Connect with us

Ваш AI знает слишком много: конфиденциальный AI больше не является опцией

Лидеры мнений

Ваш AI знает слишком много: конфиденциальный AI больше не является опцией

mm
Published
Updated

Генеративные модели переходят из исследовательских лабораторий в обычные бизнес-процессы — и вместе с ними растет скрытая, структурная слабость.

Возьмем один пример: Microsoft Copilot доступ к почти трем миллионам конфиденциальных записей на организацию в первой половине 2025 года. Такие цифры означают, что существует системная проблема с подходом к AI. Компании создали мощные двигатели для обработки данных, но они не обеспечили достаточной защиты для данных, которые они используют.

Большие языковые модели и инструменты помощников часто обрабатывают документы, сообщения и базы данных без каких-либо аппаратных средств защиты. Этот пробел, который раскрывает “данные в использовании” во время вывода, теперь напрямую угрожает бизнесу, который отдает приоритет конфиденциальности, соблюдению требований и доверию клиентов.

Именно здесь появляется конфиденциальное вычисление. Этот процесс использует аппаратные средства доверенных сред выполнения (TEE) для защиты кода и данных во время их использования. Эти TEE представляют собой изолированные области памяти, защищенные от операционной системы и гипервизора хоста.

Эта защита меняет модель безопасности, позволяя секретам обрабатываться без раскрытия остальной части стека. Microsoft и другие облачные провайдеры теперь предлагают частное вывод и виртуальные машины (ВМ), которые интегрируют вывод в TEE.

Почему конфиденциальность важна для правил и управления

Традиционное шифрование обычно защищает данные, которые находятся в состоянии покоя или передаются, но данные, которые активно обрабатываются, не пользуются такой же защитой, хотя именно там генеративный AI взаимодействует с частными входными данными больше всего.

Ранее в этом году исследование исследователей Корнелльского университета о доверенных вычислительных единицах показало, как аппаратная изоляция и аутентификация могут помочь уменьшить необходимость доверия между сторонами. Кроме того, в прошлом году аналитики оценили, что стоимость частной вычислительной инфраструктуры составила более 13 миллиардов долларов, и прогнозы указывают на еще более быстрый рост до 350,04 миллиарда долларов к 2032 году.

Просто говоря, все больше людей используют эту технологию, что приводит к тому, что регулирующие органы и команды по соблюдению требований проявляют больше интереса к системам AI, чем когда-либо прежде. Таким образом,框架, который гарантирует, что конфиденциальные данные никогда не покидают защищенную среду выполнения во время запросов модели, сделает аудиторские следы намного проще для отслеживания, уменьшая риск юридических проблем.

Однако, если во время выполнения защиты не станут нормой, это может сделать более длительным процесс принятия AI в области, которые строго регулируются.

Реальные ситуации, где конфиденциальность необходима

Существует несколько корпоративных сценариев, которые показывают, почему конфиденциальный AI не является роскошью, а тем, что каждая организация должна иметь.

Например, в финансах это может применяться к учреждениям, которые должны запускать модели обнаружения мошенничества и рисков против истории транзакций клиентов без предоставления внешним операторам моделей доступа к сырым записям.

В здравоохранении могут быть ситуации, когда диагностические модели должны работать с защищенными клиническими данными, сохраняя конфиденциальность пациентов и выполняя строгие нормативные обязательства. Кроме того, правительства и оборонные агентства могут требовать аутентифицированного выполнения для запуска чувствительных рабочих нагрузок на третьих облачных платформах.

Существуют также исследовательские трубопроводы, которые объединяют наборы данных из нескольких источников, особенно федеративные исследования в области здравоохранения, которые могут быть продолжены только в том случае, если каждый участник уверен, что его входные данные останутся незаметными во время вычислений.

Также существует академическое и промышленное исследование, которое продолжает документировать подходы к сохранению конфиденциальности ML для медицинских рабочих процессов, которые хорошо сочетаются с конфиденциальным выполнением.

Как конфиденциальное выполнение на самом деле защищает данные в использовании

Конфиденциальное выполнение зависит от двух связанных систем: аппаратной изоляции и аутентификации. Аппаратная изоляция предотвращает чтение памяти среды выполнения программным обеспечением вне защищенной среды.

Аутентификация — это верифицируемый способ проверить код, выполняемый внутри среды выполнения, и саму среду выполнения. Эти функции позволяют владельцу модели показать, что модель будет работать с входными данными в верифицированной, запечатанной среде, и что выходные данные будут получены только после выполнения правил среды выполнения.

Результатом является контракт между владельцами данных, операторами моделей и облачными провайдерами, который делает менее вероятным необходимость в адверсивных юридических обходных путях или хрупких политических акробатических трюках.

Реалистичные ограничения и препятствия

Конечно, принятие конфиденциального AI сопряжено со своими собственными проблемами. Аутентификация и аппаратное обеспечение, способное работать в средах выполнения, делают развертывание более сложным, учитывая, что существует разрыв в экосистеме между традиционным инструментарием обслуживания моделей и средами выполнения, осведомленными о средах выполнения. Некоторые среды выполнения накладывают значительные накладные расходы, что может стоить до десяти раз больше для запуска, и могут быть компромиссы в производительности в зависимости от объема работы.

Кроме того, затраты сейчас выше, чем были для простого облачного вывода, что может сделать сложным для малого бизнеса осмысление цифр. Также существует проблема изменения стандартов интероперабельности, что может оставить некоторых ранних采用ющих риска быть застрявшими с их поставщиками.

Однако эти проблемы являются лишь временными инженерными проблемами, которые могут быть решены. Облачные провайдеры и производители микросхем продолжают выпускать новые продукты, и программные проекты создают middleware, который связывает текущие стеки ML и TEE.

Если что-то и есть, компании, которые считают, что стандартное шифрование и контроль доступа достаточно, находятся в большем риске, поскольку они будут уязвимы, когда модели будут обрабатывать большое количество конфиденциальных записей.

Призыв к изменениям в корпоративной практике

Команды по управлению рисками должны изменить правила для покупки и использования AI. Классификация данных и управление все еще важны, но они должны быть подкреплены техническими гарантиями во время использования.

Контракты с третьими поставщиками моделей должны требовать от них предоставления доказательств аутентификации. Команды по закупкам должны запрашивать базовые показатели производительности и проверенные варианты конфиденциального выполнения. Тесты красной команды должны включать в себя тестирование, осведомленное о средах выполнения, как часть своей работы. Эти шаги смещают ответственность от случайных обязательств к контролируемым средствам.

Кроме того, государственная политика и отраслевые стандарты должны устанавливать ожидания. Аудиторы, офицеры по соблюдению требований и регулирующие органы должны требовать верифицируемых средств защиты во время выполнения для категорий рабочих нагрузок, которые обрабатывают регулируемые данные.

Эти правила уменьшат количество нарушений, которые произойдут позже, и дадут сектору свободу инноваций без беспокойства о юридических проблемах. Это позволит финансовым, здравоохранительным и государственным рабочим процессам использовать новые модели без каких-либо нормативных препятствий.

Конфиденциальность как стандарт

Генеративный AI стал полезным инструментом для бизнеса, который работает с очень частной информацией. Эта реальность означает, что конфиденциальное выполнение больше не является нишевым вариантом; оно должно быть стандартной практикой для любой системы AI, которая обрабатывает регулируемые, проприетарные или личные данные.

Уже существуют инструменты, такие как TEE, сервисы аутентификации и частные предложения виртуальных машин, и экономика быстро улучшается. Другой вариант — сохранить конфиденциальные активы открытыми для утечки во время вывода, что может иметь юридические, финансовые и репутационные последствия, которые бизнес больше не может позволить себе. Например, согласно отчету IBM о стоимости утечки данных за 2025 год, средняя глобальная стоимость утечки достигла почти 5 миллионов долларов, и нормативы, такие как GDPR, предусматривают штрафы в размере до 20 миллионов евро за серьезные нарушения.

Компании, которые ставят конфиденциальность на первое место в управлении AI, будут иметь преимущу: они смогут запускать более тщательные, соответствующие требованиям тесты и использовать модели в областях, где ранее инновации были ограничены. Коротко говоря, защита данных во время выполнения моделей не является барьером для принятия; это основа для ответственного, масштабируемого AI в бизнесе и правительстве.

mm

Ахмад Шадид является основателем O Foundation, швейцарской исследовательской лаборатории по искусственному интеллекту, ориентированной на создание и исследование частной инфраструктуры искусственного интеллекта, o.capital, квантового фонда, торгующего на Nasdaq, и основателем и бывшим генеральным директором io.net, в настоящее время крупнейшей децентрализованной сети вычислительной инфраструктуры искусственного интеллекта на основе Solana.