TEEs có thể là một trong những nguyên lý cốt lõi trong suy diễn bảo mật.
Suy diễn có thể xác minh đã được coi là một trong những trường hợp sử dụng điển hình của web3-AI. Trong những câu chuyện đó, việc sử dụng các môi trường thực thi đáng tin cậy(TEEs) đã được đặt ở vị trí trung tâm. Gần đây, Anthropic đã công bố một bài nghiên cứu phác thảo một số ý tưởng trong lĩnh vực này có thể liên quan đến việc thúc đẩy chương trình trong web3-AI.
Các dịch vụ AI sinh tạo - từ các tác nhân hội thoại đến tổng hợp hình ảnh - ngày càng được giao phó với các đầu vào nhạy cảm và nắm giữ các mô hình độc quyền có giá trị. Suy diễn bảo mật cho phép thực hiện an toàn các khối lượng công việc AI trên cơ sở hạ tầng không đáng tin cậy bằng cách kết hợp các TEE hỗ trợ phần cứng với các quy trình mã hóa mạnh mẽ. Bài luận này trình bày các đổi mới chính giúp suy diễn bảo mật trở nên khả thi và xem xét một kiến trúc mô-đun được thiết kế cho các triển khai sản xuất trong môi trường đám mây và biên.
Các Đổi Mới Cốt Lõi Trong Suy Diễn Bảo Mật
Sự suy luận bí mật dựa trên ba tiến bộ cơ bản:
Môi Trường Thực Thi Đáng Tin Cậy (TEEs) trên Các Bộ Xử Lý Hiện Đại
Các bộ vi xử lý như Intel SGX, AMD SEV-SNP và AWS Nitro tạo ra các khu vực được bảo vệ, cách ly mã và dữ liệu khỏi hệ điều hành và hypervisor của máy chủ. Mỗi khu vực sẽ đo lường nội dung của nó khi khởi động và công bố một chứng thực đã ký. Chứng thực này cho phép các chủ sở hữu mô hình và dữ liệu xác minh rằng các khối lượng công việc của họ chạy trên một nhị phân đã được phê duyệt, không bị thay đổi trước khi tiết lộ bất kỳ bí mật nào.
Tích hợp Tăng tốc An toàn
Phân tích hiệu suất cao thường yêu cầu GPU hoặc chip AI chuyên dụng. Hai mô hình tích hợp bảo vệ các bộ tăng tốc này:
GPU TEE gốc: Bộ tăng tốc thế hệ tiếp theo ( ví dụ: NVIDIA H100) nhúng cách ly phần cứng để giải mã các mô hình và đầu vào trực tiếp trong bộ nhớ tăng tốc được bảo vệ, mã hóa lại các đầu ra ngay lập tức. Các chứng thực đảm bảo rằng firmware và ngăn xếp trình điều khiển của bộ tăng tốc khớp với trạng thái dự kiến.
Kết nối CPU-Enclave: Khi các bộ tăng tốc thiếu hỗ trợ TEE gốc, một enclave dựa trên CPU thiết lập các kênh mã hóa (ví dụ, các bộ đệm bộ nhớ chia sẻ được bảo vệ) với GPU. Enclave điều phối việc di chuyển dữ liệu và suy diễn, giảm thiểu bề mặt tấn công.
Quy trình Mã hóa Đầu-cuối Được Chứng thực
Suy diễn bảo mật sử dụng trao đổi khóa hai giai đoạn dựa trên xác thực enclave:
Cung cấp mô hình: Trọng số mô hình được mã hóa bằng envelop dưới dịch vụ quản lý khóa của chủ sở hữu mô hình (KMS). Trong quá trình triển khai, tài liệu chứng thực của enclave được KMS xác thực, sau đó giải phóng một khóa mã hóa dữ liệu (DEK) trực tiếp vào enclave.
Tiếp Nhận Dữ Liệu: Tương tự, khách hàng mã hóa các đầu vào dưới khóa công khai của enclave chỉ sau khi xác minh chứng nhận của nó. Enclave giải mã các đầu vào, thực hiện suy luận và mã hóa lại các đầu ra cho khách hàng, đảm bảo rằng cả trọng số mô hình và dữ liệu người dùng không bao giờ xuất hiện dưới dạng văn bản thuần túy bên ngoài enclave.
Tổng quan kiến trúc tham khảo
Một hệ thống suy diễn bí mật cấp sản xuất thường bao gồm ba thành phần chính:
Dịch vụ Suy diễn Bảo mật
Chương trình Secure Enclave: Một runtime tối thiểu được tải vào TEE để thực hiện giải mã, thực thi mô hình và mã hóa. Nó tránh các bí mật tồn tại trên đĩa và chỉ dựa vào máy chủ để lấy các blob mã hóa và truyền đạt sự xác nhận.
Enclave Proxy: Nằm trong hệ điều hành chủ, proxy này khởi tạo và xác thực enclave, lấy các mô hình blob được mã hóa từ kho lưu trữ và tổ chức giao tiếp an toàn với KMS và khách hàng. Các kiểm soát mạng nghiêm ngặt đảm bảo rằng proxy chỉ làm trung gian cho các điểm cuối đã được phê duyệt.
Dòng Cung Cấp Mô Hình
Mã hóa phong bì thông qua KMS: Các mô hình được mã hóa trước thành các khối không thể thay đổi. Việc chứng thực của enclave phải vượt qua xác thực KMS trước khi bất kỳ DEK nào được mở khóa. Đối với các mô hình siêu nhạy cảm, việc xử lý khóa có thể diễn ra hoàn toàn bên trong enclave để tránh bị lộ ra bên ngoài.
Xây dựng có thể tái sản xuất & Kiểm toán: Sử dụng các hệ thống xây dựng xác định (ví dụ: Bazel) và các enclave mã nguồn mở, các bên liên quan có thể xác minh độc lập rằng nhị phân đã triển khai khớp với mã đã được kiểm toán, giảm thiểu rủi ro chuỗi cung ứng.
Môi trường Phát triển & Xây dựng
Các Pipeline Xây Dựng Có Thể Xác Định và Kiểm Toán: Hình ảnh container và nhị phân được sản xuất với các băm có thể xác minh. Các phụ thuộc được tối thiểu hóa và kiểm tra để giảm bề mặt tấn công của TEE.
Công cụ xác minh nhị phân: Phân tích sau xây dựng ( ví dụ, so sánh các enclave đã biên dịch với mã nguồn ) đảm bảo rằng thời gian chạy tương ứng chính xác với mã nguồn đã được kiểm toán.
Quy trình thành phần & Tương tác
Chứng nhận và Trao đổi Khóa
Khu vực tạo ra một cặp khóa tạm thời và sản xuất một chứng nhận ký tên chứa các phép đo mật mã.
KMS của chủ mô hình xác minh chứng nhận và mở khóa DEK vào vùng bảo mật.
Khách hàng lấy chứng nhận của khu vực bảo mật, xác thực nó và mã hóa các đầu vào suy luận dưới khóa công khai của khu vực bảo mật.
Đường Dữ Liệu Suy Diễn
Tải Mô Hình: Các blob mã hóa được truyền vào khu vực bảo vệ, nơi chúng chỉ được giải mã bên trong bộ nhớ bảo vệ.
Giai đoạn Tính toán: Việc suy diễn được thực hiện trên CPU hoặc một bộ tăng tốc được bảo mật. Trong TEE GPU gốc, các tensor vẫn được mã hóa cho đến khi được xử lý. Trong các thiết lập cầu nối, các bộ đệm được mã hóa và sự gắn kết chặt chẽ của lõi thực thi tính năng cách ly.
Mã hóa đầu ra: Kết quả suy diễn được mã hóa lại bên trong khu vực bảo vệ và được trả lại trực tiếp cho khách hàng hoặc được chuyển qua proxy dưới các quy tắc truy cập nghiêm ngặt.
Thực thi quyền tối thiểu
Tất cả quyền truy cập mạng, lưu trữ và mã hóa đều được giới hạn chặt chẽ:
Các thùng lưu trữ chỉ chấp nhận yêu cầu từ các khu vực đã được chứng thực.
ACL mạng giới hạn lưu lượng proxy đến các điểm cuối KMS và enclave.
Các giao diện gỡ lỗi của máy chủ đã bị vô hiệu hóa để ngăn chặn các mối đe dọa từ bên trong.
Các biện pháp giảm thiểu rủi ro và Thực tiễn tốt nhất
An ninh chuỗi cung ứng: Các bản dựng có thể tái tạo và xác thực nhị phân độc lập ngăn chặn sự xâm nhập của công cụ độc hại.
Tính linh hoạt trong mật mã: Việc thay đổi khóa định kỳ và lập kế hoạch cho các thuật toán hậu lượng tử bảo vệ chống lại các mối đe dọa trong tương lai.
Phòng Ngừa Kênh Bên Tăng Tốc: Ưu tiên các TEE gốc trên các bộ tăng tốc; thực thi mã hóa bộ nhớ nghiêm ngặt và cách ly lõi khi kết nối qua các khu vực bảo mật CPU.
Củng cố hoạt động: Loại bỏ các dịch vụ máy chủ không cần thiết, vô hiệu hóa gỡ lỗi và áp dụng nguyên tắc không tin cậy cho quyền truy cập của người vận hành.
Kết luận
Các hệ thống suy diễn bảo mật cho phép triển khai an toàn các mô hình AI trong môi trường không đáng tin cậy bằng cách tích hợp các TEE phần cứng, quy trình tăng tốc an toàn và các đường ống mã hóa đã được xác nhận. Kiến trúc mô-đun được phác thảo ở đây cân bằng hiệu suất, bảo mật và khả năng kiểm toán, cung cấp một bản thiết kế thực tiễn cho các tổ chức nhằm cung cấp dịch vụ AI bảo vệ quyền riêng tư trên quy mô lớn.
Nghiên cứu Anthropic về suy diễn AI an toàn với TEE có thể rất liên quan đến Web3 đã được xuất bản lần đầu tiên trên Sentora trên Medium, nơi mọi người đang tiếp tục cuộc trò chuyện bằng cách làm nổi bật và phản hồi câu chuyện này.
Xem bản gốc
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Nghiên cứu của Anthropic về suy diễn AI an toàn với TEE có thể vô cùng liên quan đến Web3
TEEs có thể là một trong những nguyên lý cốt lõi trong suy diễn bảo mật.
Các dịch vụ AI sinh tạo - từ các tác nhân hội thoại đến tổng hợp hình ảnh - ngày càng được giao phó với các đầu vào nhạy cảm và nắm giữ các mô hình độc quyền có giá trị. Suy diễn bảo mật cho phép thực hiện an toàn các khối lượng công việc AI trên cơ sở hạ tầng không đáng tin cậy bằng cách kết hợp các TEE hỗ trợ phần cứng với các quy trình mã hóa mạnh mẽ. Bài luận này trình bày các đổi mới chính giúp suy diễn bảo mật trở nên khả thi và xem xét một kiến trúc mô-đun được thiết kế cho các triển khai sản xuất trong môi trường đám mây và biên.
Các Đổi Mới Cốt Lõi Trong Suy Diễn Bảo Mật
Sự suy luận bí mật dựa trên ba tiến bộ cơ bản:
Môi Trường Thực Thi Đáng Tin Cậy (TEEs) trên Các Bộ Xử Lý Hiện Đại
Các bộ vi xử lý như Intel SGX, AMD SEV-SNP và AWS Nitro tạo ra các khu vực được bảo vệ, cách ly mã và dữ liệu khỏi hệ điều hành và hypervisor của máy chủ. Mỗi khu vực sẽ đo lường nội dung của nó khi khởi động và công bố một chứng thực đã ký. Chứng thực này cho phép các chủ sở hữu mô hình và dữ liệu xác minh rằng các khối lượng công việc của họ chạy trên một nhị phân đã được phê duyệt, không bị thay đổi trước khi tiết lộ bất kỳ bí mật nào.
Tích hợp Tăng tốc An toàn
Phân tích hiệu suất cao thường yêu cầu GPU hoặc chip AI chuyên dụng. Hai mô hình tích hợp bảo vệ các bộ tăng tốc này:
Quy trình Mã hóa Đầu-cuối Được Chứng thực
Suy diễn bảo mật sử dụng trao đổi khóa hai giai đoạn dựa trên xác thực enclave:
Tổng quan kiến trúc tham khảo
Một hệ thống suy diễn bí mật cấp sản xuất thường bao gồm ba thành phần chính:
Dịch vụ Suy diễn Bảo mật
Quy trình thành phần & Tương tác
Chứng nhận và Trao đổi Khóa
Đường Dữ Liệu Suy Diễn
Thực thi quyền tối thiểu Tất cả quyền truy cập mạng, lưu trữ và mã hóa đều được giới hạn chặt chẽ:
Các biện pháp giảm thiểu rủi ro và Thực tiễn tốt nhất
Kết luận
Các hệ thống suy diễn bảo mật cho phép triển khai an toàn các mô hình AI trong môi trường không đáng tin cậy bằng cách tích hợp các TEE phần cứng, quy trình tăng tốc an toàn và các đường ống mã hóa đã được xác nhận. Kiến trúc mô-đun được phác thảo ở đây cân bằng hiệu suất, bảo mật và khả năng kiểm toán, cung cấp một bản thiết kế thực tiễn cho các tổ chức nhằm cung cấp dịch vụ AI bảo vệ quyền riêng tư trên quy mô lớn.
Nghiên cứu Anthropic về suy diễn AI an toàn với TEE có thể rất liên quan đến Web3 đã được xuất bản lần đầu tiên trên Sentora trên Medium, nơi mọi người đang tiếp tục cuộc trò chuyện bằng cách làm nổi bật và phản hồi câu chuyện này.