Інтерв’ю
Джонатан Мортенсен, засновник і генеральний директор Confident Security – Серія інтерв’ю
Джонатан Мортенсен, засновник і генеральний директор Confident Security, зараз очолює розвиток провably-приватних систем штучного інтелекту для галузей з суворими вимогами безпеки та відповідності. Він також служить засновником у South Park Commons, де досліджує майбутнє обчислення штучного інтелекту, пам’яті, приватності та власності. До створення Confident Security він був інженером-програмістом у Databricks, інтегруючи технологію bit.io у свою платформу даних з фокусом на багатокористувальній безпеці, IAM/ACL, ізоляції VPC, шифруванні та власності даних. Раніше він заснував і обіймав посаду технічного директора bit.io, створюючи багатоклиодну, багаторегіонну серверну службу PostgreSQL, яка підтримувала сотні тисяч безпечних баз даних і пізніше була придбана Databricks.
Confident Security будує інфраструктуру, яка дозволяє підприємствам запускати потоки штучного інтелекту без витоку конфіденційних даних. Її платформа розроблена так, щоб промпти, дані та вивід моделі залишилися повністю приватними, ніколи не реєструвалися та ніколи не повторно використовувалися, надаючи організаціям безпечний спосіб впровадження штучного інтелекту при дотриманні суворих нормативних та вимог відповідності.
Ви заснували Confident Security у 2024 році після створення bit.io і роботи у Databricks. Що спонукало вас до розуміння того, що штучний інтелект потребує фундаментально іншого підходу до приватності?
Мій досвід будівництва інфраструктури даних навчив мене цьому: якщо люди вводять конфіденційні дані до системи, довіри недостатньо. їм потрібні докази. Ми будували інфраструктуру, де клієнти володіли своїми даними, і ми надавали їм засоби для перевірки цього.
Коли я дивився, як компанії використовували великі мови моделей, таких доказів не існувало. Працівники вставляли джерельний код, юридичні документи та медичні записи до моделей, керованих третіми сторонами, яких вони не могли перевірити. Ми вже бачили випадки, коли приватні розмови випадково індексувалися в Інтернеті, і зміни політики, які раптом робили розмови тренувальними даними за замовчуванням. Це показало, наскільки хиткою є поточна модель приватності.
Якщо штучний інтелект має обробляти найбільш конфіденційні дані світу, нам потрібні гарантії, які не залежать від довіри до внутрішніх обіцянок постачальника. Це і спонукало мене до створення Confident Security.
OpenPCC описується як “Signal для штучного інтелекту”. Чому було важливо, щоб цей шар приватності був відкритим, атестованим і міжопераційним з дня його створення?
Шифрування від кінця до кінця не стало популярним, поки не став стандартом, який міг采用 кожен. Ми хочемо того ж самого для приватності штучного інтелекту. Якщо тільки кілька компаній можуть пропонувати справжні гарантії, то приватність не буде масштабуватися.
OpenPCC є відкритим під ліцензією Apache 2.0, тому будь-хто може будувати на його основі або інспектувати його. Не існує секретного вимог довіри. Атестація апаратного забезпечення забезпечує криптографічні докази про те, що запускається і де. І ми зробили так, щоб воно працювало будь-де: будь-який хмарний провайдер, будь-який постачальник моделей, будь-який стек розробника.
Є величезна цінність у приватному поверсі, який є постійним і універсальним. Якщо ви використовуєте OpenPCC, ви знаєте, що ваші дані не видимі постачальникам моделей, регуляторам або навіть нам. Стандарт працює лише тоді, коли весь екосистема може брати участь, тому ми розробили його так, щоб він був якомога більш інклюзивним з дня його створення.
До Confident Security ви будували великомасштабні системи для багатокористувальності, шифрування та власності даних. Як ці досвіди сформували архітектуру OpenPCC?
Ці системи підкріпили дві істини: якщо система може зберігати дані, врешті-решт вона це зробить, незалежно від того, чи це через журнали, неправильну конфігурацію або юридичні запити. І довіра не є моделлю приватності. Користувачам потрібна видимість і контроль.
OpenPCC запускається у безстанційному режимі, тому промпти зникають після обробки. Атестація дозволяє користувачам перевірити, куди прямують їхні дані та який код запускається. І, ізолюючи контроль від даних, OpenPCC запобігає тому, щоб приватні входи कभи оброблялися як виконувані інструкції.
Ці обмеження є тим, чого чекають підприємства: гарантії, що дані не з’являться знову в несподіваному місці.
Ви стверджували, що більшість “приватних рішень штучного інтелекту” залежать від довіри до непрозорих систем. Чому незалежна верифікація є суттєвою для справжньої приватності?
Більшість мов приватності сьогодні є фактично “просто довірте нам”. Це не достатньо, коли на кону стоять національна безпека та регулювана медична інформація. Якщо користувач не може перевірити заяву, то це не гарантія – це маркетинг.
Верифікована приватність є іншою. Ви не довіряєте намірам оператора. Ви перевіряєте апаратне забезпечення, образ програмного забезпечення та гарантії обробки даних. Криптографія забезпечує межі. Журналів не існує, тому ніхто не може випадково витекти або викликати їх.
Коли приватність є аудитуємою користувачем, ви створюєте фундаментально безпечнішу систему. Це підзвітність, заснована на математиці.
Анонс “Приватного штучного інтелекту” від Google відбувся невдовзі після OpenPCC. Ви публічно викликали їх надати TPU для незалежного тестування. Що спонукало цей виклик, і що ви очікуєте знайти?
Якщо ви заявляєте про приватні гарантії, ви повинні дозволити спільноті перевірити їх. NVIDIA вже дозволяє зовнішню верифікацію на своїх GPU H100, і ми навіть відкрили джерельний код бібліотеки атестації на мові Go, щоб заохотити采用.
Якщо Google хоче зробити подібні обіцянки щодо TPU, ми повинні бути в змозі виміряти і перевірити ці обіцянки, а не просто читати про них у блог-пості. Ми шукали б тих же контрольних засобів, яких ми очікуємо від будь-якої системи приватності: суворі межі зберігання даних, атестація, яку можна перевірити, і жодних секретних шляхів, де журнали або телеметрія можуть витекти. Заяви про приватність повинні витримувати перевірку.
Для читачів, незнайомих з механікою, що робить повністю зашифровані канали OpenPCC інші, ніж традиційне шифрування на клієнтській стороні або конфіденційне обчислення?
Шифрування на клієнтській стороні охороняє дані під час їхнього введення, а конфіденційне обчислення охороняє їх під час обробки, але все ж існують пробіли до і після обробки, де оператори або атакувальники можуть отримати доступ до конфіденційних даних.
OpenPCC закриває ці пробіли. Він створює запечатаний шлях від кінця до кінця між клієнтом і моделлю, який захищає промпт, відповідь, ідентифікатор користувача та навіть метадані або сигнали часу, які можуть тихо розкрити намір. Оператори не можуть розшифрувати нічого. Нічого не реєструється або зберігається, навіть у разі порушення безпеки.
Приватність не повинна залежати від сподівання, що постачальник робить правильну справу за лаштунками. Вона повинна бути забезпечена криптографічно.
Як верифікована приватність змінює рівняння для регульованих галузей, таких як фінанси, охорона здоров’я та оборона?
Регульовані галузі мають найбільше виграти від штучного інтелекту, але також найбільше втрачати, якщо щось витече. Сьогодні 78% працівників вставляють внутрішні дані до інструментів штучного інтелекту, і один із п’яти випадків включає регульовані дані, такі як PHI або PCI. Витік вже відбувається.
Верифікована приватність усуває найбільший блокатор. Чутливі промпти ніколи не існують у відкритому вигляді всередині середовища постачальника моделі. Нічого не можна використовувати для навчання. Навіть законні запити не можуть отримати доступ до того, чого система сама не бачить.
Команди ризику та відповідності нарешті мають шлях, де “так” стає замовчуванням замість “ні”.
Які були найбільші інженерні виклики при розробці шару приватності, незалежного від хмари, який працює на будь-якому підприємстві?
Конфіденційне обчислення та віддалена атестація все ще перебувають у дитинстві, на мою думку. Кожен хмарний провайдер і постачальник голого металу робить щось трохи інше. Деякі провайдери, такі як AWS, навіть не мають апаратного забезпечення, необхідного для цього. Тому кожна функція, яку ми додаємо, є як 1000 ударів і ходіння по високому міцному канату. Але вся справа полягає в тому, щоб стати відкритим стандартом, тому нам потрібно зробити це так, щоб воно працювало для будь-якої хмари. Це відкритий код, тому я закликаю всіх додати ще більше підтримуваних платформ і конфігурацій!
Як виглядатиме світ з умовчанням верифікованого шифрування, і як це може змінити баланс сил між підприємствами, хмарними постачальниками та постачальниками моделей?
Підприємства зберігають контроль над своїм найціннішим активом: своїми даними. Постачальники моделей конкурують на основі продуктивності та вартості, а не того, хто може накопичити найбільшу кількість пропріетарної інформації. Хмари забезпечують приватність замість того, щоб бути мовчазними свідками її.
Це більш здоровий баланс сил. І весь екосистема виграє, коли безпека будується в основу замість того, щоб бути наклеєною зверху.
У майбутньому, де штучний інтелект стане універсальним і сильно регульованим, як ви бачите, що верифікована приватність змінить конкурентний ландшафт для підприємств, хмарних постачальників та розробників моделей?
Регулятори вже ставлять під сумнів, як зберігаються та використовуються дані користувачів. Приватність, заснована на довірі, не задовольнить їх надовго. Користувачі будуть очікувати гарантій приватності так само, як вони очікують шифрування у програмах для обміну повідомленнями сьогодні.
Переможцями будуть компанії, які не просять користувачів компрометувати. Якщо ви можете довести приватність, ви заробляєте довіру організацій, які мають найцінніші дані у світі. Дані стають придатними для використання в місцях, де вони були заблоковані.
Дякуємо за велике інтерв’ю. Читачам, які бажають дізнатися більше, слід відвідати Confident Security.
