Entrevistas
Jonathan Mortensen, Fundador e CEO da Confident Security – Série de Entrevistas
Jonathan Mortensen, Fundador e CEO da Confident Security, atualmente lidera o desenvolvimento de sistemas de IA provavelmente privados para indústrias com requisitos de segurança e conformidade rigorosos. Ele também atua como Fundador Fellow na South Park Commons, onde explora o futuro do cálculo de IA, memória, privacidade e propriedade. Antes de lançar a Confident Security, ele foi Engenheiro de Software Sênior na Databricks, integrando a tecnologia do bit.io à plataforma de dados com foco em segurança multi-locatário, IAM/ACLs, isolamento de VPC, criptografia e propriedade de dados. Anteriormente, ele fundou e atuou como CTO do bit.io, construindo um serviço de PostgreSQL serverless multi-nuvem e multi-região que suportava centenas de milhares de bancos de dados seguros e foi posteriormente adquirido pela Databricks.
Confident Security constrói infraestrutura que permite que as empresas executem fluxos de trabalho de IA sem expor informações sensíveis. Sua plataforma é projetada para que prompts, dados e saídas de modelo permaneçam totalmente privados, nunca sejam registrados e nunca sejam reutilizados, dando às organizações uma forma segura de adotar IA enquanto atendem a padrões regulatórios e de conformidade rigorosos.
Você fundou a Confident Security em 2024, após construir bit.io e trabalhar na Databricks. O que despertou a realização de que a IA precisava de uma abordagem fundamentalmente diferente para a privacidade?
Minha experiência em construir infraestrutura de dados me ensinou isso: se as pessoas estão colocando informações sensíveis em um sistema, a confiança não é suficiente. Eles precisam de provas. Nós construímos infraestrutura onde os clientes eram donos de seus dados e lhes dávamos meios de validar isso.
Quando olhei para como as empresas estavam usando LLMs, essa prova não existia. Funcionários estavam colando código-fonte, documentos legais e registros de pacientes em modelos executados por terceiros que não podiam ser verificados. Já vimos conversas privadas indexadas acidentalmente online e mudanças de política que tornaram conversas dados de treinamento por padrão. Isso mostrou quão frágil é o modelo de privacidade atual.
Se a IA vai lidar com as informações mais sensíveis do mundo, precisamos de garantias que não dependam de promessas internas de um fornecedor. É isso que me levou a iniciar a Confident Security.
OpenPCC está sendo descrito como o “Signal para IA”. Por que foi importante que essa camada de privacidade fosse aberta, atestável e interoperável desde o início?
A criptografia de ponta a ponta não decolou até se tornar um padrão que todos pudessem adotar. Queremos a mesma coisa para a privacidade da IA. Se apenas algumas empresas podem oferecer garantias reais, então a privacidade não será escalável.
OpenPCC é de código aberto sob Apache 2.0, então qualquer um pode construir sobre ele ou inspecioná-lo. Não há requisito de confiança secreto. A atestação de hardware fornece prova criptográfica sobre o que está sendo executado e onde. E garantimos que funcione em qualquer lugar: qualquer nuvem, qualquer provedor de modelo, qualquer pilha de desenvolvedor.
Há um grande valor em um piso de privacidade que é consistente e universal. Se você estiver usando OpenPCC, sabe que seus dados não são visíveis para provedores de modelo, reguladores ou mesmo para nós. Um padrão só funciona se todo o ecossistema puder participar, então projetamos para ser o mais inclusivo possível desde o início.
Antes da Confident Security, você construiu sistemas de grande escala para multi-locatário, criptografia e propriedade de dados. Como essas experiências moldaram a arquitetura do OpenPCC?
Esses sistemas reforçaram duas verdades: se um sistema pode reter dados, eventualmente o fará, seja por meio de logs, configurações incorretas ou solicitações legais. E a confiança não é um modelo de privacidade. Os usuários precisam de visibilidade e controle.
OpenPCC executa em um modo sem estado, então os prompts desaparecem após o processamento. A atestação permite que os usuários verifiquem para onde seus dados estão indo e qual código está sendo executado. E isolando o controle dos dados, OpenPCC impede que entradas privadas sejam tratadas como instruções executáveis.
Essas restrições são o que as empresas estavam esperando: garantias de que os dados não reaparecerão em algum lugar inesperado.
Você argumentou que a maioria das soluções de “IA privada” depende da confiança em sistemas opacos. Por que a verificação independente é essencial para a verdadeira privacidade?
A maioria da linguagem de privacidade hoje é efetivamente “apenas confie em nós”. Isso não é suficiente quando as apostas incluem segurança nacional e dados de saúde regulamentados. Se o usuário não pode verificar a afirmação, não é uma garantia – é marketing.
A privacidade verificável é diferente. Você não confia nas intenções do operador. Você valida o hardware, a imagem de software e as garantias de manipulação de dados. A criptografia impõe as fronteiras. Os logs não existem para que alguém possa vazá-los ou intimá-los.
Quando a privacidade é auditável pelo usuário, você cria um sistema fundamentalmente mais seguro. É responsabilidade enraizada na matemática.
O anúncio de “IA Privada” do Google veio logo após o OpenPCC. Você desafiou publicamente o Google a fornecer um TPU para testes independentes. O que motivou esse desafio, e o que você esperaria encontrar?
Para reivindicar garantias de privacidade, você deve permitir que a comunidade as verifique. A NVIDIA já permite a verificação externa em seus GPUs H100, e até mesmo open source uma versão em Go da biblioteca de atestação para encorajar a adoção.
Se o Google quer fazer promessas semelhantes sobre TPUs, devemos ser capazes de medir e verificar essas promessas, e não apenas lê-las em um post de blog. Procuraríamos os mesmos controles que esperamos de qualquer sistema de privacidade: fronteiras de retenção de dados estritas, atestação auditável e nenhum caminho secreto onde logs ou telemetria escapem. As alegações de privacidade precisam sobreviver ao escrutínio.
Para leitores não familiarizados com a mecânica, o que torna os canais totalmente criptografados do OpenPCC diferentes da criptografia tradicional do lado do cliente ou do cálculo confidencial?
A criptografia do lado do cliente protege os dados no caminho, e o cálculo confidencial os protege enquanto estão sendo processados, mas ainda há lacunas antes e depois onde operadores ou atacantes podem acessar informações sensíveis.
OpenPCC fecha essas lacunas. Ele cria um caminho de ponta a ponta selado entre o cliente e o modelo que protege o prompt, a resposta, a identidade do usuário e até mesmo metadados ou sinais de tempo que podem revelar silenciosamente a intenção. Os operadores não podem descriptografar nada. Nada é registrado ou retido, mesmo em condições de violação.
A privacidade não deve depender de esperar que o provedor faça a coisa certa nos bastidores. Ela precisa ser aplicada criptograficamente.
Como a privacidade verificável muda a equação para indústrias regulamentadas, como finanças, saúde e defesa?
As indústrias regulamentadas têm mais a ganhar com a IA, mas também mais a perder se algo vazar. Hoje, 78% dos funcionários colam dados internos em ferramentas de IA, e um em cada cinco casos inclui informações regulamentadas, como PHI ou PCI. A exposição já está acontecendo.
A privacidade verificável remove o maior bloqueador. Prompts sensíveis nunca existem em texto simples dentro do ambiente do provedor de modelo. Nada pode ser usado para treinamento. Até mesmo solicitações legais não podem acessar o que o próprio sistema não pode ver.
Equipes de risco e conformidade finalmente têm um caminho onde “sim” se torna o padrão em vez de “não”.
Quais foram os maiores desafios de engenharia no projeto de uma camada de privacidade agnóstica de nuvem que funciona em qualquer pilha de empresa?
O cálculo confidencial e a atestação remota ainda estão em sua infância, na minha opinião. Cada provedor de nuvem e provedor de metal nu faz algo ligeiramente diferente. Alguns provedores, como a AWS, não têm sequer o hardware necessário para fazer isso. Então, cada recurso que adicionamos é como 1000 cortes e caminhar em uma corda bamba. Mas o ponto é se tornar um padrão aberto, então precisamos fazer isso para que funcione para qualquer nuvem. É de código aberto, então encorajo as pessoas a adicionar plataformas e configurações suportadas!
O que um mundo com criptografia verificável por padrão parece, e como isso pode reorganizar o equilíbrio de poder entre empresas, provedores de nuvem e provedores de modelo?
As empresas mantêm o controle de seu ativo mais valioso: seus dados. Provedores de modelo competem em desempenho e custo, em vez de quem pode acumular a maior quantidade de informações proprietárias. Nuvens habilitam a privacidade em vez de serem observadores silenciosos dela.
É um equilíbrio de poder mais saudável. E todo o ecossistema ganha quando a segurança é construída na fundação em vez de ser aplicada por cima.
Em um futuro onde a IA se torna onipresente e fortemente regulamentada, como você vê a privacidade verificável reorganizando o cenário competitivo para empresas, provedores de nuvem e desenvolvedores de modelo?
Os reguladores já estão questionando como os dados do usuário são armazenados e usados. A privacidade baseada na confiança não os satisfará por muito tempo. Os usuários esperarão garantias de privacidade da mesma forma que esperam criptografia em aplicativos de mensagens hoje.
Os vencedores serão as empresas que não pedem aos usuários que comprometam. Se você pode provar a privacidade, você ganha a confiança das organizações que têm os dados mais valiosos do mundo. Os dados se tornam utilizáveis em lugares onde estavam trancados.
Obrigado pela grande entrevista, leitores que desejam aprender mais devem visitar Confident Security.
