Connect with us

Seu AI Sabe Demais: AI Confidencial Não É Mais Opcional

Líderes de pensamento

Seu AI Sabe Demais: AI Confidencial Não É Mais Opcional

mm
Published
Updated

Os modelos gerativos estão passando dos laboratórios de pesquisa para processos comerciais regulares — e uma fraqueza estrutural silenciosa está crescendo ao lado deles.

Pegue este exemplo: o Microsoft Copilot acessou quase três milhões de registros sensíveis por organização no primeiro semestre de 2025. Tais números significam que há um problema sistêmico com a forma como a IA é abordada. As empresas construíram poderosos motores para processar dados, mas não colocaram em prática proteções suficientes para os dados que usam.

Os grandes modelos de linguagem e ferramentas de assistência frequentemente computam documentos, mensagens e bancos de dados sem proteções baseadas em hardware. Esta lacuna, que revela “dados em uso” durante a inferência, agora ameaça diretamente as empresas que priorizam a privacidade, a conformidade e a confiança do cliente.

É aqui que entra a computação confidencial. O processo usa ambientes de execução confiáveis assistidos por hardware (TEEs) para manter o código e os dados seguros enquanto estão sendo usados. Esses TEEs são áreas de memória isoladas que são protegidas do sistema operacional hospedeiro e do hipervisor.

Essa proteção muda o modelo de segurança, permitindo que segredos sejam processados sem serem expostos ao restante da pilha. A Microsoft e outros provedores de nuvem agora oferecem inferência privada e máquinas virtuais (VMs) que integram a inferência dentro dos TEEs.

Por que a privacidade é importante para regras e governança

A criptografia convencional geralmente protege os dados que estão em repouso ou em trânsito, com os dados que estão sendo ativamente processados não desfrutando da mesma proteção, embora seja onde a IA gerativa interage mais com entradas privadas.

No início do ano, um estudo de pesquisadores da Universidade de Cornell sobre Unidades de Computação Confiável revelou como a isolamento e atestação com suporte de hardware podem ajudar a reduzir a necessidade de confiança entre as partes. Além disso, no ano passado, analistas estimaram que o valor da infraestrutura de computação privada foi de mais de $13 bilhões, com previsões indicando um crescimento ainda mais rápido para $350,04 bilhões até 2032.

Em resumo, mais pessoas estão usando a tecnologia, levando os reguladores e as equipes de conformidade a mostrarem mais interesse nos sistemas de IA do que nunca. Como tal, um quadro que garante que os dados sensíveis nunca deixem a execução protegida durante as consultas de modelo tornará as trilhas de auditoria muito mais fáceis de seguir, reduzindo o risco de problemas legais.

No entanto, se as proteções de tempo de execução não se tornarem a norma, essa diferença pode fazer com que os reguladores levem mais tempo para aceitar a IA em campos que são governados com rigor.

Situações reais em que a privacidade é obrigatória

Existem vários cenários empresariais que mostram por que a IA confidencial não é um luxo, mas algo que toda organização deve ter.

Por exemplo, na área financeira, isso pode se aplicar a instituições que precisam executar modelos de detecção de fraude e risco contra históricos de transações de clientes sem dar acesso a operadores de modelo externos aos registros brutos.

Na área de saúde, pode haver situações em que os modelos de diagnóstico devem operar em dados clínicos protegidos enquanto preservam a privacidade do paciente e atendem a obrigações regulamentares rigorosas. Além disso, governos e agências de defesa podem exigir execução atestada para executar cargas de trabalho sensíveis em nuvens de terceiros.

Existem também pipelines de pesquisa que combinam conjuntos de dados de várias fontes, notadamente a pesquisa de saúde federada que só pode prosseguir se cada participante tiver certeza de que suas entradas permanecerão ilegíveis durante o cálculo.

Também há pesquisas acadêmicas e industriais que continuam a documentar abordagens de ML que preservam a privacidade para fluxos de trabalho médicos que se harmonizam bem com a execução confidencial.

Como a execução confidencial realmente protege os dados em uso

A execução confidencial depende de dois sistemas conectados: isolamento de hardware e atestação. O isolamento de hardware impede que o software fora do enclave seguro leia a memória do enclave.

A atestação é uma forma verificável de verificar o código em execução dentro do enclave e que o próprio enclave é genuíno. Esses recursos permitem que o proprietário do modelo mostre que um modelo funcionará com entradas em um ambiente selado e verificado e que as saídas só sairão após as regras do enclave serem seguidas.

O resultado é um contrato entre os proprietários de dados, os operadores de modelo e os provedores de nuvem que torna menos provável que eles precisem de contornos legais adversários ou recorrer a ginásticas políticas frágeis.

Limites e obstáculos realistas

É claro que adotar a IA confidencial vem com seus próprios desafios. A atestação e o hardware que podem funcionar em enclaves tornam a implantação mais complicada, dado que há uma lacuna no ecossistema entre a ferramenta de modelagem tradicional e a execução consciente do enclave. Algumas execuções de enclave impõem sobrecargas pesadas, custando até dez vezes mais para executar, e também pode haver compromissos em termos de desempenho, dependendo do volume de trabalho.

Além disso, os custos são mais altos agora do que eram para a inferência de nuvem simples, o que pode tornar difícil para pequenas empresas entender os números. Também há a questão de mudanças nos padrões de interoperabilidade, que pode deixar alguns adotantes precoces em risco de ficarem presos com seus fornecedores.

No entanto, esses problemas são apenas problemas de engenharia transitórios que são passíveis de resolução. Os provedores de nuvem e os fabricantes de chips continuam a lançar novos produtos, e os projetos de software estão criando middleware que liga as pilhas de ML atuais e os TEEs.

Se algo, as empresas que pensam que a criptografia padrão e os controles de acesso são suficientes estão em maior risco, pois estarão vulneráveis quando os modelos processam grandes quantidades de registros sensíveis.

Um apelo para mudanças de práticas empresariais

As equipes de gerenciamento de risco precisam mudar as regras para comprar e usar a IA. A classificação de dados e a governança ainda são importantes, mas precisam ser apoiadas por garantias técnicas quando estão em uso.

Os contratos com provedores de modelo de terceiros devem exigir que eles forneçam prova de atestação. As equipes de aquisição devem pedir linhas de base de desempenho e opções auditadas para execução confidencial. Os exercícios de equipe vermelha devem incluir testes conscientes do enclave como parte de seu trabalho. Essas etapas transferem a responsabilidade de compromissos ad hoc para controles que podem ser verificados.

Além disso, os grupos de política pública e padrões da indústria precisam estabelecer expectativas. Os auditores, os oficiais de conformidade e os reguladores devem exigir salvaguardas de tempo de execução verificáveis para categorias de cargas de trabalho que processam dados regulamentados.

Essas regras reduzirão a quantidade de violações que ocorrerão posteriormente e darão ao setor a liberdade de inovar sem se preocupar com problemas legais. Isso permitirá que os fluxos de trabalho de finanças, saúde e setor público usem novos modelos sem obstáculos regulamentares.

Confidencialidade como padrão

A IA gerativa se tornou uma ferramenta útil para empresas que lidam com informações muito privadas. Essa realidade significa que a execução confidencial não é mais apenas uma opção de nicho; é uma prática padrão para qualquer sistema de IA que lida com dados regulamentados, proprietários ou pessoais.

Já existem ferramentas disponíveis, como TEEs, serviços de atestação e ofertas de VM privadas, e a economia está melhorando muito rapidamente. A outra opção é manter os ativos sensíveis abertos à fuga de inferência, o que pode ter efeitos legais, financeiros e de reputação que as empresas não podem mais se dar ao luxo de ter. Por exemplo, de acordo com o relatório de 2025 do IBM sobre o Custo de Violação de Dados, o custo médio global de violação alcançou quase $5 milhões, com regulamentações como o GDPR impondo multas de até €20 milhões para violações graves.

As empresas que colocam a privacidade em primeiro lugar na governança da IA terão uma vantagem: elas podem realizar testes mais completos e conformes e usar modelos em áreas onde a inovação externa era anteriormente proibida. Em resumo, proteger os dados enquanto os modelos são executados não é uma barreira para a adoção; é a base para uma IA responsável e escalável nos negócios e no governo.

mm

Ahmad Shadid é o fundador da O Foundation, um laboratório de pesquisa de A.I. com sede na Suíça, focado em construir e pesquisar infraestrutura de A.I. privada, o.capital, um fundo quantitativo que negocia na Nasdaq e o fundador e ex-CEO da io.net, atualmente a maior rede de infraestrutura de computação de A.I. descentralizada baseada em Solana.