يمكن أن تكون TEEs واحدة من العناصر الأساسية في الاستدلال السري.
!
لقد اعتُبرت الاستنتاجات القابلة للتحقق واحدة من الحالات الاستخدام الكلاسيكية لـ web3-AI. في تلك السرديات، كان استخدام بيئات التنفيذ الموثوقة(TEEs) في المقدمة. مؤخرًا، نشرت شركة Anthropic ورقة بحثية توضح بعض الأفكار في هذا المجال التي يمكن أن تكون ذات صلة لدفع جدول الأعمال في web3-AI.
تُعهد خدمات الذكاء الاصطناعي التوليدي - من وكلاء المحادثة إلى توليد الصور - بشكل متزايد بإدخالات حساسة وتمتلك نماذج قيمة وملكية. يتيح الاستدلال السري تنفيذ أعباء العمل الخاصة بالذكاء الاصطناعي بشكل آمن على بنية تحتية غير موثوقة من خلال الجمع بين بيئات التنفيذ الموثوقة المدعومة بالأجهزة وعمليات التشفير القوية. يقدم هذا المقال الابتكارات الرئيسية التي تجعل الاستدلال السري ممكنًا ويفحص بنية معيارية مصممة لنشر الإنتاج في بيئات السحابة والحافة.
الابتكارات الأساسية في الاستدلال السري
الاستدلال السري يعتمد على ثلاثة تقدمات أساسية:
بيئات التنفيذ الموثوقة (TEEs) على المعالجات الحديثة
تقوم معالجات مثل Intel SGX و AMD SEV-SNP و AWS Nitro بإنشاء مناطق مختومة، تعزل الشيفرة والبيانات عن نظام التشغيل المضيف وhypervisor. تقيس كل منطقة محتوياتها عند بدء التشغيل وتنشر شهادة مصدقة. تتيح هذه الشهادة لمالكي النماذج والبيانات التحقق من أن أحمال العمل الخاصة بهم تعمل على ثنائي معتمد وغير متلاعب به قبل الكشف عن أي أسرار.
دمج المسرع الآمن
غالبًا ما تتطلب استنتاجات عالية الأداء وحدات معالجة الرسوميات أو شرائح الذكاء الاصطناعي المتخصصة. تؤمن نمطين من التكامل هذه المسرعات:
وحدات معالجة الرسوميات الأصلية TEE: المسرعات من الجيل التالي (مثل، NVIDIA H100) تتضمن عزلًا ماديًا يقوم بفك تشفير النماذج والمدخلات مباشرة في ذاكرة المسرع المحمية، وإعادة تشفير المخرجات أثناء التشغيل. تضمن الشهادات تطابق البرنامج الثابت للمسرع وطبقة السائق مع الحالة المتوقعة.
جسر وحدة المعالجة المركزية: عندما تفتقر المعجلات إلى دعم TEE الأصلي، تقوم وحدة معالجة مركزية قائمة بإنشاء قنوات مشفرة (مثل،Buffers الذاكرة المشتركة المحمية) مع وحدة معالجة الرسومات. تقوم الوحدة بتنظيم حركة البيانات والاستنتاج، مما يقلل من سطح الهجوم.
مسار تشفير موثوق من البداية إلى النهاية
التخمين السري يستخدم تبادل المفاتيح على مرحلتين مستندًا إلى تأكيدات الحاويات:
توفير النموذج: يتم تشفير أوزان النموذج تحت خدمة إدارة المفاتيح لمالك النموذج (KMS). خلال النشر، يتم التحقق من وثيقة تأكيد الحماية من قبل KMS، التي تطلق بعد ذلك مفتاح تشفير البيانات (DEK) مباشرة إلى الحماية.
استهلاك البيانات: بالمثل، يقوم العملاء بتشفير المدخلات تحت مفتاح العمود العام فقط بعد التحقق من شهادة التوثيق الخاصة به. يقوم العمود بفك تشفير المدخلات، وإجراء الاستدلال، وإعادة تشفير المخرجات للعميل، مما يضمن أن لا تظهر أوزان النموذج أو بيانات المستخدم أبدًا بنص عادي خارج العمود.
نظرة عامة على بنية المراجع
نظام استدلال سري من الدرجة الإنتاجية يتكون عادة من ثلاثة مكونات رئيسية:
خدمة الاستدلال السرية
برنامج Secure Enclave: بيئة تشغيل بسيطة محملة في TEE تقوم بفك التشفير، وتنفيذ النموذج، والتشفير. تتجنب الأسرار الدائمة على القرص وتعتمد على المضيف فقط لجلب الكتل المشفرة ونقل الشهادة.
وكيل إنكلافي: مقيم في نظام التشغيل المضيف، يقوم هذا الوكيل بتهيئة وتوثيق الإنكلاف، واسترجاع كتل النموذج المشفرة من التخزين، وتنظيم الاتصالات الآمنة مع KMS والعملاء. تضمن الضوابط الشبكية الصارمة أن الوكيل يتوسط فقط النقاط النهائية المعتمدة.
! خط أنابيب توفير النموذج
تشفير المغلفات عبر KMS: يتم تشفير النماذج مسبقًا إلى كتل مقاومة للتلاعب. يجب أن ينجح تصديق المنطقة الآمنة في اجتياز تحقق KMS قبل فك تشفير أي DEK. بالنسبة للنماذج فائقة الحساسية، يمكن أن تتم معالجة المفاتيح بالكامل داخل المنطقة الآمنة لتجنب التعرض الخارجي.
البناء القابل للتكرار والتدقيق: باستخدام أنظمة البناء الحتمية (مثل، Bazel) وبيئات المصدر المفتوح، يمكن للمساهمين التحقق بشكل مستقل من أن الثنائي المنشر يتطابق مع الشيفرة المدققة، مما يقلل من مخاطر سلسلة التوريد.
! بيئة المطورين والبناء
خطوط تجميع حتمية وقابلة للتدقيق: يتم إنتاج صور الحاويات والملفات الثنائية مع تجزئات يمكن التحقق منها. يتم تقليل الاعتماديات والتحقق منها لتقليل سطح الهجوم على وحدة التنفيذ الموثوقة.
أدوات التحقق الثنائية: تحليل ما بعد البناء (على سبيل المثال، مقارنة الحوافز المجمعة ضد المصدر) يضمن أن وقت التشغيل يتوافق تمامًا مع قاعدة الشيفرة المدققة.
مكون سير العمل والتفاعلات
التصديق وتبادل المفاتيح
ينشئ الحيز زوج مفاتيح عابر وينتج شهادة موقعة تحتوي على قياسات تشفيرية.
تتحقق خدمة إدارة مفاتيح النموذج من التصديق وتقوم بفك تغليف مفتاح التشفير المخصص في المنطقة المعزولة.
يقوم العملاء بجلب شهادة التوثيق من الحاوية، والتحقق منها، وتشفير مدخلات الاستدلال تحت المفتاح العام للحاوية.
مسار بيانات الاستدلال
تحميل النموذج: تتدفق الكتل المشفرة إلى الحرم، حيث يتم فك تشفيرها فقط داخل الذاكرة المحمية.
مرحلة الحساب: يتم تشغيل الاستدلال على وحدة المعالجة المركزية أو مسرع مؤمن. في بيئات GPU الأصلية، تبقى الموترات مشفرة حتى تتم معالجتها. في الإعدادات الموصلة، تفرض المخازن المشفرة وارتباط النواة الضيق العزلة.
تشفير المخرجات: يتم إعادة تشفير نتائج الاستدلال داخل الحافظة وإرجاعها مباشرة إلى العميل أو تمريرها عبر الوكيل بموجب قواعد وصول صارمة.
فرض أقل الامتيازات
جميع أذونات الشبكة والتخزين والتشفير محددة بدقة:
تقبل دلو التخزين الطلبات فقط من الجيوب الموثقة.
تحدد قوائم التحكم في الوصول الشبكي حركة مرور الوكيل إلى نقاط نهاية KMS والجيب.
تم تعطيل واجهات تصحيح الأخطاء للمضيفين لمنع التهديدات الداخلية.
تدابير التخفيف وأفضل الممارسات
أمان سلسلة التوريد: تمنع الإنشاءات القابلة للتكرار والتحقق المستقل من الثنائيات التلاعب الضار في سلسلة الأدوات.
المرونة التشفيرية: تغيير المفاتيح بشكل دوري والتخطيط لخوارزميات ما بعد الكم تحمي من التهديدات المستقبلية.
دفاعات قناة جانبية للمسرعات: يفضل استخدام TEEs الأصلية على المسرعات؛ فرض تشفير الذاكرة الصارم وعزل النوى عند الربط عبر محميات CPU.
تعزيز العمليات: إزالة خدمات المضيف غير الضرورية، تعطيل التصحيح، وتبني مبادئ الثقة المعدومة للوصول إلى المشغل.
استنتاج
تمكن أنظمة الاستنتاج السرية من نشر نماذج الذكاء الاصطناعي بشكل آمن في البيئات غير الموثوق بها من خلال دمج وحدات التنفيذ الآمن (TEEs) للأجهزة، وسير عمل المعجلات الآمنة، وعمليات التشفير المعتمدة. التكوين المعماري الموصوف هنا يوازن بين الأداء، والأمان، وقابلية التدقيق، مما يوفر مخططًا عمليًا للمنظمات التي تهدف إلى تقديم خدمات الذكاء الاصطناعي التي تحافظ على الخصوصية على نطاق واسع.
!
تعتبر هذه الأبحاث الأنثروبولوجية حول استنتاج الذكاء الاصطناعي الآمن باستخدام TEEs ذات صلة كبيرة بـ Web3، وقد نُشرت في الأصل في سنتورا على ميديم، حيث يواصل الناس النقاش من خلال تسليط الضوء والرد على هذه القصة.
شاهد النسخة الأصلية
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
يمكن أن تكون هذه الأبحاث حول استنتاج الذكاء الاصطناعي الآمن باستخدام وحدات التنفيذ الموثوقة ذات صلة كبيرة بـ Web3
يمكن أن تكون TEEs واحدة من العناصر الأساسية في الاستدلال السري.
!
لقد اعتُبرت الاستنتاجات القابلة للتحقق واحدة من الحالات الاستخدام الكلاسيكية لـ web3-AI. في تلك السرديات، كان استخدام بيئات التنفيذ الموثوقة(TEEs) في المقدمة. مؤخرًا، نشرت شركة Anthropic ورقة بحثية توضح بعض الأفكار في هذا المجال التي يمكن أن تكون ذات صلة لدفع جدول الأعمال في web3-AI.
تُعهد خدمات الذكاء الاصطناعي التوليدي - من وكلاء المحادثة إلى توليد الصور - بشكل متزايد بإدخالات حساسة وتمتلك نماذج قيمة وملكية. يتيح الاستدلال السري تنفيذ أعباء العمل الخاصة بالذكاء الاصطناعي بشكل آمن على بنية تحتية غير موثوقة من خلال الجمع بين بيئات التنفيذ الموثوقة المدعومة بالأجهزة وعمليات التشفير القوية. يقدم هذا المقال الابتكارات الرئيسية التي تجعل الاستدلال السري ممكنًا ويفحص بنية معيارية مصممة لنشر الإنتاج في بيئات السحابة والحافة.
الابتكارات الأساسية في الاستدلال السري
الاستدلال السري يعتمد على ثلاثة تقدمات أساسية:
بيئات التنفيذ الموثوقة (TEEs) على المعالجات الحديثة
تقوم معالجات مثل Intel SGX و AMD SEV-SNP و AWS Nitro بإنشاء مناطق مختومة، تعزل الشيفرة والبيانات عن نظام التشغيل المضيف وhypervisor. تقيس كل منطقة محتوياتها عند بدء التشغيل وتنشر شهادة مصدقة. تتيح هذه الشهادة لمالكي النماذج والبيانات التحقق من أن أحمال العمل الخاصة بهم تعمل على ثنائي معتمد وغير متلاعب به قبل الكشف عن أي أسرار.
دمج المسرع الآمن
غالبًا ما تتطلب استنتاجات عالية الأداء وحدات معالجة الرسوميات أو شرائح الذكاء الاصطناعي المتخصصة. تؤمن نمطين من التكامل هذه المسرعات:
مسار تشفير موثوق من البداية إلى النهاية
التخمين السري يستخدم تبادل المفاتيح على مرحلتين مستندًا إلى تأكيدات الحاويات:
نظرة عامة على بنية المراجع
نظام استدلال سري من الدرجة الإنتاجية يتكون عادة من ثلاثة مكونات رئيسية:
خدمة الاستدلال السرية
!
خط أنابيب توفير النموذج
!
بيئة المطورين والبناء
مكون سير العمل والتفاعلات
التصديق وتبادل المفاتيح
مسار بيانات الاستدلال
فرض أقل الامتيازات جميع أذونات الشبكة والتخزين والتشفير محددة بدقة:
تدابير التخفيف وأفضل الممارسات
استنتاج
تمكن أنظمة الاستنتاج السرية من نشر نماذج الذكاء الاصطناعي بشكل آمن في البيئات غير الموثوق بها من خلال دمج وحدات التنفيذ الآمن (TEEs) للأجهزة، وسير عمل المعجلات الآمنة، وعمليات التشفير المعتمدة. التكوين المعماري الموصوف هنا يوازن بين الأداء، والأمان، وقابلية التدقيق، مما يوفر مخططًا عمليًا للمنظمات التي تهدف إلى تقديم خدمات الذكاء الاصطناعي التي تحافظ على الخصوصية على نطاق واسع.
!
تعتبر هذه الأبحاث الأنثروبولوجية حول استنتاج الذكاء الاصطناعي الآمن باستخدام TEEs ذات صلة كبيرة بـ Web3، وقد نُشرت في الأصل في سنتورا على ميديم، حيث يواصل الناس النقاش من خلال تسليط الضوء والرد على هذه القصة.