开篇故事上个月，我帮一家金融科技公司做安全审计。他们的AI风控系统需要在TEE内运行用户提交的Python模型推理脚本——这些脚本来自不同合作方，有的甚至是从GitHub上扒下来的。系统架构师拍着胸脯说：“我们在Enclave里跑脚本，绝对安全！”结果呢？一个看似无害的脚本里藏了while True: pass，直接让Enclave的CPU飙到100%，把同一TEE内其他租户的推理任务全部拖垮。更可怕的是，有人通过脚本读取了/proc/self/mem，差点把Enclave内存里的密钥给dump出来。这就是我今天要讲的问题：在TEE内安全运行用户提交的代码。你不能假设用户是善意的，也不能依赖操作系统隔离（因为TEE里没有传统OS）。我们需要一个轻量级的沙箱——而Assembly沙箱（WebAssembly沙箱化）恰好是解决这个问题的利器。痛点拆解常见错误实现：直接执行用户脚本很多开发者会这么做：# 反例：直接在Enclave内执行用户脚本defrun_user_script