TEEs dapat menjadi salah satu primitif inti dalam inferensi yang rahasia.
Inferensi yang dapat diverifikasi telah dianggap sebagai salah satu kasus penggunaan kanonik dari web3-AI. Dalam narasi tersebut, penggunaan lingkungan eksekusi terpercaya(TEEs) berada di pusat perhatian. Baru-baru ini, Anthropic menerbitkan makalah penelitian yang menguraikan beberapa ide di ruang ini yang dapat relevan untuk memajukan agenda dalam web3-AI.
Layanan AI generatif — dari agen percakapan hingga sintesis gambar — semakin dipercayakan dengan masukan sensitif dan memiliki model berharga dan kepemilikan. Inferensi yang bersifat rahasia memungkinkan pelaksanaan beban kerja AI secara aman di infrastruktur yang tidak tepercaya dengan menggabungkan TEE yang didukung perangkat keras dengan alur kerja kriptografi yang kuat. Esai ini menyajikan inovasi kunci yang memungkinkan inferensi yang bersifat rahasia dan memeriksa arsitektur modular yang dirancang untuk penerapan produksi di lingkungan cloud dan edge.
Inovasi Inti dalam Inferensi Rahasia
Inferensi rahasia didasarkan pada tiga kemajuan dasar:
Lingkungan Eksekusi Terpercaya (TEEs) pada Prosesor Modern
Prosesor seperti Intel SGX, AMD SEV-SNP, dan AWS Nitro membuat enclave yang terseal, mengisolasi kode dan data dari OS host dan hypervisor. Setiap enclave mengukur isinya saat startup dan menerbitkan sebuah attestasi yang ditandatangani. Attestasi ini memungkinkan pemilik model dan data untuk memverifikasi bahwa beban kerja mereka berjalan pada biner yang disetujui dan tidak dimanipulasi sebelum mengungkapkan rahasia apa pun.
Integrasi Akselerator Aman
Inferensi berkinerja tinggi sering memerlukan GPU atau chip AI khusus. Dua pola integrasi mengamankan akselerator ini:
GPU TEE Asli: Akselerator generasi berikutnya (misalnya, NVIDIA H100) menyematkan isolasi perangkat keras yang mendekripsi model dan input secara langsung di memori akselerator yang dilindungi, mengenkripsi ulang keluaran secara langsung. Penjaminan memastikan firmware akselerator dan tumpukan driver sesuai dengan keadaan yang diharapkan.
Jembatan CPU-Enclave: Ketika akselerator tidak memiliki dukungan TEE asli, sebuah enclave berbasis CPU membangun saluran terenkripsi (misalnya, buffer memori bersama yang dilindungi) dengan GPU. Enclave mengatur pergerakan data dan inferensi, meminimalkan permukaan serangan.
Proses Enkripsi End-to-End yang Disetujui
Inference yang bersifat rahasia menggunakan pertukaran kunci dua fase yang dipusatkan pada attestasi enclave:
Penyediaan Model: Bobot model dienkripsi dalam amplop di bawah layanan manajemen kunci pemilik model (KMS). Selama penyebaran, dokumen attestasi enclave divalidasi oleh KMS, yang kemudian merilis kunci enkripsi data (DEK) langsung ke dalam enclave.
Pengambilan Data: Demikian pula, klien mengenkripsi masukan di bawah kunci publik enclave hanya setelah memverifikasi atestasinya. Enclave mendekripsi masukan, menjalankan inferensi, dan mengenkripsi ulang keluaran untuk klien, memastikan bahwa baik bobot model maupun data pengguna tidak pernah muncul dalam bentuk teks biasa di luar enclave.
Ikhtisar Arsitektur Referensi
Sistem inferensi rahasia tingkat produksi biasanya terdiri dari tiga komponen utama:
Layanan Inferensi Rahasia
Program Enklave Aman: Sebuah runtime minimal yang dimuat ke dalam TEE yang melakukan dekripsi, eksekusi model, dan enkripsi. Ini menghindari rahasia persisten di disk dan hanya bergantung pada host untuk mengambil blob terenkripsi dan menyampaikan attestasi.
Enclave Proxy: Tinggal di OS host, proxy ini menginisialisasi dan mengesahkan enclave, mengambil blob model terenkripsi dari penyimpanan, dan mengatur komunikasi aman dengan KMS dan klien. Kontrol jaringan yang ketat memastikan proxy hanya menengahi titik akhir yang disetujui.
Pipa Penyediaan Model
Enkripsi Amplop melalui KMS: Model-model telah dienkripsi sebelumnya menjadi blob yang tahan terhadap pemalsuan. Atestasi enclave harus lulus validasi KMS sebelum DEK dibuka. Untuk model-model yang sangat sensitif, penanganan kunci dapat dilakukan sepenuhnya di dalam enclave untuk menghindari paparan eksternal.
Build yang Dapat Direproduksi & Audit: Menggunakan sistem build deterministik ( seperti Bazel) dan enclave sumber terbuka, pemangku kepentingan dapat secara independen memverifikasi bahwa biner yang diterapkan cocok dengan kode yang diaudit, mengurangi risiko rantai pasokan.
Pengembang & Lingkungan Build
Pipeline Bangunan Deterministik dan Dapat Diaudit: Gambar kontainer dan biner dihasilkan dengan hash yang dapat diverifikasi. Ketergantungan diminimalkan dan diperiksa untuk mengurangi permukaan serangan TEE.
Alat Verifikasi Biner: Analisis pasca-build ( misalnya, membandingkan enclave yang telah dikompilasi dengan sumber ) memastikan runtime sesuai persis dengan basis kode yang diaudit.
Alur Kerja Komponen & Interaksi
Pernyataan dan Pertukaran Kunci
Enklave menghasilkan sepasang kunci sementara dan menghasilkan sebuah attestasi yang ditandatangani yang berisi ukuran kriptografi.
KMS pemilik model memverifikasi penegasan dan membuka DEK ke dalam enclave.
Klien mengambil penilaian enclave, memvalidasinya, dan mengenkripsi input inferensi di bawah kunci publik enclave.
Jalur Data Inferensi
Pemodelan Memuat: Blob terenkripsi mengalir ke enclave, di mana mereka hanya didekripsi di dalam memori yang dilindungi.
Fase Komputasi: Inferensi dijalankan di CPU atau akselerator yang aman. Di TEE GPU asli, tensor tetap terenkripsi hingga diproses. Dalam pengaturan terhubung, buffer terenkripsi dan afinitas inti yang ketat menegakkan isolasi.
Enkripsi Output: Hasil inferensi dienkripsi ulang di dalam enclave dan dikembalikan langsung kepada klien atau diteruskan melalui proxy di bawah aturan akses yang ketat.
Menerapkan Prinsip Hak Akses Minimal
Semua izin jaringan, penyimpanan, dan kriptografi sangat terbatas:
Ember penyimpanan hanya menerima permintaan dari enclave yang terverifikasi.
ACL Jaringan membatasi lalu lintas proxy ke KMS dan titik akhir enclave.
Antarmuka debug host dinonaktifkan untuk mencegah ancaman dari dalam.
Mitigasi Ancaman dan Praktik Terbaik
Keamanan Rantai Pasokan: Pembangunan yang dapat direproduksi dan validasi biner independen mencegah kompromi alat berbahaya.
Agilitas Kriptografi: Rotasi kunci secara berkala dan perencanaan untuk algoritma pasca-kuantum melindungi dari ancaman di masa depan.
Pertahanan Saluran Samping Akselerator: Utamakan TEE asli pada akselerator; terapkan enkripsi memori yang ketat dan isolasi inti saat menjembatani melalui enclave CPU.
Penguatan Operasional: Hapus layanan host yang tidak perlu, nonaktifkan debugging, dan adopsi prinsip zero-trust untuk akses operator.
Kesimpulan
Sistem inferensi rahasia memungkinkan penyebaran model AI yang aman di lingkungan yang tidak tepercaya dengan mengintegrasikan TEE perangkat keras, alur kerja akselerator yang aman, dan saluran enkripsi yang teruji. Arsitektur modular yang dijelaskan di sini menyeimbangkan kinerja, keamanan, dan auditabilitas, menawarkan cetak biru praktis bagi organisasi yang bertujuan untuk menyediakan layanan AI yang menjaga privasi dalam skala besar.
Penelitian Anthropic tentang Inference AI yang Aman dengan TEE dapat Sangat Relevan untuk Web3 awalnya diterbitkan di Sentora di Medium, di mana orang-orang terus melanjutkan percakapan dengan menyoroti dan menanggapi cerita ini.
Lihat Asli
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Penelitian Anthropic tentang Inference AI yang Aman dengan TEE dapat Sangat Relevan untuk Web3
TEEs dapat menjadi salah satu primitif inti dalam inferensi yang rahasia.
Inferensi yang dapat diverifikasi telah dianggap sebagai salah satu kasus penggunaan kanonik dari web3-AI. Dalam narasi tersebut, penggunaan lingkungan eksekusi terpercaya(TEEs) berada di pusat perhatian. Baru-baru ini, Anthropic menerbitkan makalah penelitian yang menguraikan beberapa ide di ruang ini yang dapat relevan untuk memajukan agenda dalam web3-AI.
Layanan AI generatif — dari agen percakapan hingga sintesis gambar — semakin dipercayakan dengan masukan sensitif dan memiliki model berharga dan kepemilikan. Inferensi yang bersifat rahasia memungkinkan pelaksanaan beban kerja AI secara aman di infrastruktur yang tidak tepercaya dengan menggabungkan TEE yang didukung perangkat keras dengan alur kerja kriptografi yang kuat. Esai ini menyajikan inovasi kunci yang memungkinkan inferensi yang bersifat rahasia dan memeriksa arsitektur modular yang dirancang untuk penerapan produksi di lingkungan cloud dan edge.
Inovasi Inti dalam Inferensi Rahasia
Inferensi rahasia didasarkan pada tiga kemajuan dasar:
Lingkungan Eksekusi Terpercaya (TEEs) pada Prosesor Modern
Prosesor seperti Intel SGX, AMD SEV-SNP, dan AWS Nitro membuat enclave yang terseal, mengisolasi kode dan data dari OS host dan hypervisor. Setiap enclave mengukur isinya saat startup dan menerbitkan sebuah attestasi yang ditandatangani. Attestasi ini memungkinkan pemilik model dan data untuk memverifikasi bahwa beban kerja mereka berjalan pada biner yang disetujui dan tidak dimanipulasi sebelum mengungkapkan rahasia apa pun.
Integrasi Akselerator Aman
Inferensi berkinerja tinggi sering memerlukan GPU atau chip AI khusus. Dua pola integrasi mengamankan akselerator ini:
Proses Enkripsi End-to-End yang Disetujui
Inference yang bersifat rahasia menggunakan pertukaran kunci dua fase yang dipusatkan pada attestasi enclave:
Ikhtisar Arsitektur Referensi
Sistem inferensi rahasia tingkat produksi biasanya terdiri dari tiga komponen utama:
Layanan Inferensi Rahasia
Pipa Penyediaan Model
Alur Kerja Komponen & Interaksi
Pernyataan dan Pertukaran Kunci
Jalur Data Inferensi
Menerapkan Prinsip Hak Akses Minimal Semua izin jaringan, penyimpanan, dan kriptografi sangat terbatas:
Mitigasi Ancaman dan Praktik Terbaik
Kesimpulan
Sistem inferensi rahasia memungkinkan penyebaran model AI yang aman di lingkungan yang tidak tepercaya dengan mengintegrasikan TEE perangkat keras, alur kerja akselerator yang aman, dan saluran enkripsi yang teruji. Arsitektur modular yang dijelaskan di sini menyeimbangkan kinerja, keamanan, dan auditabilitas, menawarkan cetak biru praktis bagi organisasi yang bertujuan untuk menyediakan layanan AI yang menjaga privasi dalam skala besar.
Penelitian Anthropic tentang Inference AI yang Aman dengan TEE dapat Sangat Relevan untuk Web3 awalnya diterbitkan di Sentora di Medium, di mana orang-orang terus melanjutkan percakapan dengan menyoroti dan menanggapi cerita ini.