הסקה חסויה: הבטחה קריפטוגרפית לפרטיות

מיליוני משתמשים מפקידים מדי יום מידע רגיש בידי קלוד (Claude) – החל מקוד קנייני ועד אסטרטגיות עסקיות סודיות. באנתרופיק (Anthropic), אנחנו חוקרים ומפתחים טכנולוגיות חדשות כדי להבטיח שהאמון של המשתמשים שלנו מוצדק – ולמעשה, כדי להבטיח שהאמון שלהם מגובה באופן קריפטוגרפי.

אז מה הכוונה ב"מגובה באופן קריפטוגרפי"? בדוח מחקר חדש, שפורסם בשיתוף פעולה עם Pattern Labs, אנו מתארים את המכניקה של הסקה חסויה (Confidential Inference). הסקה חסויה היא סט של כלים שמאפשר לעבד נתונים מוצפנים ולהוכיח שנתונים אלו ניתנים לקריאה רק בתוך שרתים שיכולים להוכיח את מהימנותם. יש שתי סיבות עיקריות לאמץ כלים אלו:

  • אבטחת משקולות המודל: אנו יכולים להשתמש בהסקה חסויה כמרכיב אחד במאמץ הרחב יותר שלנו לאבטח מודלי חזית כמו קלוד מפני גורמי איום בעלי יכולת הולכת וגוברת, כגון אלו המתוארים בדו"ח האחרון של RAND בנושא אבטחת משקולות מודלי AI.
  • אבטחת המשתמשים: אנו יכולים להשתמש בהסקה חסויה כדי להוכיח שנתוני משתמשים רגישים נשמרים פרטיים.

אנו מפרסמים פוסט זה, ואת הדו"ח המלא הנלווה אליו, כדי להסביר מהי הסקה חסויה ומהם היתרונות שהיא יכולה להציע למשתמשים שלנו. כמו כן, אנו רוצים לשתף כיצד אנו מתייחסים לאבטחת המערכות המעורבות. זהו רק קווי מתאר של המחקר שלנו כדי להתחיל דיון; אנחנו עדיין בשלבים מוקדמים של העבודה ומוקדם מדי לחזות כיצד היא תתפתח לעיצובים או תכונות ספציפיות שנוכל להציע בעתיד.

המסר המרכזי הוא שאנו בונים מערכות שנועדו להבטיח שנתונים רגישים נשארים מוצפנים בכל מקום למעט הרגע המדויק שבו יש צורך לעבד אותם – וגם אז, רק בתוך סביבה מוגבלת ומאומתת ביותר.

שירות הסקה מאובטח: כך שומרים על המידע רגיש

העיקרון המנחה מאחורי הסקה חסויה הוא שנתונים רגישים צריכים להישאר מוצפנים למעט בנקודה שבה הם מעובדים. כדי לאכוף זאת, אנו משתמשים בשיטות המבוססות של מחשוב חסוי (confidential computing). המשמעות היא שאנו בונים שרשרת אמון שמאשרת את אבטחת התוכנה שלנו, ולאחר מכן משתמשים באישור זה כדי לאכוף כללים לגבי אילו תוכנות בדיוק מורשות להשתמש במפתחות ההצפנה.

עבור נתוני משתמשים, ישנן שתי נקודות שבהן אנו צריכים לפעול על הטקסט הרגיש בגלוי (כלומר, על טקסט שאינו מוצפן או מוסתר בשום צורה):

  • שרת ה-API: שרת זה מטפל בפרומפט, הופך אותו לטוקנים, ומפעיל את רוב הלוגיקה שמאחורי בקשת API של קלוד;
  • שרת ההסקה (Inference Server): שרת זה מפעיל את "המוח" של קלוד על מאיצי חומרה כדי לייצר טוקני השלמה מהפרומפט.

עבור משקולות המודל, רק שרת ההסקה מקבל נתונים רגישים.

בפוסט זה נתמקד בשרת ההסקה – אבטחת שרת ה-API חשובה באותה מידה, אך חורגת מהיקף מה שאנו מנסים לתאר כאן. מכיוון שלא כל המאיצים תומכים כיום באופן מלא במחשוב חסוי, אנו בוחנים שרת הסקה שמיושם על גבי "טוען ומפעיל מודלים" קטן ומאובטח, שיכול לפעול בתוך סביבה מהימנה. תוכנית הטוען הזו מבצעת מספר משימות פשוטות:

  • קבלת נתונים מוצפנים, פענוחם ושליחתם למאיץ;
  • הפעלת קריאות כנגד המאיץ, והחזרת התוצאות המוצפנות ליוזם הקריאה.

רק ה"טוען" המהימן מסוגל לגשת לנתונים מפוענחים. שאר המערכת נחשבת "לא מהימנה", אך יכולה לשלוח בקשות לטוען.

אנו עובדים על מערכת המבוססת על תכנון זה עבור היישום שלנו. ביישום זה, רוב שרת ההסקה שלנו פועל בצד ה"לא מהימן" – שם הוא עשוי להשתנות לעיתים קרובות, אך שינויים בו אינם יכולים להשפיע על אבטחת המערכת כולה. יש לנו טוען מהימן קטן, הפועל על מכונה וירטואלית נפרדת המבודדת על ידי ההיפרוויזור. הטוען מציג את עצמו לשרת ההסקה כ"מאיץ וירטואלי", אגנוסטי לפרטי ארכיטקטורת המודל. "מאיץ וירטואלי" זה מקבל רק תוכניות שנחתמו על ידי שרת האינטגרציה הרציפה המאובטח שלנו, מה שמבטיח שכל קוד שמופעל נבדק על ידי מספר מהנדסים.

התוצאה הסופית היא להבטיח, שאם הטוען פועל כהלכה, דרישות הסודיות שלנו מתקיימות ללא קשר למה שעושה שאר המערכת. לכן, קריטי לוודא שהטוען פועל כהלכה.

הבטחת סביבת ההסקה המהימנה

הדו"ח מתאר את הטוען הפועל בסביבת מחשוב חסוי עם סט ספציפי של תכונות:

  1. זיכרון מוצפן, מבודד בחומרה מעומסי עבודה אחרים;
  2. תכונות ניפוי באגים (debugging) מושבתות;
  3. הוכחה קריפטוגרפית לכך שהקוד הנכון מופעל.

התכונה הראשונה (1) מגנה מפני צורות מסוימות של התקפות פיזיות ומפני היפרוויזור זדוני, אך התכונות הנדרשות לשיתוף זיכרון מוצפן עם מאיץ אינן מבוססות היטב עדיין. אנו נמשיך לפעול לסגירת פער זה, אך בינתיים נסתמך על ספקי המחשוב שלנו כדי לשמור על האבטחה במרכז הנתונים הפיזי ובתכנת ההיפרוויזור.

ניתן להשיג את תכונות (2) ו-(3) באמצעות שיטות מחשוב חסוי נתמכות באופן נרחב, תוך שימוש ב-TPM (Trusted Platform Module) כשורש האמון. ה-TPM מודד כל שלב בתהליך האתחול ומדווח על גיבוב (hash) המייצג את התוצאה הסופית. גיבוב זה מהווה אישור לכך ששרת הטוען מבודד כפי שאנו מצפים, מפעיל את הקוד החתום והנבדק שלנו, ומוגדר להשבית את תכונות ניפוי הבאגים הרלוונטיות. שרת מפתחות (keyserver) יכול לבדוק הוכחה זו ולשחרר מפתחות פענוח רק כאשר הנמען הוכיח את אבטחתו.

ההחלטה אם סביבה "מהימנה" נשענת בסופו של דבר על שרת המפתחות. אנו בוחנים גם מודלים של מחשוב חסוי שבהם צדדים אחרים מאמתים את הקוד המהימן ומנהלים שרתי מפתחות עצמאיים. זה יכול לאפשר לנו לספק הבטחות סודיות חזקות יותר עבור כל פיסת נתונים.

כיוונים עתידיים

ככל שמודלי חזית הופכים ליכולתיים יותר, אנו עשויים למצוא צורך לשלב אמצעי הגנה נוספים בשכבת הטוען המאובטח. זה עשוי לכלול תכונות כגון שכבה נוספת של הגבלות רוחב פס יציאה (egress bandwidth limitations) בשרתים שמחזיקים משקולות מודל בגלוי, או דרישה לחתימה של מסווג בטיחות כדי לבצע הסקה. אנו מקווים שהצגת מודל זה של הסקה חסויה תעורר דיון לגבי אילו תכונות נוספות כדאי לבחון כדי להבטיח את האבטחה המתמשכת של סביבת אנתרופיק ואת סודיות נתוני המשתמשים שלנו.

לסיכום

מחקר זה יקדם את מאמצינו המתמשכים לאבטח את משקולות המודל שלנו ולהגן על נתוני המשתמשים. השימוש במודל זה להגנת בקשת משתמש נועד להבטיח שנתוני לקוחות יפוענחו אי פעם רק בהקשרים עם בקרות אבטחה משופרות מבוססות חומרה:

  • הבקשה מוצפנת בנקודה לפני הגעתה לשרתי אנתרופיק;
  • כאשר הבקשה מגיעה לשרת ה-API, היא מפוענחת, מעובדת ומוצפנת מחדש לפני שהיא מועברת הלאה;
  • שרת ההסקה מטפל בבקשה בצורה מוצפנת, והבקשה מפוענחת רק כאשר היא נשלחת לטוען המהימן;
  • ההשלמות מוצפנות לפני שהן עוזבות את הטוען, ומועברות חזרה דרך שרת ה-API ליוזם הקריאה.

סיפור משקולות המודל פשוט יותר: ניתן לאחסן אותן מוצפנות, לפענח בטוען, ולעולם לא לשחרר משם.

מעצבי חומרה (שלא עשו זאת עדיין) צריכים לשקול לשלב מחשוב חסוי לתוך השבבים שלהם. אם יש שורש אמון חומרתי המחובר למאיץ, אזי גבול האמון של מערכת מסוג זה יכול להצטמצם משמעותית.

קראו את הדו"ח המלא.

רוצים לעבוד איתנו?

אם הדיון הזה על הסקה חסויה עורר בכם עניין לעבוד איתנו על שאלות אלו, אנא שקלו להגיש מועמדות לאחד התפקידים הפתוחים המפורטים בסעיפי "אבטחה" ו"מחקר והנדסת AI" בדף המשרות באתר שלנו.

תוכן קשור

כיצד אוסטרליה משתמשת בקלוד: ממצאים ממדד הכלכלה של אנתרופיק

דו"ח מדד הכלכלה של אנתרופיק: עקומות למידה

הדו"ח החמישי של מדד הכלכלה של אנתרופיק בוחן את השימוש בקלוד בפברואר 2026, בהתבסס על מסגרת הפרימיטיבים הכלכליים שהוצגה בדו"ח הקודם שלנו.

מציגים את בלוג המדע שלנו

אנו משיקים בלוג חדש על AI ומדע. נשתף מחקרים המתקיימים באנתרופיק ובמקומות אחרים, שיתופי פעולה עם חוקרים ומעבדות חיצוניים, ונדון בתהליכי עבודה מעשיים עבור מדענים המשתמשים ב-AI בעבודתם.