监会批准成立的中国首批民营银行之一）。2024年5月，“农户秒贷”项目入选国家数据局“数据要素x”典型案例。“农户秒贷”项目由农业农村部大数据发展中心与网商银行联合发起。在蚂蚁集团隐私计算技术的应用下，“农户秒贷”项目将农业大数据引入金融风控，结合网商银行的大山雀卫星遥感风控系统，从而能为小农户提供秒贷秒批、随借随还的普惠金融服务。网商银行的调研结果显示，66%的农户依靠“农户秒贷”首次获得手机贷款，借此得以抹去“鞋底成本”（注：鞋底成本泛指减少货币持有量而产生的成本）。截至2024年5月份，已有超600万农户获得贷款额度，其中约8成农户种植面积不到10亩，彰显了普惠金融的助农力度。

“星绽”：安全助农背后的秘密

2024年10月22日，在星绽开源品牌发布会上，网商银行信息科技部副总经理苏贤明针对“农户秒贷”做了更多解读。他表示，金融贷款非常依赖数据支撑。对于农业农村的金融场景来说，则比较依赖农户的资产信息或生产经营情况。而农村场景的抵质押物比较少，农户本身的信用记录也比较少，并且农业数字化的程度比较也低，因此很难有一个可靠渠道来提供农户资产情况或农户生产经营。

但是，对于农户生产经营情况来说无外乎两个要素：有多少地？种了什么？针对这两项要素，其实有多个可以提供数据来源的渠道。对于“有多少地”这一问题，可以从散落在各个政府各个部门的土地承包关系数据中寻找答案，甚至可以根据农资农机信息来推导某位农户的农田面积。而对于“种了什么”这一问题，利用网商银行的大山雀卫星遥感风控系统，就能通过卫星遥感的方式来获悉农户农田里的作物。

然而，以上数据散落在不同机构或不同主体之中。在数据安全愈发受到重视的情况下，人们对于数据要素的流通和融合也持有相对谨慎的态度。因此，在满足安全隐私和监管条件的前提之下，只有针对金融领域设计对应的方案，才能在各方数据安全均得到确保的前提之下，进行数据融合和高效决策。

在做方案选型的时候，苏贤明曾和浙江蚂蚁密算科技有限公司CTO闫守孟进行过探讨（注：浙江蚂蚁密算科技有限公司是蚂蚁集团成立的独立运营的密态计算公司，由蚂蚁集团全资控股）。后来，闫守孟提到了基于“星绽”（一款系统软件栈，英文名为Asterinas）机密计算的方案，后者表示该方案可以为网商银行构造一个密态时空计算方案。

于是，网商银行基于“星绽”搭建了和农业部联合建模的时空计算建模方案。这不仅让网商银行的内部数据以及外部机构数据都不会出现泄露，而且网商银行也不会Touch到明细数据。同时，其还采用端到端的安全保障方案。在这个安全保障方案中，网商银行使用“星绽”的四级密钥基础设施。基于“星绽”机密计算HyperEnclave生产的SealKey和基于Occlum生成的一对公私钥，让网商银行得以在数据传进去之前就可以先进行加密。而到了密算空间的时候，由Occlum实例再来做解密，从而让数据从出域那一刻开始就处于加密状态。当内存态由Occlum实例解密完成之后，再把对应数据完成的对应计算写到硬盘，从而保证写到硬盘的数据是一个密文态的数据。正是在这一方案的帮助之下，才有了本文开头的助农故事。

对外发布“星绽”，并向全球开发者开源

同样在2024年10月22日，“星绽”迎来了新动态。当天，中关村实验室、蚂蚁集团、北京大学、南方科技大学等产学研机构联合对外发布“星绽”，并向全球开发者开源，这在一定程度上标志着“星绽”开始从服务内部走向服务外部。

（来源：资料图）

据了解，“星绽”系统软件栈旗下包括星绽OS和星绽机密计算两大项目，分别面向通用执行环境和可信执行环境提供安全原生的系统软件。它们能为云计算、数据可信流通、人工智能等安全攸关的计算场景构建安全可信的技术底座。

星绽OS，支持x86和RISC-V等CPU体系架构，兼容Linux，支持超过170个Linux系统调用，可以运行Web服务应用，预计将于2025年在云计算和机密计算等数据中心场景率先投入工业应用。在业界公认的LMbench基准测试上，星绽OS对齐全球主流开源操作系统Linux的性能水平。目前，星绽OS代码已被托管在GitHub平台，代码也已全面开源。同时，它采用MPL（Mozilla Public License）开源许可，不仅免费并且商业友好度较高，能为高安全要求的应用场景提供新的开源OS选项。此前，操作系统领域面临的一大技术挑战是安全和性能难以兼顾。同时，此前主流的商用操作系统和开源操作系统，多数基于传统的、非内存安全的C语言开发而来，不仅系统会出现复杂度的爆炸式增长，高危安全漏洞的爆发频率也比较高，而这些漏洞很大原因是由于内存安全问题引起的。星绽OS则是一个兼顾性能和安全的工业级开源操作系统内核，其采用新兴的Rust编程语言，首创框内核OS架构，让可能引发内存安全问题的“关键代码”（其中包含非内存安全的代码）得以最小化，从而实现操作系统内核的原生安全变革。事实上，星绽OS之所以使用Rust也是基于产业界形成的新共识：即Rust正在成为取代C/C++的系统编程首选语言。

星绽机密计算，包括HyperEnclave、Occlum和TrustFlow三大核心组件，其能形成从底层的安全虚拟化环境、到上层的可信服务软件栈，能够提供支撑大规模复杂数据流转场景的密算能力，旨在解决可信根CPU依赖、CPU侧信道攻击防护缓解、复杂数据分析处理的全链路密态保障等行业痛点。

发布会上，蚂蚁集团副总裁兼首席技术安全官、蚂蚁密算董事长韦韬表示，当前全球正处在历史性的技术变革期，大数据和人工智能等新兴技术深入产业应用，同时网络黑灰产已经形成庞大、完整且有细致分工的国际产业链条，全球严重安全事件频频爆发。系统软件作为信息技术系统的基石技术，要以大规模工业级可用为导向，创新技术安全范式。

而对于此次“星绽”的发布和开源，他总结称：“两年前，我们面向全球开发者开源了隐语可信隐私计算技术栈。今天，我们联合产学研合作伙伴一起发布星绽开源系统软件栈，致力于共建安全可信的技术底座。未来还有很多的工作要做，我们希望与产学研的伙伴一起，持续推动系统软件技术的发展和应用。”