Мокси Марлинспайк — псевдоним инженера, который установил новый стандарт для частного обмена сообщениями, создав Signal Messenger, — теперь стремится совершить аналогичную революцию в области чат-ботов с искусственным интеллектом. Его последнее детище — Confer, помощник с открытым исходным кодом, который даёт твёрдые гарантии того, что пользовательские данные остаются нечитаемыми для оператора платформы, хакеров, правоохранительных органов или любой другой стороны, кроме самих владельцев учётных записей. Сервис, включая его большие языковые модели и серверные компоненты, полностью работает на программном обеспечении с открытым исходным кодом, которое пользователи могут криптографически проверить на подлинность. Данные и диалоги, исходящие от пользователей, а также полученные ответы от больших языковых моделей (LLM) шифруются в доверенной среде исполнения (TEE), которая не позволяет даже администраторам серверов просматривать или изменять их. Диалоги хранятся Confer в той же зашифрованной форме, используя ключ, который остаётся в безопасности на устройствах пользователей. Подобно Signal, внутренняя механика Confer отличается изяществом дизайна и простотой. Signal стал первым инструментом для обеспечения конфиденциальности, которым было невероятно легко пользоваться. До этого использование PGP-почты или других опций для создания зашифрованных каналов между двумя пользователями представляло собой громоздкий процесс, который легко было испортить. Signal сломал этот шаблон. Управление ключами больше не было заботой пользователей. Signal был разработан таким образом, чтобы даже операторы платформы не могли заглядывать в сообщения или определять реальные личности пользователей. Все крупные платформы обязаны предоставлять пользовательские данные правоохранительным органам или частным лицам по судебному предписанию, даже если пользователи отказываются от долгосрочного хранения данных; это стало очевидно в мае прошлого года, когда суд обязал OpenAI сохранить все логи пользователей ChatGPT — включая удалённые чаты и конфиденциальные диалоги, зафиксированные через бизнес-предложение API. Сэм Альтман, генеральный директор OpenAI, заявлял, что подобные постановления означают, что даже сеансы психотерапии на платформе могут не остаться конфиденциальными. Ещё одно исключение из отказа от хранения: ИИ-платформы, такие как Google Gemini, могут позволять людям просматривать чаты. Эксперт по защите данных Эм (она не раскрывает свою фамилию в Интернете) назвала ИИ-помощников «заклятым врагом» конфиденциальности данных, поскольку их полезность зависит от сбора огромных объёмов данных из множества источников, включая частных лиц. «Модели ИИ по своей сути являются сборщиками данных, — сказала она Ars. — Они полагаются на масштабный сбор данных для обучения, улучшения, работы и кастомизации. Чаще всего эти данные собираются без чёткого и информированного согласия (от ничего не подозревающих субъектов обучения или пользователей платформы), а затем отправляются и доступны частной компании, у которой есть множество стимулов для их передачи и монетизации». Отсутствие контроля со стороны пользователей особенно проблематично, учитывая характер взаимодействий с LLM, говорит Марлинспайк. Пользователи часто относятся к диалогу как к интимной беседе. Они делятся своими мыслями, страхами, проступками, деловыми сделками и самыми сокровенными секретами, как если бы ИИ-помощники были доверенными собеседниками или личными дневниками. Эти взаимодействия фундаментально отличаются от традиционных поисковых запросов в Интернете, которые обычно следуют транзакционной модели: ввод ключевых слов и получение ссылок. Он сравнивает использование ИИ с исповедью в «озеро данных». В ответ Марлинспайк разработал и сейчас тестирует Confer. Во многом так же, как Signal использует шифрование, чтобы сделать сообщения доступными только участникам разговора, Confer защищает пользовательские запросы, ответы ИИ и все содержащиеся в них данные. И, как и в Signal, нет никакой возможности связать отдельных пользователей с их реальной личностью через адрес электронной почты, IP-адрес или другие данные. «Характер взаимодействия фундаментально иной, потому что это частное взаимодействие, — сказал Марлинспайк Ars. — Было очень интересно, обнадеживающе и удивительно слышать истории от людей, которые использовали Confer и вели меняющие жизнь беседы. Отчасти потому, что они не чувствовали себя свободно, включая информацию в эти разговоры с такими источниками, как ChatGPT, или у них были идеи, используя данные, которыми они на самом деле не могли поделиться с ChatGPT ранее, но теперь могут с помощью такой среды, как Confer». Одним из основных компонентов шифрования Confer являются passkeys (ключи доступа). Отраслевой стандарт генерирует пару ключей шифрования размером 32 байта, уникальную для каждого сервиса, в который входит пользователь. Открытый ключ отправляется на сервер. Закрытый ключ хранится только на устройстве пользователя, внутри защищённого оборудования, к которому хакеры (даже имеющие физический доступ) не могут получить доступ. Passkeys обеспечивают двухфакторную аутентификацию и могут быть настроены для входа в учётную запись с помощью отпечатка пальца, сканирования лица (которые также надёжно хранятся на устройстве) или PIN-кода/пароля для разблокировки устройства. Закрытый ключ позволяет устройству войти в Confer и зашифровать весь ввод и вывод с помощью шифрования, которое, по общему мнению, невозможно взломать. Это позволяет пользователям хранить диалоги на серверах Confer с уверенностью в том, что их не сможет прочитать никто, кроме них самих. Такое хранение позволяет синхронизировать диалоги с другими устройствами, принадлежащими пользователю. Код, обеспечивающий работу всего этого, доступен для всеобщего изучения. Он выглядит так:,,,,,Этот надёжный внутренний механизм обрамлён простым, на первый взгляд, пользовательским интерфейсом (показан на двух изображениях выше). Всего за два шага пользователь входит в систему, и все предыдущие чаты расшифровываются. Затем эти чаты становятся доступны любому устройству, вошедшему в ту же учётную запись. Таким образом, Confer может синхронизировать чаты, не нарушая конфиденциальности. Достаточный объём ключевого материала в 32 байта позволяет закрытому ключу регулярно меняться — функция, которая обеспечивает прямую секретность, что означает: в случае компрометации ключа злоумышленник не сможет прочитать предыдущие или будущие чаты. Другим основным компонентом Confer является TEE на серверах платформы. TEE шифруют все данные и код, проходящие через центральный процессор сервера, защищая их от чтения или изменения лицом, имеющим административный доступ к машине. TEE Confer также предоставляет удалённую аттестацию. Удалённая аттестация — это цифровой сертификат, отправляемый сервером, который криптографически подтверждает, что данные и программное обеспечение работают внутри TEE, и перечисляет всё программное обеспечение, работающее на нём. В Confer удалённая аттестация позволяет любому воспроизвести побитовые выходные данные, подтверждающие, что общедоступное программное обеспечение proxy и image — и только оно — работает на сервере. Для дополнительной проверки того, что Confer работает в соответствии с заявленным, каждый релиз подписывается цифровой подписью и публикуется в журнале прозрачности. Нативная поддержка Confer доступна в последних версиях macOS, iOS и Android. Для Windows пользователям необходимо установить сторонний аутентификатор. Поддержка Linux также отсутствует, хотя это расширение устраняет этот пробел. Ещё одно предложение LLM с E2EE — Lumo от европейской компании Proton, стоящей за популярным сервисом зашифрованной электронной почты. Оно использует тот же механизм шифрования, что и Proton Mail, Drive и Calendar. Внутреннее устройство этого механизма значительно сложнее, чем у Confer, поскольку оно полагается на серию как симметричных, так и асимметричных ключей. Однако конечный результат для пользователя в значительной степени тот же. Proton заявляет, что после аутентификации пользователя все диалоги, данные и метаданные шифруются симметричным ключом, который есть только у пользователя. Пользователи могут выбрать хранение зашифрованных данных на серверах Proton для синхронизации между устройствами или потребовать их немедленного удаления после завершения разговора. Третий поставщик LLM, обещающий конфиденциальность, — это Venice. Он хранит все данные локально, то есть на устройстве пользователя. Никакие данные на удалённом сервере не сохраняются. Большинство крупных LLM-платформ предлагают пользователям возможность исключить свои диалоги и данные из маркетинга и обучения. Но, как отмечалось ранее, эти обещания часто сопровождаются существенными оговорками. Помимо выборочной проверки людьми, личные данные могут по-прежнему использоваться для обеспечения соблюдения условий обслуживания или для других внутренних целей, даже если пользователи отказались от стандартного хранения. Учитывая нынешний правовой ландшафт — который позволяет получить большинство данных, хранящихся онлайн, по повестке — и регулярные нашумевшие утечки данных хакерами, не может быть никаких разумных ожиданий, что личные данные останутся конфиденциальными. Было бы замечательно, если бы крупные провайдеры предлагали защиту сквозного шифрования, но на данный момент нет никаких признаков того, что они планируют это делать. А пока существует несколько небольших альтернатив, которые уберегут пользовательские данные от постоянно растущего «озера данных».
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Dan Goodin
