Jonathan Mortensen, Oprichter en CEO van Confident Security – Interviewserie

Jonathan Mortensen, Oprichter en CEO van Confident Security, leidt momenteel de ontwikkeling van bewijsbaar-private AI-systemen voor industrieën met strikte beveiligings- en compliance-eisen. Hij fungeert ook als Founder Fellow bij South Park Commons, waar hij de toekomst van AI-compute, geheugen, privacy en eigendom verkent. Voordat hij Confident Security oprichtte, was hij Staff Software Engineer bij Databricks, waar hij de technologie van bit.io integreerde in het data-platform met een focus op multi-tenantbeveiliging, IAM/ACL’s, VPC-isolatie, encryptie en data-eigendom. Eerder was hij oprichter en CTO van bit.io, waar hij een multi-cloud, multi-regio serverless PostgreSQL-service bouwde die honderdduizenden beveiligde databases ondersteunde en later door Databricks werd overgenomen.

Confident Security bouwt infrastructuur die het bedrijven mogelijk maakt om AI-workflows uit te voeren zonder gevoelige informatie bloot te geven. Het platform is zo ontworpen dat prompts, data en modeluitvoer volledig privé blijven, nooit worden gelogd en nooit opnieuw worden gebruikt, waardoor organisaties een beveiligde manier hebben om AI te adopteren en strikte regelgevings- en compliance-normen te halen.

U hebt Confident Security in 2024 opgericht nadat u bit.io had gebouwd en bij Databricks had gewerkt. Wat was de aanleiding voor de realisatie dat AI een fundamenteel andere aanpak van privacy nodig had?

Mijn ervaring met het bouwen van data-infrastructuur heeft me geleerd dat als mensen gevoelige informatie in een systeem stoppen, vertrouwen niet voldoende is. Ze hebben bewijs nodig. We hebben infrastructuur gebouwd waar klanten de eigenaar waren van hun data, en we hebben hen manieren gegeven om te valideren dat dit zo was.

Toen ik keek naar hoe bedrijven LLM’s gebruikten, bestond dat bewijs niet. Medewerkers plakten broncode, juridische documenten en patiëntgegevens in modellen die werden uitgevoerd door derden die ze niet konden verifiëren. We hebben al gezien dat privégesprekken per ongeluk online werden geïndexeerd en beleidswijzigingen die plotseling conversaties tot trainingsdata maakten. Dit toonde aan hoe kwetsbaar het huidige privacy-model is.

Als AI de meest gevoelige informatie van de wereld moet verwerken, hebben we garanties nodig die niet afhankelijk zijn van het vertrouwen in de interne beloften van een leverancier. Dat is wat me ertoe bracht om Confident Security te starten.

OpenPCC wordt beschreven als de “Signal voor AI”. Waarom was het belangrijk dat deze privacylaag open, attesteerbaar en interoperabel was vanaf dag één?

Eind-tot-eind-encryptie kwam pas van de grond toen het een standaard werd die iedereen kon aannemen. We willen hetzelfde voor AI-privacy. Als alleen een paar bedrijven echte garanties kunnen bieden, dan zal privacy niet schalen.

OpenPCC is open source onder Apache 2.0, dus iedereen kan erop bouwen of het inspecteren. Er is geen geheim vertrouwensvereiste. Hardware-attestatie biedt cryptografisch bewijs over wat er wordt uitgevoerd en waar. En we hebben ervoor gezorgd dat het overal werkt: elke cloud, elke modelaanbieder, elke ontwikkelaarsstack.

Er is een enorme waarde in een privacy-vloer die consistent en universeel is. Als u OpenPCC gebruikt, weet u dat uw data niet zichtbaar is voor modelaanbieders, regulators of zelfs voor ons. Een standaard werkt alleen als het hele ecosysteem kan deelnemen, dus we hebben het zo ontworpen dat het zo inclusief mogelijk is vanaf dag één.

Voordat u Confident Security oprichtte, bouwde u grote schaalbare systemen voor multi-tenancy, encryptie en data-eigendom. Hoe hebben die ervaringen de architectuur van OpenPCC gevormd?

Die systemen hebben twee waarheden bevestigd: als een systeem data kan behouden, zal het dat uiteindelijk doen, of dat nu is door logs, misconfiguraties of juridische verzoeken. En vertrouwen is geen privacy-model. Gebruikers hebben zichtbaarheid en controle nodig.

OpenPCC werkt in een stateless-modus, zodat prompts verdwijnen na verwerking. Attestatie laat gebruikers verifiëren waar hun data naartoe gaat en welke code wordt uitgevoerd. En door controle te isoleren van data, voorkomt OpenPCC dat privé-input ooit als uitvoerbare instructies wordt behandeld.

Die beperkingen zijn wat ondernemingen hebben verwacht: garanties dat data niet opnieuw zal verschijnen op een onverwachte plaats.

U heeft betoogd dat de meeste “private AI”-oplossingen vertrouwen in ondoorzichtige systemen vereisen. Waarom is onafhankelijke verificatie essentieel voor echte privacy?

De meeste privacy-taal vandaag is effectief “vertrouw ons maar”. Dat is niet genoeg als de inzet nationale veiligheid en gereguleerde gezondheidsgegevens omvat. Als de gebruiker de claim niet kan verifiëren, is het geen garantie – het is marketing.

Verifieerbare privacy is anders. U vertrouwt niet op de intenties van de operator. U valideert de hardware, het softwarebeeld en de garanties voor gegevensbehandeling. Cryptografie dwingt de grenzen af. Logs bestaan niet voor iemand om per ongeluk te lekken of te dagvaarden.

Wanneer privacy auditeerbaar is door de gebruiker, creëert u een fundamenteel veiliger systeem. Het is verantwoordelijkheid geworteld in wiskunde.

Google’s “Private AI”-aankondiging kwam kort na OpenPCC. U daagde hen uit om een TPU voor onafhankelijke testing beschikbaar te stellen. Wat motiveerde die oproep, en wat zou u verwachten te vinden?

Om privacy-garanties te claimen, moet u de community laten valideren. NVIDIA laat al externe verificatie op zijn H100-GPU’s toe, en we hebben zelfs een Go-versie van hun attestatiebibliotheek open source gemaakt om adoptie aan te moedigen.

Als Google soortgelijke beloften op TPUs wil doen, zouden we die beloften moeten kunnen meten en verifiëren, en niet alleen over ze lezen in een blogpost. We zouden dezelfde controles verwachten die we van elk privacy-systeem verwachten: strikte gegevensretentie-grenzen, auditeerbare attestatie en geen geheime paden waar logs of telemetrie ontsnappen. Privacy-claims moeten weerstand bieden aan onderzoek.

Voor lezers die onbekend zijn met de mechanismen, wat maakt de volledig versleutelde kanalen van OpenPCC anders dan traditionele client-side-encryptie of vertrouwelijke computing?

Client-side-encryptie beschermt data onderweg, en vertrouwelijke computing beschermt het tijdens verwerking, maar er zijn nog steeds gaten voordat en na waar operators of aanvallers toegang kunnen krijgen tot gevoelige informatie.

OpenPCC sluit die gaten. Het creëert een afgesloten eind-tot-eind-pad tussen de client en het model dat de prompt, de respons, de identiteit van de gebruiker en zelfs metadata of timing-signalen die stilzwijgend intentie kunnen onthullen, beschermt. Operators kunnen niets decrypteren. Niets wordt gelogd of behouden, zelfs niet onder breach-omstandigheden.

Privacy mag niet afhankelijk zijn van de hoop dat de provider het goede doet achter de schermen. Het moet cryptografisch worden afgedwongen.

Hoe verandert verifieerbare privacy de vergelijking voor gereguleerde industrieën zoals financiën, gezondheidszorg en defensie?

Gereguleerde industrieën hebben het meest te winnen bij AI, maar ook het meest te verliezen als iets lekt. Vandaag plakken 78% van de medewerkers interne data in AI-hulpmiddelen, en in één op de vijf gevallen gaat het om gereguleerde informatie zoals PHI of PCI. De blootstelling gebeurt al.

Verifieerbare privacy verwijdert de grootste blokkade. Gevoelige prompts bestaan nooit in plaintext binnen de omgeving van een modelaanbieder. Niets kan worden gebruikt voor training. Zelfs wettelijke verzoeken kunnen niet toegang krijgen tot wat het systeem zelf niet kan zien.

Risico- en compliance-teams hebben eindelijk een pad waar “ja” de standaard wordt in plaats van “nee”.

Wat waren de grootste technische uitdagingen bij het ontwerpen van een cloud-agnostische privacylaag die werkt op elk enterprise-stack?

Vertrouwelijke computing en remote-attestatie is nog in de kinderschoenen, in mijn mening. Elke cloud-provider en bare metal-provider doet iets lichtjes anders. Sommige providers, zoals AWS, hebben niet eens de hardware nodig om het te doen. Dus elke functie die we toevoegen is als 1000 sneden en het lopen over een slappe koord. Maar het hele punt is om een open standaard te worden, dus we moeten het zo doen dat het voor ieders cloud werkt. Het is open source, dus ik moedig mensen aan om nog meer ondersteunde platforms en configuraties toe te voegen!

Wat ziet een wereld met standaard verifieerbare encryptie eruit, en hoe kan het de balans van macht tussen ondernemingen, cloud-leveranciers en modelaanbieders veranderen?

Ondernemingen houden de controle over hun meest waardevolle activum: hun data. Modelaanbieders concurreren op prestaties en kosten in plaats van wie de meeste propriëtaire informatie kan accumuleren. Clouds maken privacy mogelijk in plaats van stil te zijn over het observeren ervan.

Het is een gezondere balans van macht. En het hele ecosysteem wint als beveiliging in de basis is ingebouwd in plaats van erbovenop te zijn geplakt.

In een toekomst waarin AI overal aanwezig is en zwaar gereguleerd, hoe ziet u verifieerbare privacy de concurrentielandschap voor ondernemingen, cloud-leveranciers en modelontwikkelaars veranderen?

Regulators vragen zich al af hoe gebruikersgegevens worden opgeslagen en gebruikt. Vertrouwensgebaseerde privacy zal hen niet lang genoeg tevreden stellen. Gebruikers zullen privacy-garanties verwachten op de manier waarop ze encryptie in messaging-apps vandaag verwachten.

De winnaars zullen de bedrijven zijn die gebruikers niet vragen om te compromitteren. Als u privacy kunt bewijzen, verdient u het vertrouwen van de organisaties die de meest waardevolle data ter wereld hebben. Data wordt bruikbaar op plaatsen waar het eerder was afgesloten.

Bedankt voor het geweldige interview, lezers die meer willen leren, moeten Confident Security bezoeken.