Интервью
Джонатан Мортенсен, Основатель и Генеральный Директор Confident Security – Серия Интервью
Джонатан Мортенсен, Основатель и Генеральный Директор Confident Security, в настоящее время руководит разработкой доказуемо-приватных систем ИИ для отраслей с жесткими требованиями безопасности и соответствия. Он также служит Основателем Феллоу в South Park Commons, где исследует будущее вычислений ИИ, памяти, конфиденциальности и собственности. До запуска Confident Security он был Инженером-Программистом в Databricks, интегрируя технологию bit.io в свою платформу данных с фокусом на многопользовательской безопасности, IAM/ACL, изоляции VPC, шифровании и владении данными. Ранее он основал и служил Техническим Директором bit.io, создавая многооблачный, многорегиональный серверный сервис PostgreSQL, поддерживающий hundreds тысяч безопасных баз данных и позже приобретенный Databricks.
Confident Security строит инфраструктуру, позволяющую предприятиям запускать рабочие процессы ИИ без раскрытия конфиденциальной информации. Ее платформа разработана так, чтобы подсказки, данные и выходные данные моделей оставались полностью приватными, никогда не регистрировались и никогда не повторно использовались, давая организациям безопасный способ принять ИИ, соответствуя строгим нормативным и соответствующим стандартам.
Вы основали Confident Security в 2024 году после создания bit.io и работы в Databricks. Что вызвало осознание того, что ИИ нуждается в фундаментально другом подходе к конфиденциальности?
Мой опыт построения инфраструктуры данных научил меня следующему: если люди помещают конфиденциальную информацию в систему, доверие недостаточно. Им нужны доказательства. Мы построили инфраструктуру, где клиенты владели своими данными, и мы дали им способы проверить это.
Когда я посмотрел, как компании используют большие языковые модели, таких доказательств не существовало. Сотрудники вставляли исходный код, юридические документы и медицинские записи в модели, запущенные третьими сторонами, которые они не могли проверить. Мы уже видели, как частные разговоры случайно индексируются в Интернете, и изменения политики, которые внезапно делают разговоры данными для обучения по умолчанию. Это показало, насколько хрупка текущая модель конфиденциальности.
Если ИИ будет обрабатывать самую конфиденциальную информацию в мире, нам нужны гарантии, которые не зависят от доверия внутренним обещаниям поставщика. Это то, что заставило меня начать Confident Security.
OpenPCC описывается как “Signal для ИИ”. Почему было важно, чтобы этот слой конфиденциальности был открытым, засвидетельствованным и совместимым с первого дня?
Шифрование от конца до конца не получило широкого распространения, пока не стало стандартом, который все могли принять. Мы хотим того же для конфиденциальности ИИ. Если только несколько компаний могут предложить реальные гарантии, то конфиденциальность не будет масштабироваться.
OpenPCC имеет открытый исходный код под лицензией Apache 2.0, поэтому любой может построить на нем или осмотреть его. Нет секретного требования доверия. Аппаратное засвидетельствование предоставляет криптографические доказательства о том, что запускается и где. И мы убедились, что оно работает везде: любой облако, любой поставщик моделей, любой стек разработчика.
Есть огромная ценность в полу конфиденциальности, который последовательный и универсальный. Если вы используете OpenPCC, вы знаете, что ваши данные не видны поставщикам моделей, регулирующим органам или даже нам. Стандарт работает только в том случае, если вся экосистема может участвовать, поэтому мы разработали его так, чтобы он был как можно более инклюзивным с первого дня.
До Confident Security вы строили крупномасштабные системы для многопользовательской, шифрования и владения данными. Как эти опыт сформировали архитектуру OpenPCC?
Эти системы подкрепили две истины: если система может сохранять данные, в конечном итоге она это сделает, будь то через журналы, неправильную конфигурацию или юридические запросы. И доверие не является моделью конфиденциальности. Пользователям нужна видимость и контроль.
OpenPCC работает в бессостоянии, поэтому подсказки исчезают после обработки. Засвидетельствование позволяет пользователям проверить, куда идут их данные и какой код запускается. И, изолируя контроль от данных, OpenPCC предотвращает обработку частных входных данных как исполняемых инструкций.
Эти ограничения являются тем, чего ждали предприятия: гарантии, что данные не появятся где-то неожиданно.
Вы утверждали, что большинство “частных ИИ”-решений полагаются на доверие к не透рачным системам. Почему независимая верификация необходима для истинной конфиденциальности?
Большинство языков конфиденциальности сегодня по сути являются “просто доверяйте нам”. Это не достаточно, когда ставки включают национальную безопасность и регулируемые данные здравоохранения. Если пользователь не может проверить заявление, оно не является гарантией – это маркетинг.
Верифицируемая конфиденциальность отличается. Вы не доверяете намерениям оператора. Вы проверяете аппаратное обеспечение, образ программного обеспечения и гарантии обработки данных. Криптография обеспечивает границы. Журналы не существуют, чтобы кто-то случайно утечь или повысить запрос.
Когда конфиденциальность проверяется пользователем, вы создаете фундаментально более безопасную систему. Это ответственность, основанная на математике.
Объявление Google о “Частном ИИ” последовало вскоре после OpenPCC. Вы публично бросили им вызов, предложив предоставить ТПУ для независимого тестирования. Что мотивировало этот вызов, и что бы вы ожидали найти?
Чтобы заявить о гарантиях конфиденциальности, вы должны позволить сообществу проверить их. NVIDIA уже позволяет внешнюю верификацию на своих GPU H100, и мы даже открыли исходный код версии их библиотеки засвидетельствования на Go, чтобы поощрить принятие.
Если Google хочет сделать подобные обещания на ТПУ, мы должны быть в состоянии измерить и проверить эти обещания, а не просто прочитать о них в блог-посте. Мы бы искали те же контроли, которые мы ожидаем от любой системы конфиденциальности: строгие границы сохранения данных, засвидетельствованное засвидетельствование и нет секретных путей, где журналы или телометрия сбегают. Заявления о конфиденциальности должны выдержать проверку.
Для читателей, не знакомых с механикой, что делает полностью зашифрованные каналы OpenPCC khácными от традиционного шифрования на стороне клиента или конфиденциального вычисления?
Шифрование на стороне клиента охраняет данные на пути, а конфиденциальное вычисление охраняет их во время обработки, но все еще есть пробелы до и после, где операторы или атакующие могут получить доступ к конфиденциальной информации.
OpenPCC закрывает эти пробелы. Он создает запечатанный путь от конца до конца между клиентом и моделью, который защищает подсказку, ответ, идентификатор пользователя и даже метаданные или сигналы времени, которые могут тихо раскрыть намерение. Операторы не могут расшифровать ничего. Ничто не регистрируется или сохраняется, даже при условиях нарушения.
Конфиденциальность не должна зависеть от надежды на то, что поставщик сделает правильный шаг за кулисами. Она должна быть обеспечена криптографически.
Как верифицируемая конфиденциальность меняет уравнение для регулируемых отраслей, таких как финансы, здравоохранение и оборона?
Регулируемые отрасли имеют больше всего, чтобы получить от ИИ, но также больше всего, чтобы потерять, если что-то утечет. Сегодня 78% сотрудников вставляют внутренние данные в инструменты ИИ, и в одном из пяти случаев включается регулируемая информация, такая как PHI или PCI. Раскрытие уже происходит.
Верифицируемая конфиденциальность удаляет самый большой блокировщик. Чувствительные подсказки никогда не существуют в открытом тексте внутри среды поставщика модели. Ничто не может быть использовано для обучения. Даже законные запросы не могут получить доступ к тому, что система сама не может видеть.
Команды риска и соответствия наконец имеют путь, где “да” становится значением по умолчанию вместо “нет”.
Какими были самые большие инженерные проблемы при проектировании облачного слоя конфиденциальности, который работает на любом предприятии-стеке?
Конфиденциальное вычисление и удаленное засвидетельствование все еще в младенчестве, на мой взгляд. Каждый облачный поставщик и поставщик голого металла делает что-то немного по-другому. Некоторые поставщики, такие как AWS, не имеют даже аппаратного обеспечения, необходимого для этого. Итак, каждая функция, которую мы добавляем, похожа на 1000 ударов и ходьбу по натянутому канату. Но вся точка состоит в том, чтобы стать открытым стандартом, поэтому нам нужно сделать это так, чтобы оно работало для облака любого. Это имеет открытый исходный код, поэтому я призываю всех добавить еще больше поддерживаемых платформ и конфигураций!
Какой мир с конфиденциальностью по умолчанию выглядит, и как он может изменить баланс сил между предприятиями, облачными поставщиками и поставщиками моделей?
Предприятия сохраняют контроль над своим самым ценным активом: своими данными. Поставщики моделей соревнуются на основе производительности и стоимости, а не того, кто может накопить больше проприетарной информации. Облака обеспечивают конфиденциальность вместо того, чтобы быть молчаливыми наблюдателями ее.
Это более здоровый баланс сил. И вся экосистема выигрывает, когда безопасность встроена в основу вместо того, чтобы быть заплаткой сверху.
В будущем, где ИИ становится повсеместным и сильно регулируемым, как вы видите, как верифицируемая конфиденциальность изменит конкурентный ландшафт для предприятий, облачных поставщиков и разработчиков моделей?
Регуляторы уже сомневаются, как хранятся и используются данные пользователей. Конфиденциальность, основанная на доверии, не удовлетворит их надолго. Пользователи будут ожидать гарантий конфиденциальности так же, как они ожидают шифрования в приложениях для обмена сообщениями сегодня.
Победителями будут компании, которые не просят пользователей идти на компромисс. Если вы можете доказать конфиденциальность, вы заслуживаете доверие организаций, которые имеют самые ценные данные в мире. Данные становятся доступными в местах, где они были заблокированы.
Спасибо за отличный интервью, читателям, которые хотят узнать больше, следует посетить Confident Security.
