Tankeledare

Ett ramverk för att förstå det konfidentiella datormolnet

mm

Konfidentiell datormoln har sin stund

Det konfidentiella datormolnet upplever en våg av innovation över flera fronter samtidigt. Trusted Execution Environments (TEEs) mognar och blir lättare att distribuera. (Fullständigt homomorf kryptering) FHE stänger prestandagapet som har hållit det teoretiskt i år. Och Web3-ekosystemet fortsätter att driva zero-knowledge proof-teknik framåt i en remarkabel takt, med allmänna zkVM som nu bevisar godtyckliga beräkningsordningar med flera storleksordningar snabbare än för bara två år sedan.

Samtidigt skapar den agerande AI en ny brådska kring förtroende, integritet och verifierbarhet. När AI-system flyttar bortom att generera innehåll och börjar utföra åtgärder på uppdrag av användare, frågar organisationer alltmer om traditionella säkerhets- och regelefterlevnads kontroller är tillräckliga för autonom programvara som körs i företags skala.

På DataTribe har vi tillbringat betydande tid i detta område, pratat med start-ups, utvärderat tekniken och försökt förstå var de mest varaktiga möjligheterna kommer att dyka upp. Här är hur vi tänker om det.

Ett ramverk för konfidentiell datormoln

När vi tittar på det konfidentiella datormolnet, finner vi det användbart att bryta det ner i tre distinkta pelare. Var och en representerar en oberoende garanti. Viktigt, de överlappar inte: en lösning som levererar en pelare levererar inte automatiskt de andra.

  • Skyddad beräkning: Inmatning, bearbetning och utmatning förblir skyddade från slut till slut. Även operatören som kör beräkningen kan inte se någonting.

  • Beräkningsintegritet: Kryptografisk verifiering att den korrekta beräkningen faktiskt kördes, även på potentiellt fientlig maskinvara.

  • Privat samarbete: Flera parter beräknar gemensamt över sina kombinerade data utan att någon part avslöjar sina inmatningar för de andra.

Var och en av pelarna motsvarar olika köparens behov, teknologistackar och konkurrensdynamik. Idag fokuserar vi på de två första: Skyddad beräkning och beräkningsintegritet.

AI-privacyparadoxen och skyddad beräkning

AI har varit en stor katalysator för intresse för skyddad beräkning. Företag är alltmer oroliga för de data de delar med LLM-leverantörer, och efterfrågan på konfidentiell inferens växer.

Men det finns en paradox värd att notera. Samma företag som plågas av att skicka kundtranskriptioner till en AI-leverantör dirigerar lyckligt lönedata via ADP, kanalisering av sin pipeline till Salesforce och överlämnar patientjournaler till sin EHR-leverantör. Skyddet i varje fall är detsamma: ett kontrakt med dataskyddslöften och regelefterlevnadsrapporter. Inga kryptografiska garantier. Varför behandlas AI-leverantörer annorlunda?

Det finns verkliga skäl. Rädslan att data kommer att användas för utbildning, absorberas i modellvikter och kan dyka upp i en annan kunds utmatning har ingen analog i traditionell SaaS. Värdeutbytet känns asymmetriskt, med företag som uppfattar att deras data kan förbättra leverantörens produkt för konkurrenter. Och regulatorer uppmärksammar specifikt AI-datahantering på sätt de inte har tillämpat på den befintliga SaaS-stacken. AI-leverantörer har börjat ingå kontrakt med skydd liknande traditionella SaaS-avtal, men antagandets hastighet och rädslan för “skugg-AI”, där anställda använder AI-tjänster som inte är under kontrakt med företaget, lägger till brådska som konventionell SaaS-procurement inte nyligen har mött.

Oavsett om dessa problem är fullständigt rationella eller delvis drivna av AI:s nyhet, skapar de verklig köpbrådska. Den mer intressanta frågan är om denna brådska förblir begränsad till AI eller sprider sig. Om företag börjar kräva kryptografisk dataskydd från sina LLM-leverantörer och sedan inser den logiska inkonsekvensen i att inte kräva det från alla andra, expanderar den totala adresserbara marknaden för skyddad beräkning dramatiskt bortom AI-inferens.

FHE vs. TEE för skyddad beräkning

Två primära tekniska tillvägagångssätt konkurrerar om skyddad beräkning, och de representerar fundamentalt olika förtroendemodeller.

TEEs som AMD SEV-SNP, Intel TDX och Nvidias konfidentiella GPU:er är det pragmatiska valet idag. De levererar skyddad beräkning med minimal prestandaöverhuvud och är redan tillgängliga som infödda erbjudanden från de stora molnleverantörerna. Förtroendeförutsättningen ligger i kiselleverantören och, i varierande grad, i molnleverantören som opererar maskinvaran.

FHE tar en rent matematisk ansats. Data förblir krypterad under hela beräkningen, och säkerhetsgarantin beror inte på att lita på någon maskinvara eller operatör. Kompromissen har historiskt varit prestanda: FHE-åtgärder har varit flera storleksordningar långsammare än plaintextberäkning, vilket begränsar det till smala användningsfall.

Det gapet stängs snabbare än många människor förstår. Hårdvaruacceleration är en stor drivkraft. Niobiums specialbyggda FHE-acceleratorer levererar flera storleksordningar förbättring jämfört med programvarubaserad FHE. Cornami, vars chefsforskare är Craig Gentry (som ofta tillskrivs som uppfinnaren av FHE), har hävdat “nära plaintext-hastighet” för LLM-inferens med FHE, även om oberoende benchmark-tester inte har publicerats. Ett annat företag har demonstrerat FHE-baserad LLM-inferens på en Llama 3 70b-modell med hastigheter som närmar sig oenkrypterad prestanda. Dessa påståenden kräver skärskådning, men trenden är tydlig: prestandagapet som höll FHE teoretiskt minskar snabbt.

Om FHE blir tillräckligt snabbt för produktionsarbetsbelastningar, är implikationerna djupgående. Du behöver inte lita på kiselleverantören, molnleverantören eller någon med fysisk åtkomst till maskinvaran. Din säkerhetsgaranti blir matematisk, inte operativ.

För investerare skapar detta en viktig strategisk fråga: satsar du på att hårdvaruförtroendet blir mer tillförlitligt (TEE-vägen), eller på att kryptografisk prestanda förbättras tillräckligt för att göra matematikbaserade lösningar praktiska (FHE-vägen)? De flesta nära tidens intäkter ligger på TEE-sidan. Det långsiktiga försvarbarhetsargumentet kan gynna den matematiska ansatsen, åtminstone för vissa beräkningsdomäner.

Beräkningsintegritet: Från insiderhot till fientliga miljöer

Beräkningsintegritet hanterar ett annat problem: hur vet du att den rätta beräkningen faktiskt kördes?

I kontrollerade miljöer som företagsdatacenter och hyperskalemoln hanterar TEEs detta ganska bra. Attestationsmekanismer låter dig verifiera att den förväntade koden laddades in i en äkta TEE innan data skickades. Detta är värdefullt för att skydda mot insiderhot, komprometterad infrastruktur eller distributionsproblem. För de flesta företagsanvändningsfall är TEE-baserad attestering tillräcklig.

Men “tillräckligt” beror på din hotmodell. I verkligt fientliga miljöer, där du inte har kontroll över maskinvaran och operatören kan vara aktivt fientlig, försämras TEE-garantierna. Nylig forskning har demonstrerat praktiska attacker mot TEE-attestering med lågkostnads hårdvaruinterposers, och de stora chipstillverkarna har erkänt att fysiska attacker faller utanför deras hotmodell. I ett välgenomfört datacenter med fysisk säkerhet är denna resterande risk hanterbar. På en okänd nod i ett decentraliserat datanät är den inte.

Detta är exakt varför Web3-världen har varit den primära drivkraften för zero-knowledge proof-innovation. ZK-bevis ger matematisk säkerhet om beräkningsintegritet oavsett maskinvarumiljön. Om beviset verifierar, var beräkningen korrekt, oavsett om den bevisade beräkningen utfördes i en säker anläggning eller i någons garage.

Förbättringstakten här har varit remarkabel. Allmänna zkVM låter utvecklare skriva normal Rust-kod och generera bevis automatiskt, utan att handskriva kryptografiska kretsar. Succincts SP1 Hypercube bevisar Ethereum-block på under 12 sekunder på 16 GPU:er. ZKsyncs Airbender rapporterar över 21 miljoner cykler per sekund på en ensam H100.

För AI-arbetsbelastningar specifikt gör zkML framsteg men förblir dyrt. Att bevisa LLM-inferens fortfarande körs tusentals gånger långsammare än inferensen i sig. Mindre modeller som klassificerare och inbäddningsmodeller närmar sig praktisk ZK-bevisbarhet nu, och gränsen för LLM-bevisning är troligen två till tre år bort. En intressant mittpunkt är “optimistisk” verifiering, där bevis genereras endast när resultat utmanas snarare än för varje beräkning, vilket dramatiskt minskar den genomsnittliga kostnaden.

Vart detta är på väg

Det konfidentiella datormolnet är vid en vändpunkt. Innovation sker samtidigt över TEEs, FHE och ZK, var och en driven av olika samhällen med olika prioriteringar men konvergerar mot ett gemensamt problem.

Dynamiken kring vad köpare anser vara mest brådskande kommer att bestämma vilka tillvägagångssätt som får draghjälp först. Företag fokuserade på regelefterlevnad och molndataskydd kommer troligen att dra TEE-baserade lösningar framåt. AI-vågen kan accelerera efterfrågan på FHE om prestandan fortsätter att förbättras. Decentraliserad datormoln och Web3-applikationer kommer att fortsätta driva ZK-teknik mot bredare tillämpbarhet.

Vi förväntar oss också att hybridarkitekturer kommer att dyka upp som en praktisk mittpunkt. TEEs för sekretess kombinerat med ZK-bevis för integritet, till exempel, ger dig stark sekretess med matematisk säkerhet på korrekthet. Denna kombination fungerar bra för scenarier där maskinvarumiljön är delvis betrodd men inte fullständigt kontrollerad.

Detta ramverk blir särskilt relevant kring Linux Foundation’s Confidential Computing Summit i San Francisco förra veckan, där en central tema var om konfidentiell datormoln kan fungera som säkerhetslagret som gör agerande AI distribuerbar i företagsskala. När organisationer börjar ge AI-agenter tillgång till känsliga system, data och arbetsflöden, flyttar frågorna om skyddad beräkning, beräkningsintegritet och verifierbart förtroende från teoretiska arkitekturdiskussioner till operativa krav.

För start-ups är möjligheterna betydande över hela stacken: att göra TEE-baserad konfidentiell datormoln lättare för SaaS-företag att anta, bygga verktygen som tar FHE från forskning till produktion, skapa infrastrukturen för ZK-baserad beräkningsintegritet i företagskontext, och utveckla förtroendemäklar- och attestationslager som sitter mellan kunder och molnleverantörer. Vi fortsätter att studera detta område och är entusiastiska över de grundare vi möter. Olika arbetsbelastningar, hotmodeller och regleringsregimer kommer att kräva olika kombinationer av de tre pelarna. De företag som vinner kommer att vara de som väljer en pelare, löser den avgjort och gör det lätt för företag att anta.

Leo Scott är VD för DataTribe. Han har en 30-årig historia som teknisk entreprenör, medgrundare och byggt tre framgångsrika teknologiföretag, som alla har förvärvats: Clara Vista förvärvad av CMGI (1999), Incando / Pickle.com förvärvad av Scripps Networks (2007) och BrightContext förvärvad av WealthEngine (2014).

Utöver att bygga startups har Leo arbetat i en mängd olika medelstora och stora företag med att lösa affärs- och tekniska utmaningar och hjälpa företag att leda genom svåra omstrukturerings- och vändningslägen. Han började sin karriär som programvaruutvecklare i början av Web 1.0 och har tillbringat hela sin karriär med att bygga online-lösningar som täcker ett brett spektrum av affärsverksamheter, såsom stordata-driven marknadsföringsteknologi, finansiell portföljhantering, satellit-telemetridatabehandling och TV Everywhere-initiativet.

Leo har en kandidatexamen i elektroteknik och datateknik från Carnegie Mellon University och en masterexamen i datavetenskap från George Washington University.