Jonathan Mortensen，Confident Security 的创始人和 CEO – 采访系列

Jonathan Mortensen，Confident Security 的创始人和 CEO，目前领导着为具有严格安全和合规要求的行业开发可证明的私人 AI 系统的工作。他还在 South Park Commons 担任创始人研究员，在那里他探索了 AI 计算、内存、隐私和所有权的未来。在启动 Confident Security 之前，他曾是 Databricks 的员工软件工程师，负责将 bit.io 的技术集成到其数据平台中，重点关注多租户安全、IAM/ACL、VPC 隔离、加密和数据所有权。早先，他创立并担任 bit.io 的 CTO，构建了一个支持数十万个安全数据库的多云、多区域无服务器 PostgreSQL 服务，后来被 Databricks 收购。

Confident Security 构建了允许企业在不暴露敏感信息的情况下运行 AI 工作流的基础设施。其平台的设计使得提示、数据和模型输出保持完全私密，永远不会被记录或重用，为组织提供了一种安全的方式来采用 AI，同时满足严格的监管和合规标准。

您在 2024 年创立 Confident Security 之前，曾构建了 bit.io 并在 Databricks 工作。是什么激发了您对 AI 需要一种根本不同的隐私方法的认识？

我构建数据基础设施的经验教会了我：如果人们将敏感信息放入系统中，信任是不够的。他们需要证明。我们构建了基础设施，使客户拥有自己的数据，并提供了验证的方法。

当我观察公司如何使用 LLMs 时，我发现这种证明不存在。员工将源代码、法律文件和患者记录粘贴到第三方运行的模型中，他们无法验证。我们已经看到私人聊天意外地被索引在线上，并且政策变化使得对话默认成为训练数据。这表明当前的隐私模型是多么脆弱。

如果 AI 要处理世界上最敏感的信息，我们需要保证，这些保证不能依赖于对供应商内部承诺的信任。这就是驱使我创立 Confident Security 的动力。

OpenPCC 被描述为“AI 的 Signal”。为什么这个隐私层需要从第一天开始就开放、可证明和互操作？

端到端加密直到成为每个人都可以采用的标准才流行起来。我们希望 AI 隐私也能如此。如果只有少数公司可以提供真正的保证，那么隐私就不会扩大。

OpenPCC 是开源的，采用 Apache 2.0 协议，因此任何人都可以构建或检查它。没有秘密的信任要求。硬件证明提供了关于运行什么和在哪里运行的加密证明。我们确保它可以在任何地方工作：任何云、任何模型提供者、任何开发者堆栈。

有一个一致且普遍的隐私底线的价值非常大。如果您使用 OpenPCC，您知道您的数据对模型提供者、监管机构甚至我们自己都是不可见的。只有当整个生态系统都可以参与时，标准才会起作用，因此我们从第一天开始就设计了它，使其尽可能地包容。

在创立 Confident Security 之前，您构建了大规模系统，用于多租户、加密和数据所有权。这些经验如何影响 OpenPCC 的架构？

这些系统强化了两个真理：如果系统可以保留数据，最终它会， 无论是通过日志、错误配置还是法律请求。并且信任不是一种隐私模型。用户需要可见性和控制权。

OpenPCC 以无状态模式运行，因此提示在处理后消失。证明允许用户验证他们的数据将被发送到哪里以及将运行什么代码。通过隔离控制和数据，OpenPCC 防止私人输入被视为可执行的指令。

这些约束是企业一直在等待的保证：数据不会在意外的地方重新出现。

您认为大多数“私人 AI”解决方案依赖于不透明系统的信任。为什么独立验证对于真正的隐私至关重要？

今天的大多数隐私语言基本上是“只需相信我们”。当赌注包括国家安全和监管的医疗数据时，这还不够。如果用户无法验证声明，那就不是保证——它只是营销。

可验证的隐私是不同的。你不相信操作者的意图。你验证硬件、软件镜像和数据处理保证。密码学强制执行边界。日志不存在，因此不会有人意外泄露或传票。

当用户可以审核隐私时，您会创建一个根本更安全的系统。它是基于数学的问责制。

Google 的“私人 AI”公告在 OpenPCC 发布后不久，您公开呼吁他们提供 TPU 进行独立测试。是什么激发了这种呼吁，您期望找到什么？

如果要声称隐私保证，应该让社区验证它们。NVIDIA 已经允许外部验证其 H100 GPU，我们甚至开源了 Go 版本的证明库，以鼓励采用。

如果 Google 想要对 TPU 做出类似的承诺，我们应该能够测量和验证这些承诺，而不仅仅是阅读博客文章。我们将寻找与任何隐私系统相同的控制：严格的数据保留边界、可审核的证明和没有秘密通道的日志或遥测逃逸。隐私声明需要经得起审查。

对于不熟悉机制的读者，OpenPCC 的完全加密通道与传统的客户端加密或保密计算有什么不同？

客户端加密保护数据在传输过程中，保密计算保护数据在处理过程中，但仍然存在操作员或攻击者可以访问敏感信息的间隙。

OpenPCC 关闭了这些间隙。它在客户端和模型之间创建了一个封闭的端到端路径，保护提示、响应、用户身份，甚至元数据或可能暗示意图的时间信号。操作员无法解密任何内容。在违规条件下，任何内容都不会被记录或保留。

隐私不应该依赖于希望提供者在幕后做正确的事情。它需要通过密码学来强制执行。

可验证的隐私如何改变金融、医疗保健和国防等监管行业的等式？

监管行业最有可能从 AI 中受益，但也最有可能在泄露时损失。今天，78% 的员工将内部数据粘贴到 AI 工具中，五分之一的案例包括监管信息，例如 PHI 或 PCI。暴露已经发生。

可验证的隐私消除了最大的障碍。敏感提示永远不会以明文形式存在于模型提供者的环境中。无法用于训练。即使在合法请求下，也无法访问系统本身无法看到的内容。

风险和合规团队终于有了一条可以默认为“是”的路径，而不是“否”。

在设计一个可以在任何企业堆栈上工作的云无关隐私层时，最大的是什么样的工程挑战？

保密计算和远程证明仍处于初期阶段。在我看来，每个云提供商和裸机提供商都做了一些不同的事情。一些提供商，例如 AWS，甚至没有必要的硬件来做到这一点。因此，我们添加的每个功能都像走钢丝和千刀万剐。但是，整个目标是成为一个开放标准，因此我们需要以一种对任何人的云都有效的方式来做。它是开源的，所以我鼓励大家添加更多支持的平台和配置！

默认可验证加密的世界会是什么样子，它将如何重塑企业、云供应商和模型提供商之间的权力平衡？

企业保留对其最有价值的资产的控制：其数据。模型提供商竞争性能和成本，而不是谁可以积累最多的专有信息。云使隐私成为可能，而不是成为其沉默的观察者。

这是一个更健康的权力平衡。整个生态系统在安全性构建到基础中而不是补丁在上面时都会获益。

在 AI 普遍且受到严格监管的未来，如何看待可验证的隐私重塑企业、云供应商和模型开发者的竞争格局？

监管机构已经在质疑用户数据的存储和使用方式。基于信任的隐私不会让他们满意很久。用户会像今天在消息应用中期望加密一样期望隐私保证。

获胜者将是那些不要求用户妥协的公司。如果您可以证明隐私，您将赢得拥有世界上最有价值数据的组织的信任。数据将在以前被锁起来的地方变得可用。

感谢这次精彩的采访，希望了解更多的读者可以访问 Confident Security。