Los TEEs pueden ser uno de los elementos fundamentales en la inferencia confidencial.
La inferencia verificable se ha considerado uno de los casos de uso canónicos de web3-AI. En esas narrativas, el uso de entornos de ejecución confiables(TEEs) ha sido el centro de atención. Recientemente, Anthropic publicó un artículo de investigación que describe algunas ideas en este ámbito que pueden ser relevantes para avanzar en la agenda de web3-AI.
Los servicios de IA generativa, desde agentes conversacionales hasta síntesis de imágenes, están siendo cada vez más confiados con entradas sensibles y poseen modelos valiosos y propietarios. La inferencia confidencial permite la ejecución segura de cargas de trabajo de IA en infraestructuras no confiables al combinar TEEs respaldados por hardware con flujos de trabajo criptográficos robustos. Este ensayo presenta las innovaciones clave que hacen posible la inferencia confidencial y examina una arquitectura modular diseñada para implementaciones en producción en entornos de nube y de borde.
Innovaciones Clave en Inferencia Confidencial
La inferencia confidencial se basa en tres avances fundamentales:
Entornos de Ejecución Confiables (TEEs) en Procesadores Modernos
Procesadores como Intel SGX, AMD SEV-SNP y AWS Nitro crean enclaves sellados, aislando el código y los datos del sistema operativo host y el hipervisor. Cada enclave mide su contenido al iniciar y publica una atestación firmada. Esta atestación permite a los propietarios de modelos y datos verificar que sus cargas de trabajo se ejecutan en un binario aprobado y no manipulado antes de revelar cualquier secreto.
Integración de Acelerador Seguro
La inferencia de alto rendimiento a menudo requiere GPUs o chips de IA especializados. Dos patrones de integración aseguran estos aceleradores:
GPUs TEE Nativas: Aceleradores de próxima generación (, por ejemplo, NVIDIA H100) integran aislamiento de hardware que desencripta modelos y entradas directamente en la memoria del acelerador protegida, re-encriptando las salidas al instante. Las atestaciones aseguran que el firmware del acelerador y la pila del controlador coincidan con el estado esperado.
Puente de CPU-Enclave: Cuando los aceleradores carecen de soporte nativo de TEE, un enclave basado en CPU establece canales encriptados (, por ejemplo, búferes de memoria compartida protegidos ) con la GPU. El enclave orquesta el movimiento de datos y la inferencia, minimizando la superficie de ataque.
Flujo de trabajo de cifrado de extremo a extremo atestado
La inferencia confidencial emplea un intercambio de claves en dos fases anclado en las atestaciones de enclave:
Provisionamiento de Modelos: Los pesos del modelo están encriptados bajo un servicio de gestión de claves del propietario del modelo (KMS). Durante el despliegue, el documento de atestación del enclave es validado por el KMS, que luego libera una clave de encriptación de datos (DEK) directamente en el enclave.
Ingesta de Datos: De manera similar, los clientes encriptan las entradas bajo la clave pública del enclave solo después de verificar su atestación. El enclave desencripta las entradas, realiza la inferencia y vuelve a encriptar las salidas para el cliente, asegurando que ni los pesos del modelo ni los datos del usuario aparezcan en texto plano fuera del enclave.
Visión general de la arquitectura de referencia
Un sistema de inferencia confidencial de grado de producción generalmente comprende tres componentes principales:
Servicio de Inferencia Confidencial
Programa de Enclave Seguro: Un entorno de ejecución mínimo cargado en el TEE que realiza la descifrado, ejecución de modelos y cifrado. Evita secretos persistentes en disco y depende del host solo para obtener blobs cifrados y retransmitir la atestación.
Proxy de Enclave: Residente en el sistema operativo anfitrión, este proxy inicializa y atestigua el enclave, recupera blobs de modelo cifrados del almacenamiento y orquesta la comunicación segura con KMS y clientes. Controles de red estrictos garantizan que el proxy solo medie en puntos finales aprobados.
Pipeline de Aprovisionamiento de Modelos
Cifrado de Sobre a través de KMS: Los modelos se pre-cifran en blobs a prueba de manipulaciones. La atestación del enclave debe pasar la validación de KMS antes de que se desenvuelva cualquier DEK. Para modelos ultra-sensibles, el manejo de claves puede llevarse a cabo completamente dentro del enclave para evitar la exposición externa.
Construcciones Reproducibles & Auditoría: Utilizando sistemas de construcción deterministas (e.g., Bazel) y enclaves de código abierto, las partes interesadas pueden verificar de manera independiente que el binario desplegado coincide con el código auditado, mitigando los riesgos de la cadena de suministro.
Desarrollador & Entorno de Construcción
Pipelines de Construcción Deterministas y Auditables: Las imágenes de contenedor y los binarios se producen con hashes verificables. Las dependencias se minimizan y se validan para reducir la superficie de ataque del TEE.
Herramientas de Verificación Binaria: Análisis post-construcción (, por ejemplo, la comparación de enclaves compilados contra el código fuente ) asegura que el tiempo de ejecución corresponda exactamente a la base de código auditada.
Flujo de Trabajo de Componente & Interacciones
Atestación e Intercambio de Claves
El enclave genera un par de claves efímeras y produce una atestación firmada que contiene mediciones criptográficas.
El KMS del propietario del modelo verifica la atestación y desenvuelve el DEK en el enclave.
Los clientes obtienen la atestación del enclave, la validan y encriptan las entradas de inferencia bajo la clave pública del enclave.
Ruta de Datos de Inferencia
Carga del Modelo: Los blobs encriptados fluyen hacia el enclave, donde se desencriptan solo dentro de la memoria protegida.
Fase de Cálculo: La inferencia se ejecuta en la CPU o en un acelerador seguro. En las TEEs nativas de GPU, los tensores permanecen cifrados hasta que son procesados. En configuraciones puenteadas, los buffers cifrados y una estricta afinidad de núcleo imponen aislamiento.
Cifrado de Salida: Los resultados de la inferencia se vuelven a cifrar dentro del enclave y se devuelven directamente al cliente o se transmiten a través del proxy bajo estrictas reglas de acceso.
Aplicando el Mínimo Privilegio
Todos los permisos de red, almacenamiento y criptografía están estrictamente delimitados:
Los buckets de almacenamiento solo aceptan solicitudes de enclaves atestiguados.
Las ACL de red restringen el tráfico de proxy a los puntos finales de KMS y enclave.
Las interfaces de depuración del host están desactivadas para prevenir amenazas internas.
Mitigaciones de amenazas y mejores prácticas
Seguridad de la Cadena de Suministro: Construcciones reproducibles y validación independiente de binarios previenen compromisos maliciosos de la herramienta.
Agilidad Criptográfica: La rotación periódica de claves y la planificación para algoritmos post-cuánticos protegen contra amenazas futuras.
Defensas de Canal Lateral de Acelerador: Prefiera TEEs nativos en aceleradores; imponga un estricto cifrado de memoria y aislamiento de núcleos al interconectar a través de enclaves de CPU.
Endurecimiento Operativo: Eliminar servicios de host innecesarios, deshabilitar la depuración y adoptar principios de cero confianza para el acceso del operador.
Conclusión
Los sistemas de inferencia confidenciales permiten el despliegue seguro de modelos de IA en entornos no confiables mediante la integración de TEEs de hardware, flujos de trabajo de aceleradores seguros y tuberías de cifrado atestadas. La arquitectura modular aquí descrita equilibra rendimiento, seguridad y auditabilidad, ofreciendo un plano práctico para organizaciones que buscan ofrecer servicios de IA que preserven la privacidad a gran escala.
Esta investigación de Anthropic sobre la inferencia segura de IA con TEEs puede ser muy relevante para Web3 se publicó originalmente en Sentora en Medium, donde las personas continúan la conversación destacando y respondiendo a esta historia.
Ver originales
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Esta investigación de Anthropic sobre inferencia de IA segura con TEEs puede ser muy relevante para Web3
Los TEEs pueden ser uno de los elementos fundamentales en la inferencia confidencial.
La inferencia verificable se ha considerado uno de los casos de uso canónicos de web3-AI. En esas narrativas, el uso de entornos de ejecución confiables(TEEs) ha sido el centro de atención. Recientemente, Anthropic publicó un artículo de investigación que describe algunas ideas en este ámbito que pueden ser relevantes para avanzar en la agenda de web3-AI.
Los servicios de IA generativa, desde agentes conversacionales hasta síntesis de imágenes, están siendo cada vez más confiados con entradas sensibles y poseen modelos valiosos y propietarios. La inferencia confidencial permite la ejecución segura de cargas de trabajo de IA en infraestructuras no confiables al combinar TEEs respaldados por hardware con flujos de trabajo criptográficos robustos. Este ensayo presenta las innovaciones clave que hacen posible la inferencia confidencial y examina una arquitectura modular diseñada para implementaciones en producción en entornos de nube y de borde.
Innovaciones Clave en Inferencia Confidencial
La inferencia confidencial se basa en tres avances fundamentales:
Entornos de Ejecución Confiables (TEEs) en Procesadores Modernos
Procesadores como Intel SGX, AMD SEV-SNP y AWS Nitro crean enclaves sellados, aislando el código y los datos del sistema operativo host y el hipervisor. Cada enclave mide su contenido al iniciar y publica una atestación firmada. Esta atestación permite a los propietarios de modelos y datos verificar que sus cargas de trabajo se ejecutan en un binario aprobado y no manipulado antes de revelar cualquier secreto.
Integración de Acelerador Seguro
La inferencia de alto rendimiento a menudo requiere GPUs o chips de IA especializados. Dos patrones de integración aseguran estos aceleradores:
Flujo de trabajo de cifrado de extremo a extremo atestado
La inferencia confidencial emplea un intercambio de claves en dos fases anclado en las atestaciones de enclave:
Visión general de la arquitectura de referencia
Un sistema de inferencia confidencial de grado de producción generalmente comprende tres componentes principales:
Servicio de Inferencia Confidencial
Pipeline de Aprovisionamiento de Modelos
Flujo de Trabajo de Componente & Interacciones
Atestación e Intercambio de Claves
Ruta de Datos de Inferencia
Aplicando el Mínimo Privilegio Todos los permisos de red, almacenamiento y criptografía están estrictamente delimitados:
Mitigaciones de amenazas y mejores prácticas
Conclusión
Los sistemas de inferencia confidenciales permiten el despliegue seguro de modelos de IA en entornos no confiables mediante la integración de TEEs de hardware, flujos de trabajo de aceleradores seguros y tuberías de cifrado atestadas. La arquitectura modular aquí descrita equilibra rendimiento, seguridad y auditabilidad, ofreciendo un plano práctico para organizaciones que buscan ofrecer servicios de IA que preserven la privacidad a gran escala.
Esta investigación de Anthropic sobre la inferencia segura de IA con TEEs puede ser muy relevante para Web3 se publicó originalmente en Sentora en Medium, donde las personas continúan la conversación destacando y respondiendo a esta historia.