Din AI vet för mycket: Konfidentiell AI är inte längre valfri

Generativa modeller övergår från forskningslaboratorier till vanliga affärsprocesser — och en tyst, strukturell svaghet växer rakt bredvid dem.

Ta det här exemplet: Microsoft Copilot fick åtkomst till nästan tre miljoner känsliga poster per organisation under första halvåret 2025. Sådana siffror betyder att det finns ett systemiskt problem med hur AI hanteras. Företag har byggt kraftfulla motorer för datahantering, men de har inte infört tillräckliga skydd för de data de använder.

Stora språkmodeller och assistentverktyg beräknar ofta dokument, meddelanden och databaser utan några maskinvarubaserade skydd. Detta gap, som avslöjar “data i användning” under inferens, hotar nu direkt företag som prioriterar sekretess, regelefterlevnad och kundförtroende.

Här kommer konfidentiell datoranvändning in. Processen använder maskinvarustödda tillförlitliga exekveringsmiljöer (TEEs) för att hålla kod och data säkra medan de används. Dessa TEEs är isolerade minnesområden som skyddas från värddatorns operativsystem och hypervisor.

Detta skydd förändrar säkerhetsmodellen, vilket gör det möjligt att bearbeta hemligheter utan att avslöja dem för resten av stacken. Microsoft och andra molntjänsteleverantörer erbjuder nu privata inferens- och virtuella maskiner (VM) som integrerar inferens inom TEEs.
<h2.Varför sekretess är viktigt för regler och styrning

Traditionell kryptering skyddar vanligtvis data som antingen är i vila eller under överföring, med data som bearbetas aktivt inte åtnjuter samma skydd, även om det är där generativ AI interagerar mest med privata indata.

Tidigare i år avslöjade en studie av Cornell University-forskare om Trusted Compute Units hur maskinvarubaserad isolering och autentisering kan hjälpa till att minska behovet av förtroende mellan parter. Dessutom uppskattade analytiker förra året att värdet av privat datorinfrastruktur var värt över 13 miljarder dollar, med prognoser som indikerar ännu snabbare tillväxt till 350,04 miljarder dollar fram till 2032.

Förenklat uttryckt använder fler människor tekniken, vilket gör att regulatorer och regelefterlevnadsteam visar större intresse för AI-system än någonsin. Som sådan kommer en ram som säkerställer att känsliga data aldrig lämnar skyddad exekvering under modellfrågor att göra granskningsloggarna mycket lättare att följa, vilket minskar risken för juridiska problem.

Men om skydd under körning inte blir normen kan det ta längre tid för regulatorer att acceptera AI i områden som är hårt reglerade.

Verkliga situationer där sekretess är ett måste

Det finns flera företagsscenarier som visar varför konfidentiell AI inte är en lyx utan något som varje organisation måste ha.

Till exempel kan detta i finanssektorn gälla institutioner som behöver köra bedrägeridetektion och riskmodeller mot kundtransaktionshistorik utan att ge externa modelloperatörer åtkomst till råa poster.

Inom hälso- och sjukvården kan det finnas situationer där diagnostiska modeller måste köras på skyddad klinisk data samtidigt som patientsekretessen skyddas och strikta regleringskrav uppfylls. Dessutom kan regeringar och försvarsmyndigheter kräva autentiserad exekvering för att köra känsliga arbetsbelastningar på tredjeparts-moln.

Det finns också forskningspipeliner som kombinerar dataset från flera källor, särskilt federerad hälsoforskning som endast kan fortsätta om varje deltagare är säker på att deras indata kommer att förbli oläsliga under beräkning.

Det finns också akademisk och industriell forskning som fortsätter att dokumentera sekretessbevarande ML-ansatser för medicinska arbetsflöden som fungerar bra med konfidentiell exekvering.

Hur konfidentiell exekvering faktiskt skyddar data-i-användning

Konfidentiell exekvering beror på två sammanhängande system: maskinvaruisolering och autentisering. Maskinvaruisolering förhindrar att programvara utanför den säkra enklaven läser enklavminnet.

Autentisering är ett verifierbart sätt att kontrollera koden som körs inuti enklaven och att enklaven i sig är äkta. Dessa funktioner låter en modellägare visa att en modell kommer att fungera med indata i en verifierad, förseglad miljö och att utdata endast kommer ut efter att enklavens regler har följts.

Resultatet är ett avtal mellan dataägare, modelloperatörer och molntjänsteleverantörer som gör det mindre troligt att de behöver antagonistiska juridiska lösningar eller återgå till sköra policygymnastik.

Realistiska begränsningar och hinder

Naturligtvis medför antagandet av konfidentiell AI sina egna utmaningar. Autentisering och maskinvara som kan fungera i enklaver gör distribution mer komplicerad, med tanke på att det finns ett gap i ekosystemet mellan traditionell modellservering och enklav-medveten körning. Vissa enklav-körningar pålägger tunga överhuvuden, kostar upp till tio gånger mer för att köra, och det kan också finnas prestandaavvägningar beroende på mängden arbete.

Dessutom är kostnaderna högre nu än de var för vanlig molninferens, vilket kan göra det svårt för småföretag att förstå siffrorna. Det finns också frågan om ändrade interoperabilitetsstandarder, som kan lämna vissa tidiga antagare i riskzonen för att fastna med sina leverantörer.

Men dessa problem är bara tillfälliga ingenjörsproblem som kan lösas. Molntjänsteleverantörer och chip-tillverkare fortsätter att komma ut med nya produkter, och mjukvaruprojekt skapar mellanprogram som länkar samman nuvarande ML-stackar och TEEs.

Om något är företag som tror att standardkryptering och åtkomstkontroll räcker till i större risk, eftersom de kommer att vara sårbara när modeller bearbetar stora mängder känsliga poster.

En vädjan om förändringar i företagspraxis

Riskhanteringsgrupper måste ändra reglerna för hur man köper och använder AI. Dataklassificering och styrning är fortfarande viktiga, men de måste backas upp av tekniska garantier när de används.

Kontrakt med tredjepartsmodellleverantörer bör kräva att de visar bevis för autentisering. Inköpsgrupper bör begära prestandabaslinjer och granskade alternativ för konfidentiell exekvering. Red-team-övningar bör inkludera enklav-medveten testning som en del av deras arbete. Dessa steg flyttar ansvaret från ad hoc-åtaganden till kontroller som kan verifieras.

Dessutom bör allmänna policys och branschstandardgrupper sätta förväntningar. Revisorer, regelefterlevnadsombud och regulatorer bör kräva verifierbara skydd under körning för kategorier av arbetsbelastningar som bearbetar reglerad data.

Dessa regler kommer att minska antalet intrång som sker senare och ge sektorn friheten att innovativa utan att oroa sig för juridiska problem. Detta kommer att låta finans-, hälso- och offentliga sektorns arbetsflöden använda nya modeller utan några regulatoriska hinder.

Sekretess som standard

Generativ AI har blivit ett användbart verktyg för företag som hanterar mycket privata uppgifter. Den verkligheten betyder att konfidentiell exekvering inte längre är ett nischalternativ; det måste vara standardpraxis för alla AI-system som hanterar reglerad, proprietär eller personlig data.

Det finns redan verktyg tillgängliga, som TEEs, autentiseringstjänster och privata VM-erbjudanden, och ekonomin förbättras mycket snabbt. Det andra alternativet är att hålla känsliga tillgångar öppna för läckage under inferenstid, vilket kan ha juridiska, finansiella och ryktesmässiga effekter som företag inte längre har råd med. Till exempel enligt IBM:s rapport om dataintrång 2025 nådde den genomsnittliga globala intrångskostnaden nästan 5 miljoner dollar, med regler som GDPR pålägger böter på upp till 20 miljoner euro för allvarliga intrång.

Företag som prioriterar sekretess i AI-styrning kommer att ha en fördel: de kan köra mer omfattande, regelefterlevande tester och använda modeller i områden där extern innovation tidigare var förbjuden. Kort sagt, att skydda data medan modeller körs är inte ett hinder för antagande; det är grunden för ansvarsfull, skalbar AI i företag och regering.