ТЕEs могут быть одним из основных примитивов в конфиденциальном выводе.
!
Доказуемое заключение считается одним из канонических случаев использования web3-AI. В этих нарративах использование доверенных вычислительных сред ( TEE ) было в центре внимания. Недавно компания Anthropic опубликовала исследовательскую работу, в которой изложены некоторые идеи в этой области, которые могут быть актуальны для продвижения повестки в web3-AI.
Сервисы генеративного ИИ — от разговорных агентов до синтеза изображений — все больше доверяются обработке чувствительных данных и обладают ценными, собственными моделями. Конфиденциальный вывод позволяет безопасно выполнять рабочие нагрузки ИИ на ненадежной инфраструктуре, комбинируя аппаратные защищенные среды (TEE) с надежными криптографическими процессами. В эссе представлены ключевые инновации, которые делают возможным конфиденциальный вывод, и рассматривается модульная архитектура, разработанная для производственных развертываний в облачных и краевых средах.
Основные инновации в конфиденциальном выводе
Конфиденциальное выводу основано на трех основополагающих достижениях:
Доверенные вычислительные среды (TEEs) на современных процессорах
Процессоры, такие как Intel SGX, AMD SEV-SNP и AWS Nitro, создают запечатанные окружения, изолируя код и данные от основной операционной системы и гипервизора. Каждое окружение измеряет свое содержимое при запуске и публикует подписанную аттестацию. Эта аттестация позволяет владельцам моделей и данных проверить, что их рабочие нагрузки выполняются на одобренном, неповрежденном бинарном файле перед раскрытием любых секретов.
Интеграция безопасного ускорителя
Высокопроизводительный вывод часто требует GPU или специализированных чипов ИИ. Два паттерна интеграции обеспечивают эти ускорители:
Нативные TEE GPU: Следующие поколения ускорителей (, например, NVIDIA H100), встроены в аппаратную изоляцию, которая расшифровывает модели и входные данные непосредственно в защищенной памяти ускорителя, повторно шифруя выходные данные в реальном времени. Аттестации гарантируют, что прошивка ускорителя и стек драйвера соответствуют ожидаемому состоянию.
Мост CPU-Enclave: Когда ускорители не поддерживают нативный TEE, основанный на CPU анклав устанавливает зашифрованные каналы (например, защищенные буферы общей памяти) с GPU. Анклав управляет перемещением данных и выводом, минимизируя поверхность атаки.
Заверенный, сквозной шифрование рабочего процесса
Конфиденциальное выведение использует двухфазный обмен ключами, основанный на аттестациях анклавов:
Провизия модели: Веса модели шифруются с помощью управления ключами владельца модели (KMS). Во время развертывания документ аттестации enclaves проверяется KMS, который затем непосредственно передает ключ шифрования данных (DEK) прямо в enclave.
Сбор данных: Точно так же клиенты шифруют входные данные под публичным ключом анклава только после проверки его аттестации. Анклав расшифровывает входные данные, выполняет вывод и повторно шифрует выходные данные для клиента, гарантируя, что ни веса модели, ни пользовательские данные никогда не появляются в открытом виде за пределами анклава.
Обзор архитектуры ссылок
Система конфиденциального вывода производственного уровня обычно состоит из трех основных компонентов:
Конфиденциальный сервис вывода
Программа Secure Enclave: минимальная среда выполнения, загружаемая в TEE, которая выполняет дешифрование, выполнение модели и шифрование. Она избегает сохранения постоянных секретов на диске и полагается на хост только для получения зашифрованных блобов и передачи аттестации.
Enclave Proxy: Проживающий в хост-ОС, этот прокси инициализирует и аттестует анклав, извлекает зашифрованные модели из хранилища и организует безопасное взаимодействие с KMS и клиентами. Строгие сетевые ограничения гарантируют, что прокси только посредничает между одобренными конечными точками.
! ПайплайнProvisioning модели
Шифрование конвертов с помощью KMS: Модели предварительно шифруются в стойкие к подделке блобы. Аттестация анклава должна пройти валидацию KMS перед тем, как любой DEK будет распакован. Для ультра-чувствительных моделей обработка ключей может происходить полностью внутри анклава, чтобы избежать внешнего раскрытия.
Воспроизводимые сборки и аудит: Используя детерминированные системы сборки (например, Bazel) и открытые облака, заинтересованные стороны могут независимо проверить, что развернутое бинарное приложение соответствует проверенному коду, что снижает риски цепочки поставок.
! Разработка & Среда сборки
Детерминированные, проверяемые сборочные пайплайны: Контейнерные образы и двоичные файлы создаются с проверяемыми хешами. Зависимости минимизированы и проверены для снижения поверхности атаки TEE.
Инструменты бинарной проверки: Анализ после сборки (, например, сравнение скомпилированных анклавов с исходным кодом ) обеспечивает точное соответствие времени выполнения проверенной кодовой базе.
KMS владельца модели проверяет аттестацию и распаковывает DEK в анклав.
Клиенты получают аттестацию анклава, проверяют её и шифруют входные данные для вывода с использованием открытого ключа анклава.
Путь данных вывода
Загрузка модели: Зашифрованные блобы поступают в анклав, где они расшифровываются только внутри защищенной памяти.
Этап вычислений: Вывод выполняется либо на ЦПУ, либо на защищенном акселераторе. В нативных ГПУ TEE тензоры остаются зашифрованными до обработки. В соединенных настройках зашифрованные буферы и жесткая привязка ядер обеспечивают изоляцию.
Шифрование вывода: Результаты вывода повторно шифруются внутри анклава и возвращаются напрямую клиенту или передаются через прокси под строгими правилами доступа.
Принуждение минимальных привилегий
Все сетевые, хранилищные и криптографические разрешения строго ограничены:
Хранилищные корзины принимают запросы только от аутентифицированных анклавов.
Сетевые ACL ограничивают прокси-трафик к KMS и конечным точкам анклава.
Интерфейсы отладки хоста отключены для предотвращения внутренних угроз.
Криптографическая гибкость: Периодическая ротация ключей и планирование для постквантовых алгоритмов защищают от будущих угроз.
Защита от побочных каналов ускорителей: Предпочитайте нативные TEE на ускорителях; обеспечьте строгое шифрование памяти и изоляцию ядра при взаимодействии через CPU-анклавы.
Операционное Укрепление: Удалите ненужные службы хоста, отключите отладку и примените принципы нулевого доверия для доступа операторов.
Заключение
Конфиденциальные системы вывода позволяют безопасно разворачивать модели ИИ в ненадежных средах, интегрируя аппаратные доверенные исполнители, безопасные рабочие процессы ускорителей и подтвержденные шифровальные каналы. Модульная архитектура, описанная здесь, балансирует производительность, безопасность и возможность аудита, предлагая практическую схему для организаций, стремящихся предоставить масштабируемые услуги ИИ с сохранением конфиденциальности.
!
Это исследование Anthropic о безопасной AI-инференции с использованием TEE может быть очень актуальным для Web3, изначально было опубликовано в Sentora на Medium, где люди продолжают обсуждение, выделяя и отвечая на эту историю.
Посмотреть Оригинал
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Это исследование Anthropic о безопасном ИИ-высновке с использованием TEE может быть очень актуальным для Web3
ТЕEs могут быть одним из основных примитивов в конфиденциальном выводе.
!
Доказуемое заключение считается одним из канонических случаев использования web3-AI. В этих нарративах использование доверенных вычислительных сред ( TEE ) было в центре внимания. Недавно компания Anthropic опубликовала исследовательскую работу, в которой изложены некоторые идеи в этой области, которые могут быть актуальны для продвижения повестки в web3-AI.
Сервисы генеративного ИИ — от разговорных агентов до синтеза изображений — все больше доверяются обработке чувствительных данных и обладают ценными, собственными моделями. Конфиденциальный вывод позволяет безопасно выполнять рабочие нагрузки ИИ на ненадежной инфраструктуре, комбинируя аппаратные защищенные среды (TEE) с надежными криптографическими процессами. В эссе представлены ключевые инновации, которые делают возможным конфиденциальный вывод, и рассматривается модульная архитектура, разработанная для производственных развертываний в облачных и краевых средах.
Основные инновации в конфиденциальном выводе
Конфиденциальное выводу основано на трех основополагающих достижениях:
Доверенные вычислительные среды (TEEs) на современных процессорах
Процессоры, такие как Intel SGX, AMD SEV-SNP и AWS Nitro, создают запечатанные окружения, изолируя код и данные от основной операционной системы и гипервизора. Каждое окружение измеряет свое содержимое при запуске и публикует подписанную аттестацию. Эта аттестация позволяет владельцам моделей и данных проверить, что их рабочие нагрузки выполняются на одобренном, неповрежденном бинарном файле перед раскрытием любых секретов.
Интеграция безопасного ускорителя
Высокопроизводительный вывод часто требует GPU или специализированных чипов ИИ. Два паттерна интеграции обеспечивают эти ускорители:
Заверенный, сквозной шифрование рабочего процесса
Конфиденциальное выведение использует двухфазный обмен ключами, основанный на аттестациях анклавов:
Обзор архитектуры ссылок
Система конфиденциального вывода производственного уровня обычно состоит из трех основных компонентов:
Конфиденциальный сервис вывода
!
ПайплайнProvisioning модели
!
Разработка & Среда сборки
Компонентный рабочий процесс & Взаимодействия
Аттестация и обмен ключами
Путь данных вывода
Принуждение минимальных привилегий Все сетевые, хранилищные и криптографические разрешения строго ограничены:
Меры по снижению угроз и лучшие практики
Заключение
Конфиденциальные системы вывода позволяют безопасно разворачивать модели ИИ в ненадежных средах, интегрируя аппаратные доверенные исполнители, безопасные рабочие процессы ускорителей и подтвержденные шифровальные каналы. Модульная архитектура, описанная здесь, балансирует производительность, безопасность и возможность аудита, предлагая практическую схему для организаций, стремящихся предоставить масштабируемые услуги ИИ с сохранением конфиденциальности.
!
Это исследование Anthropic о безопасной AI-инференции с использованием TEE может быть очень актуальным для Web3, изначально было опубликовано в Sentora на Medium, где люди продолжают обсуждение, выделяя и отвечая на эту историю.