TEEs, gizli çıkarımda temel yapı taşlarından biri olabilir.
Doğrulanabilir çıkarım, web3-AI'nın kanonik kullanım durumlarından biri olarak kabul edilmiştir. Bu anlatılarda, güvenilir yürütme ortamlarının(TEEs) ön planda olduğu görülmektedir. Son zamanlarda, Anthropic bu alandaki bazı fikirleri özetleyen bir araştırma makalesi yayınladı; bu fikirler web3-AI gündemini ilerletmek için ilgili olabilir.
Üretken AI hizmetleri - konuşma ajanlarından görüntü sentezine - giderek daha fazla hassas girdilerle görevlendirilmektedir ve değerli, özel modellere sahiptir. Gizli çıkarım, donanım destekli güvenilir yürütme ortamlarını (TEE) güçlü kriptografik iş akışları ile birleştirerek güvenilir olmayan altyapılarda AI iş yüklerinin güvenli bir şekilde yürütülmesini sağlar. Bu makale, gizli çıkarımı mümkün kılan ana yenilikleri sunmakta ve bulut ve kenar ortamlarında üretim dağıtımları için tasarlanmış modüler bir mimariyi incelemektedir.
Gizli Çıkarımda Temel Yenilikler
Gizli çıkarım, üç temel ilerlemeye dayanır:
Güvenilir Çalışma Ortamları (TEE'ler) Modern İşlemcilerde
Intel SGX, AMD SEV-SNP ve AWS Nitro gibi işlemciler, kodu ve veriyi ana işletim sisteminden ve hipervizörden izole eden mühürlü alanlar oluşturur. Her bir alan, başlangıçta içeriğini ölçer ve imzalı bir doğrulama yayınlar. Bu doğrulama, model ve veri sahiplerinin, herhangi bir gizli bilgiyi paylaşmadan önce iş yüklerinin onaylanmış, bozulmamış bir ikili üzerinde çalıştığını doğrulamasına olanak tanır.
Güvenli Hızlandırıcı Entegrasyonu
Yüksek performanslı çıkarım genellikle GPU'lar veya özel AI yongaları gerektirir. Bu hızlandırıcıları güvence altına alan iki entegrasyon modeli:
Yerel TEE GPU'lar: Yeni nesil hızlandırıcılar ( örneğin, NVIDIA H100) donanım izolasyonu içeren, modelleri ve girdileri doğrudan korumalı hızlandırıcı belleğinde şifre çözen ve çıktıları anlık olarak yeniden şifreleyen donanımlardır. Doğrulamalar, hızlandırıcı firmware'inin ve sürücü yığınının beklenen duruma eşleştiğini garanti eder.
CPU-Enclave Köprüsü: Hızlandırıcılar yerel TEE desteğinden yoksun olduğunda, CPU tabanlı bir enclave, GPU ile şifreli kanallar kurar( örneğin, korumalı paylaşılan bellek tamponları). Enclave, veri hareketini ve çıkarımını yönetir, saldırı yüzeyini en aza indirir.
Onaylı, Uçtan Uca Şifreleme İş Akışı
Gizli çıkarım, enclave doğrulamalarına dayalı iki aşamalı bir anahtar değişimi kullanır:
Model Provisioning: Model ağırlıkları, bir model sahibinin anahtar yönetim hizmeti (KMS) altında zarf şifrelemesi ile korunur. Dağıtım sırasında, enclave'in doğrulama belgesi KMS tarafından doğrulanır ve ardından doğrudan enclave'e bir veri şifreleme anahtarı (DEK) bırakılır.
Veri Alma: Benzer şekilde, müşteriler girdileri, yalnızca enclave'in onayını doğruladıktan sonra enclave'in genel anahtarı altında şifreler. Enclave girdileri çözüp, çıkarım yapar ve çıktıları tekrar müşteri için şifreler, böylece ne model ağırlıkları ne de kullanıcı verileri asla plaintext olarak enclave dışına çıkmaz.
Referans Mimarisi Genel Bakış
Üretim düzeyinde bir gizli çıkarım sistemi genellikle üç ana bileşenden oluşur:
Gizli Çıkarma Servisi
Güvenli Alan Programı: Şifre çözme, model yürütme ve şifreleme gerçekleştiren TEE'ye yüklenen minimal bir çalışma zamanı. Diskte kalıcı gizli bilgilerin bulunmasını önler ve yalnızca şifreli blob'ları almak ve onaylamayı iletmek için ana makineye güvener.
Enclave Proxy: Ana işletim sisteminde bulunan bu proxy, enclave'i başlatır ve onaylar, depolamadan şifreli model blob'larını alır ve KMS ile istemcilerle güvenli iletişimi yönlendirir. Katı ağ kontrolleri, proxy'nin yalnızca onaylı uç noktaları aracı kılmasını sağlar.
Model Sağlama Boru Hattı
KMS Üzerinden Zarf Şifreleme: Modeller, bozulmaya karşı dayanıklı blob'lara önceden şifrelenmiştir. Enklavenin doğrulaması, herhangi bir DEK açılmadan önce KMS doğrulamasını geçmelidir. Ultra hassas modeller için, anahtar yönetimi tamamen enkavde içinde gerçekleşebilir, böylece dışa maruz kalma önlenir.
Yeniden Üretilebilir Derlemeler & Denetim: Belirleyici derleme sistemleri (örneğin, Bazel) ve açık kaynaklı alanlar kullanarak, paydaşlar dağıtılan ikili dosyanın denetlenen kodla eşleştiğini bağımsız olarak doğrulayabilir, tedarik zinciri risklerini azaltabilir.
Geliştirici ve Yapı Ortamı
Belirleyici, Denetlenebilir Yapı Boru Hatları: Konteyner görüntüleri ve ikili dosyalar doğrulanabilir hash'lerle üretilir. Bağımlılıklar en aza indirilir ve TEE'nin saldırı yüzeyini azaltmak için incelenir.
İkili Doğrulama Araçları: Derleme sonrası analiz (örneğin, derlenmiş kapsayıcıların kaynak ile karşılaştırılması), çalışma zamanının denetlenen kod tabanıyla tam olarak eşleştiğini garanti eder.
Bileşen İş Akışı ve Etkileşimleri
Onay ve Anahtar Değişimi
Enclave, geçici bir anahtar çifti oluşturur ve kriptografik ölçümleri içeren imzalı bir doğrulama üretir.
Model sahibi KMS, tasdiki doğrular ve DEK'yi enclave içine açar.
Müşteriler, bölgenin doğrulamasını alır, doğrular ve tahmin girdilerini bölgenin genel anahtarı altında şifreler.
Çıkarım Veri Yolu
Model Yükleme: Şifreli nesneler, yalnızca korumalı bellek içinde çözülen bir şekilde, koruma alanına akıtılır.
Hesaplama Aşaması: Çıkarım, ya CPU'da ya da güvenli bir hızlandırıcıda çalışır. Yerel GPU TEE'lerinde, tensörler işlenene kadar şifreli kalır. Köprülenmiş kurulumlarda, şifreli tamponlar ve sıkı çekirdek bağlılığı, izolasyonu sağlar.
Çıktı Şifrelemesi: Çıktı sonuçları, saklama alanı içinde yeniden şifrelenir ve doğrudan istemciye geri döner veya katı erişim kuralları altında proxy üzerinden iletilir.
En Az Ayrıcalık Uygulama
Tüm ağ, depolama ve kriptografik izinler sıkı bir şekilde sınırlandırılmıştır:
Depolama kovaları yalnızca doğrulanmış bölgelere gelen istekleri kabul eder.
Ağ ACL'leri, proxy trafiğini KMS ve enclave uç noktalarına kısıtlar.
İçeriden tehditleri önlemek için ana bilgisayar hata ayıklama arayüzleri devre dışı bırakılmıştır.
Tehdit Azaltma ve En İyi Uygulamalar
Tedarik Zinciri Güvenliği: Tekrar edilebilir derlemeler ve bağımsız ikili doğrulama, kötü niyetli araç zinciri ihlallerini önler.
Kriptografik Esneklik: Dönemsel anahtar döngüsü ve post-kuantum algoritmalarına yönelik planlama, gelecekteki tehditlere karşı koruma sağlar.
Hızlandırıcı Yan Kanal Savunmaları: Hızlandırıcılarda yerel TEE'leri tercih edin; CPU enclave'leri aracılığıyla köprü kurarken katı bellek şifrelemesi ve çekirdek izolasyonu uygulayın.
Operasyonel Sertleştirme: Gereksiz ana bilgisayar hizmetlerini kaldırın, hata ayıklamayı devre dışı bırakın ve operatör erişimi için sıfır güven ilkelerini benimseyin.
Sonuç
Gizli çıkarım sistemleri, donanım TEE'leri, güvenli hızlandırıcı iş akışları ve doğrulanmış şifreleme boru hatları entegre ederek güvenilmeyen ortamlarda AI modellerinin güvenli bir şekilde dağıtımını sağlar. Burada ana hatlarıyla belirtilen modüler mimari, ölçeklenebilir gizlilik koruyucu AI hizmetleri sunmayı hedefleyen kuruluşlar için pratik bir plan sunarak performans, güvenlik ve denetlenebilirlik arasında bir denge kurar.
Bu Anthropic Araştırması, TEEs ile Güvenli AI Çıkarımı Hakkında Web3 için Çok İlgili Olabilir, aslında Sentora'da Medium'da yayımlanmıştır ve insanlar bu hikayeye dikkat çekerek ve yanıt vererek tartışmaya devam etmektedir.
View Original
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Bu Anthropic Araştırması, TEEs ile Güvenli AI Çıkarımı Hakkında Web3 için Çok İlgili Olabilir
TEEs, gizli çıkarımda temel yapı taşlarından biri olabilir.
Doğrulanabilir çıkarım, web3-AI'nın kanonik kullanım durumlarından biri olarak kabul edilmiştir. Bu anlatılarda, güvenilir yürütme ortamlarının(TEEs) ön planda olduğu görülmektedir. Son zamanlarda, Anthropic bu alandaki bazı fikirleri özetleyen bir araştırma makalesi yayınladı; bu fikirler web3-AI gündemini ilerletmek için ilgili olabilir.
Üretken AI hizmetleri - konuşma ajanlarından görüntü sentezine - giderek daha fazla hassas girdilerle görevlendirilmektedir ve değerli, özel modellere sahiptir. Gizli çıkarım, donanım destekli güvenilir yürütme ortamlarını (TEE) güçlü kriptografik iş akışları ile birleştirerek güvenilir olmayan altyapılarda AI iş yüklerinin güvenli bir şekilde yürütülmesini sağlar. Bu makale, gizli çıkarımı mümkün kılan ana yenilikleri sunmakta ve bulut ve kenar ortamlarında üretim dağıtımları için tasarlanmış modüler bir mimariyi incelemektedir.
Gizli Çıkarımda Temel Yenilikler
Gizli çıkarım, üç temel ilerlemeye dayanır:
Güvenilir Çalışma Ortamları (TEE'ler) Modern İşlemcilerde
Intel SGX, AMD SEV-SNP ve AWS Nitro gibi işlemciler, kodu ve veriyi ana işletim sisteminden ve hipervizörden izole eden mühürlü alanlar oluşturur. Her bir alan, başlangıçta içeriğini ölçer ve imzalı bir doğrulama yayınlar. Bu doğrulama, model ve veri sahiplerinin, herhangi bir gizli bilgiyi paylaşmadan önce iş yüklerinin onaylanmış, bozulmamış bir ikili üzerinde çalıştığını doğrulamasına olanak tanır.
Güvenli Hızlandırıcı Entegrasyonu
Yüksek performanslı çıkarım genellikle GPU'lar veya özel AI yongaları gerektirir. Bu hızlandırıcıları güvence altına alan iki entegrasyon modeli:
Onaylı, Uçtan Uca Şifreleme İş Akışı
Gizli çıkarım, enclave doğrulamalarına dayalı iki aşamalı bir anahtar değişimi kullanır:
Referans Mimarisi Genel Bakış
Üretim düzeyinde bir gizli çıkarım sistemi genellikle üç ana bileşenden oluşur:
Gizli Çıkarma Servisi
Geliştirici ve Yapı Ortamı
Bileşen İş Akışı ve Etkileşimleri
Onay ve Anahtar Değişimi
Çıkarım Veri Yolu
En Az Ayrıcalık Uygulama Tüm ağ, depolama ve kriptografik izinler sıkı bir şekilde sınırlandırılmıştır:
Tehdit Azaltma ve En İyi Uygulamalar
Sonuç
Gizli çıkarım sistemleri, donanım TEE'leri, güvenli hızlandırıcı iş akışları ve doğrulanmış şifreleme boru hatları entegre ederek güvenilmeyen ortamlarda AI modellerinin güvenli bir şekilde dağıtımını sağlar. Burada ana hatlarıyla belirtilen modüler mimari, ölçeklenebilir gizlilik koruyucu AI hizmetleri sunmayı hedefleyen kuruluşlar için pratik bir plan sunarak performans, güvenlik ve denetlenebilirlik arasında bir denge kurar.
Bu Anthropic Araştırması, TEEs ile Güvenli AI Çıkarımı Hakkında Web3 için Çok İlgili Olabilir, aslında Sentora'da Medium'da yayımlanmıştır ve insanlar bu hikayeye dikkat çekerek ve yanıt vererek tartışmaya devam etmektedir.