Ваш ИИ слишком много знает: конфиденциальный ИИ больше не является опцией

Генеративные модели меняются от исследовательских лабораторий до обычных бизнес-процессов — и рядом с ними растет тихая структурная слабость.

Возьмем один пример: Microsoft Copilot Доступ В первой половине 2025 года на каждую организацию приходилось почти три миллиона конфиденциальных записей. Такие цифры указывают на системную проблему в подходе к использованию ИИ. Компании создали мощные системы обработки данных, но не обеспечили достаточную защиту используемых данных.

Большие языковые модели и инструменты-помощники часто обрабатывают документы, сообщения и базы данных без какой-либо аппаратной защиты. Этот пробел, раскрывающий «используемые данные» в процессе вывода, теперь напрямую угрожает компаниям, для которых конфиденциальность, соответствие требованиям и доверие клиентов имеют первостепенное значение.

Именно здесь вступают в дело конфиденциальные вычисления. Процесс использует аппаратную поддержку доверенные среды выполнения (TEE) для обеспечения безопасности кода и данных во время их использования. Эти TEE представляют собой изолированные области памяти, защищённые от операционной системы хоста и гипервизора.

Эта защита меняет модель безопасности, позволяя обрабатывать секретные данные без раскрытия их остальной части стека. Microsoft и другие поставщики облачных услуг теперь предлагают частные инструменты вывода и виртуальные машины (ВМ), которые интегрируют инструменты вывода в TEE.

Почему конфиденциальность важна для правил и управления

Традиционное шифрование обычно защищает данные, находящиеся либо в состоянии покоя, либо в процессе передачи, тогда как данные, которые активно обрабатываются, не пользуются такой же защитой, хотя именно здесь генеративный ИИ взаимодействует с конфиденциальными входными данными больше всего.

Ранее в этом году исследователи Корнелльского университета провели исследование доверенных вычислительных устройств. показало, Как аппаратная изоляция и аттестация могут помочь снизить потребность в доверии между сторонами. Более того, в прошлом году аналитики подсчитали, что стоимость частной вычислительной инфраструктуры стоимость свыше 13 млрд долларов США, а прогнозы указывают на еще более быстрый рост — до 350.04 млрд долларов США к 2032 году.

Проще говоря, всё больше людей используют эту технологию, что приводит к тому, что регулирующие органы и службы комплаенса проявляют больший интерес к системам ИИ, чем когда-либо. Таким образом, фреймворк, гарантирующий, что конфиденциальные данные никогда не покидают защищённый процесс выполнения во время запросов к моделям, значительно упростит отслеживание аудиторских журналов, снижая риск возникновения юридических проблем.

Однако если защита во время выполнения не станет нормой, это различие может привести к тому, что регулирующим органам потребуется больше времени для принятия ИИ в областях, которые строго регулируются.

Реальные ситуации, в которых конфиденциальность является необходимостью

Существует несколько корпоративных сценариев, которые показывают, что конфиденциальный ИИ — это не роскошь, а нечто необходимое каждой организации.

Например, в сфере финансов это может применяться к учреждениям, которым необходимо запускать модели обнаружения мошенничества и оценки рисков на основе истории транзакций клиентов, не предоставляя внешним операторам моделей доступ к необработанным записям.

В здравоохранении могут возникнуть ситуации, когда диагностические модели должны работать с защищенными клиническими данными, в то время как консервирование Конфиденциальность данных пациентов и соблюдение строгих нормативных требований. Кроме того, правительства и оборонные ведомства могут требовать подтверждения выполнения для запуска конфиденциальных рабочих нагрузок в сторонних облаках.

Существуют также исследовательские конвейеры, объединяющие наборы данных из нескольких источников, в частности, федеративные исследования в области здравоохранения, которые могут осуществляться только в том случае, если каждый участник уверен, что его входные данные останутся нечитаемыми во время вычислений.

Также проводятся академические и отраслевые исследования, которые продолжают документировать подходы МО, сохраняющие конфиденциальность в медицинских рабочих процессах, которые хорошо сочетаются с конфиденциальным выполнением.

Как конфиденциальное исполнение на самом деле защищает используемые данные

Конфиденциальное выполнение зависит от двух взаимосвязанных систем: аппаратной изоляции и аттестации. Аппаратная изоляция предотвращает чтение памяти анклава программным обеспечением, находящимся за пределами защищенного анклава.

Аттестация — это проверяемый способ проверки кода, работающего внутри анклава, и подлинности самого анклава. Эти функции позволяют владельцу модели подтвердить, что модель будет работать с входными данными в проверенной, герметичной среде, а выходные данные будут выдаваться только после соблюдения правил анклава.

Результатом является договор между владельцами данных, операторами моделей и поставщиками облачных услуг, который снижает вероятность того, что им придется прибегать к состязательным правовым обходным путям или ненадежным политическим уловкам.

Реалистичные ограничения и препятствия

Конечно, внедрение конфиденциального ИИ сопряжено с определенными сложностями. Аттестация и аппаратное обеспечение, работающее в анклавах, усложняют развертывание, учитывая разрыв в экосистеме между традиционными инструментами обслуживания моделей и средами выполнения, поддерживающими анклавы. Некоторые среды выполнения анклавов требуют значительных накладных расходов. стоимостью до десяти раз больше времени потребуется на запуск, а производительность может снижаться в зависимости от объема работы.

Кроме того, затраты сейчас выше, чем при использовании простого облачного вывода, что может затруднить понимание цифр для малого бизнеса. Кроме того, существует проблема изменения стандартов совместимости, из-за чего некоторые ранние пользователи рискуют остаться привязанными к своим поставщикам.

Однако эти проблемы — лишь временные инженерные проблемы, которые можно решить. Поставщики облачных услуг и производители микросхем продолжают выпускать новые продукты, а разработчики программного обеспечения создают промежуточное программное обеспечение, связывающее существующие стеки машинного обучения и компоненты TEE.

Напротив, компании, которые считают, что стандартного шифрования и контроля доступа достаточно, подвергаются большему риску, поскольку они будут уязвимы, когда модели обрабатывают много конфиденциальных записей.

Призыв к изменению корпоративной практики

Командам по управлению рисками необходимо изменить правила приобретения и использования ИИ. Классификация данных и управление ими по-прежнему важны, но при их использовании они должны быть подкреплены техническими гарантиями.

В контрактах со сторонними поставщиками моделей необходимо предъявить подтверждение аттестации. Отделы закупок должны запрашивать базовые показатели эффективности и проверенные варианты для конфиденциального исполнения. Учения «красной команды» должны включать тестирование с учётом анклавов. Эти шаги позволяют перенести ответственность с разовых обязательств на контрольные элементы, которые можно проверить.

Кроме того, группам, занимающимся разработкой государственной политики и отраслевых стандартов, необходимо определить ожидания. Аудиторы, специалисты по обеспечению соответствия и регулирующие органы должны требовать проверяемых мер безопасности для рабочих нагрузок, обрабатывающих регулируемые данные.

Эти правила снизят количество нарушений в будущем и предоставят сектору свободу для инноваций, не беспокоясь о юридических проблемах. Это позволит финансовым учреждениям, здравоохранению и государственным организациям использовать новые модели рабочих процессов без каких-либо нормативных препятствий.

Конфиденциальность как стандарт

Генеративный ИИ стал полезным инструментом для компаний, работающих с конфиденциальной информацией. Это означает, что конфиденциальное исполнение больше не является узкоспециализированной возможностью; оно должно стать стандартной практикой для любой системы ИИ, обрабатывающей регулируемые, конфиденциальные или персональные данные.

Уже существуют такие инструменты, как TEE, сервисы аттестации и частные виртуальные машины, и экономические показатели стремительно улучшаются. Другой вариант — оставить конфиденциальные активы открытыми для утечки во время вывода данных, что может иметь юридические, финансовые и репутационные последствия, которые компании больше не могут себе позволить. Например, согласно отчёту IBM «Стоимость утечки данных за 2025 год», средняя стоимость утечки в мире достигли почти 5 миллионов долларов, с учетом таких правил, как GDPR внушительный Штрафы за серьезные нарушения достигают 20 миллионов евро.

Компании, которые ставят конфиденциальность во главу угла при управлении ИИ, получат преимущество: они смогут проводить более тщательные и соответствующие требованиям тесты и использовать модели в областях, где внешние инновации ранее были недоступны. Короче говоря, защита данных во время работы моделей не является препятствием для внедрения; это основа для ответственного и масштабируемого ИИ в бизнесе и государственном секторе.