Jonathan Mortensen, Założyciel i Dyrektor Generalny Confident Security – Seria Wywiadów

Jonathan Mortensen, Założyciel i Dyrektor Generalny Confident Security, obecnie kieruje rozwojem systemów AI z udowodnioną prywatnością dla branż o surowych wymogach bezpieczeństwa i zgodności. Pełni również funkcję Założyciela Fellow w South Park Commons, gdzie eksploruje przyszłość obliczeń AI, pamięci, prywatności i własności. Przed założeniem Confident Security, był Inżynierem Oprogramowania w Databricks, integrując technologię bit.io z platformą danych, ze szczególnym uwzględnieniem zabezpieczeń wielodostępowych, IAM/ACL, izolacji VPC, szyfrowania i własności danych. Wcześniej założył i pełnił funkcję CTO bit.io, budując usługę serwerless PostgreSQL w wielu chmurach i regionach, która obsługiwała setki tysięcy bezpiecznych baz danych i została później przejęta przez Databricks.

Confident Security buduje infrastrukturę, która pozwala przedsiębiorstwom na uruchamianie procesów AI bez ujawniania wrażliwych informacji. Ich platforma jest zaprojektowana w taki sposób, aby polecenia, dane i dane wyjściowe modelu pozostały w pełni prywatne, nigdy nie były rejestrowane i nigdy nie były ponownie wykorzystywane, dając organizacjom bezpieczny sposób na przyjęcie AI, jednocześnie spełniając surowe standardy regulacyjne i zgodności.

Założyłeś Confident Security w 2024 roku po budowie bit.io i pracy w Databricks. Co spowodowało, że zrozumiałeś, iż AI potrzebuje fundamentalnie innego podejścia do prywatności?

Moje doświadczenie w budowaniu infrastruktury danych nauczyło mnie tego: jeśli ludzie umieszczają wrażliwe informacje w systemie, zaufanie nie jest wystarczające. Potrzebują dowodu. Zbudowaliśmy infrastrukturę, w której klienci posiadali własne dane i daliśmy im sposoby, aby to potwierdzić.

Gdy spojrzałem, jak firmy wykorzystują LLM, ten dowód nie istniał. Pracownicy wklejali kod źródłowy, dokumenty prawne i rekordy pacjentów do modeli uruchamianych przez strony trzecie, których nie mogli zweryfikować. Już widzieliśmy, jak prywatne rozmowy zostały przypadkowo zindeksowane w sieci i jak zmiany polityki spowodowały, że rozmowy stały się domyślnie danymi szkoleniowymi. Pokazało to, jak kruchy jest obecny model prywatności.

Jeśli AI ma obsługiwać najbardziej wrażliwe informacje na świecie, potrzebujemy gwarancji, które nie zależą od zaufania do wewnętrznych obietnic dostawcy. To właśnie skłoniło mnie do założenia Confident Security.

OpenPCC jest opisywany jako „Signal dla AI”. Dlaczego było ważne, aby ta warstwa prywatności była otwarta, poświadczalna i interoperacyjna od samego początku?

Szyfrowanie końca do końca nie przyjęło się, dopóki nie stało się standardem, który każdy mógł przyjąć. Chcemy tego samego dla prywatności AI. Jeśli tylko kilka firm może zaoferować prawdziwe gwarancje, to prywatność nie będzie skalowalna.

OpenPCC jest otwartym oprogramowaniem pod licencją Apache 2.0, więc każdy może na nim budować lub go inspekcjonować. Nie ma żadnego tajnego wymogu zaufania. Attestacja sprzętowa zapewnia kryptograficzny dowód o tym, co jest uruchomione i gdzie. I upewniliśmy się, że działa wszędzie: w każdej chmurze, w każdym dostawcy modelu, w każdej stosie deweloperskiej.

Istnieje ogromna wartość w podłodze prywatności, która jest spójna i powszechna. Jeśli używasz OpenPCC, wiesz, że Twoje dane nie są widoczne dla dostawców modeli, regulatorów ani nawet dla nas. Standard działa tylko wtedy, gdy cały ekosystem może w nim uczestniczyć, więc zaprojektowaliśmy go tak, aby był jak najbardziej inkluzywny od samego początku.

Przed Confident Security, zbudowałeś duże systemy dla wielodostępności, szyfrowania i własności danych. Jak te doświadczenia ukształtowały architekturę OpenPCC?

Te systemy potwierdziły dwie prawdy: jeśli system może przechowywać dane, ostatecznie to zrobi, niezależnie od tego, czy jest to przez logi, błędy konfiguracji czy żądania prawne. I zaufanie nie jest modelem prywatności. Użytkownicy potrzebują widoczności i kontroli.

OpenPCC działa w trybie bezstanowym, więc polecenia znikają po przetworzeniu. Attestacja pozwala użytkownikom zweryfikować, dokąd ich dane trafiają i jaki kod jest uruchamiany. I poprzez izolację kontroli od danych, OpenPCC uniemożliwia, aby dane prywatne były kiedykolwiek traktowane jako instrukcje wykonywalne.

Te ograniczenia są tym, czego firmy oczekują: gwarancje, że dane nie pojawią się gdzieś nieoczekiwanie.

Uzasadniłeś, że większość „prywatnych rozwiązań AI” opiera się na zaufaniu do nieprzezroczystych systemów. Dlaczego niezależna weryfikacja jest niezbędna dla prawdziwej prywatności?

Większość języka prywatności dzisiaj jest skutecznie „po prostu zaufaj nam”. To nie jest wystarczające, gdy stawka obejmuje bezpieczeństwo narodowe i regulowane dane opieki zdrowotnej. Jeśli użytkownik nie może zweryfikować twierdzenia, to nie jest gwarancją – to marketing.

Weryfikowalna prywatność jest inna. Nie ufaj zamiarom operatora. Weryfikujesz sprzęt, obraz oprogramowania i gwarancje obsługi danych. Kryptografia egzekwuje granice. Logi nie istnieją, aby ktoś mógł przypadkowo je ujawnić lub wezwać.

Gdy prywatność jest audytowalna przez użytkownika, tworzy się fundamentalnie bezpieczniejszy system. To odpowiedzialność oparta na matematyce.

Ogłoszenie Google o „Prywatnym AI” nastąpiło krótko po OpenPCC. Publicznie zaapelowałeś do nich, aby udostępnili TPU do niezależnego testowania. Co motywowało to wezwanie, i co oczekujesz znaleźć?

Aby twierdzić, że gwarancje prywatności są spełnione, należy pozwolić społeczności na ich zweryfikowanie. NVIDIA już pozwala na zewnętrzną weryfikację na swoich procesorach H100, a my nawet opublikowaliśmy wersję języka Go biblioteki potwierdzenia, aby zachęcić do przyjęcia.

Jeśli Google chce złożyć podobne obietnice dotyczące TPU, powinniśmy być w stanie zmierzyć i zweryfikować te obietnice, a nie tylko przeczytać o nich w poście na blogu. Oczekujemy tych samych kontroli, których oczekujemy od każdego systemu prywatności: surowe granice przechowywania danych, audytowalne potwierdzenie i brak tajnych ścieżek, gdzie logi lub telemetria mogą ujawnić informacje.

Twierdzenia dotyczące prywatności muszą przetrwać ścisłą kontrolę.

Dla czytelników nieznajomych z mechaniką, co sprawia, że w pełni zaszyfrowane kanały OpenPCC są różne od tradycyjnego szyfrowania po stronie klienta lub poufnego przetwarzania?

Szyfrowanie po stronie klienta chroni dane w trakcie ich przesyłania, a poufne przetwarzanie chroni je podczas przetwarzania, ale nadal istnieją luki, gdzie operatorzy lub atakujący mogą uzyskać dostęp do wrażliwych informacji.

OpenPCC zamyka te luki. Tworzy zamkniętą ścieżkę od końca do końca między klientem a modelem, która chroni polecenie, odpowiedź, tożsamość użytkownika i nawet metadane lub sygnały czasowe, które mogą cicho ujawnić intencje. Operatorzy nie mogą odszyfrować niczego. Nic nie jest rejestrowane ani przechowywane, nawet w przypadku naruszenia.

Prywatność nie powinna zależeć od nadziei, że dostawca postąpi słusznie za kulisami. Musi być egzekwowana kryptograficznie.

Jak zmienia się równanie dla branż regulowanych, takich jak finanse, opieka zdrowotna i obrona, gdy mamy do czynienia z weryfikowalną prywatnością?

Branże regulowane mają najwięcej do zyskania z AI, ale także najwięcej do stracenia, jeśli coś wycieknie. Dzisiaj 78% pracowników wkleja wewnętrzne dane do narzędzi AI, a jeden na pięć przypadków obejmuje regulowane informacje, takie jak PHI lub PCI. Eksponowanie już się dzieje.

Weryfikowalna prywatność usuwa największy blok. Wrażliwe polecenia nigdy nie istnieją w postaci jawnej w środowisku dostawcy modelu. Nic nie może być użyte do szkolenia. Nawet prawnie uzasadnione żądania nie mogą uzyskać dostępu do tego, czego sam system nie może zobaczyć.

Zespoły ds. ryzyka i zgodności w końcu mają ścieżkę, na której „tak” staje się domyślnym ustawieniem zamiast „nie”.

Jakie były największe wyzwania inżynieryjne w projektowaniu warstwy prywatności niezależnej od chmury, która działa w każdej firmie?

Poufne przetwarzanie i zdalne potwierdzenie jest jeszcze w powijakach, moim zdaniem. Każdy dostawca chmury i dostawca sprzętu robi coś nieco innego. Niektórzy dostawcy, jak AWS, nie mają nawet niezbędnego sprzętu, aby to zrobić. Więc każda funkcja, którą dodajemy, to jak 1000 cięć i chodzenie po linie. Ale cały punkt polega na tym, aby stać się otwartym standardem, więc musimy to zrobić, aby działało dla każdego. Jest to otwarte oprogramowanie, więc zachęcam do dodawania jeszcze więcej obsługiwanych platform i konfiguracji!

Co wygląda świat z domyślnym weryfikowalnym szyfrowaniem, i jak może to zmienić równowagę sił między firmami, dostawcami chmury i dostawcami modeli?

Przedsiębiorstwa zachowują kontrolę nad swoim najcenniejszym aktywem: danymi. Dostawcy modeli konkurują na podstawie wydajności i kosztów, a nie na podstawie tego, kto może zgromadzić najwięcej informacji własnościowych. Chmury umożliwiają prywatność zamiast być cichymi obserwatorami.

To zdrowsza równowaga sił. I cały ekosystem wygrywa, gdy bezpieczeństwo jest wbudowane w podstawę, a nie łatane na górze.

W przyszłości, gdy AI stanie się wszechobecne i silnie regulowane, jak widzisz weryfikowalną prywatność zmieniającą krajobraz konkurencyjny dla firm, dostawców chmury i deweloperów modeli?

Regulatorzy już kwestionują, w jaki sposób dane użytkowników są przechowywane i wykorzystywane. Model prywatności oparty na zaufaniu nie będzie im wystarczający na długo. Użytkownicy będą oczekiwać gwarancji prywatności w taki sam sposób, w jaki oczekują szyfrowania w aplikacjach do wiadomości dzisiaj.

Zwycięzcy będą firmami, które nie proszą użytkowników o kompromis. Jeśli możesz udowodnić prywatność, zarobisz zaufanie organizacji, które mają najcenniejsze dane na świecie. Dane stają się użyteczne w miejscach, gdzie były zablokowane.

Dziękuję za wspaniały wywiad, czytelnicy, którzy chcą dowiedzieć się więcej, powinni odwiedzić Confident Security.