Конфиденциальные вычисления — вот как ИИ восстанавливает доверие, которое он уже потерял — и почему это должно стать новым стандартом

Кратко

По мере того как внедрение ИИ опережает общественное доверие, Ахмад Шадид из ORGN утверждает, что конфиденциальные вычисления и проверяемое выполнение предоставляют криптографические доказательства, которых одних политик конфиденциальности недостаточно.

ИИ-системы быстро внедряются в чувствительные рабочие процессы — написание кода, обработка данных клиентов и поддержка решений в регулируемых секторах, таких как финансы и здравоохранение. Такая скорость интеграции создала структурную проблему, которую отрасль еще не смогла должным образом решить.

Проблема — доверие. Исследование, проведенное Университетом Мельбурна совместно с KPMG, опросившее более 48 000 человек в 47 странах, показало, что хотя 66% респондентов регулярно используют ИИ, менее половины — всего 46% — готовы доверять ИИ-системам. Использование и доверие движутся в противоположных направлениях, и разрыв между ними увеличивается.

Особенно остро стоит вопрос конфиденциальности данных. Согласно AI Index Stanford за 2025 год, глобальная уверенность в том, что компании, разрабатывающие ИИ, защищают личные данные, снизилась с 50% в 2023 году до 47% в 2024 году, а меньше людей верят в отсутствие предвзятости и дискриминации в ИИ-системах по сравнению с предыдущим годом. Этот спад происходит как раз в тот момент, когда ИИ становится все глубже интегрирован в повседневную жизнь и профессиональную среду, что значительно повышает риски при неправильном доверии.

Ахмад Шадид, генеральный директор ORGN — первой в мире конфиденциальной среды разработки, — утверждает, что следующий этап развития ИИ не будет основан на доверии, а на доказательствах. Конфиденциальные вычисления и проверяемое выполнение позволяют точно демонстрировать, как обрабатываются данные, а не просто обещать их безопасность.

В интервью MPost он объяснил, как эти технологии решают проблемы конфиденциальности и доверия, которые оставляют открытыми традиционные меры безопасности, и что нужно для их широкого распространения.

Как сегодня ИИ-компании защищают данные — и почему этого недостаточно

Большинство ИИ-компаний используют комбинацию шифрования, контроля доступа и управленческих политик для защиты чувствительных данных. Шифрование применяется к данным в состоянии покоя и при передаче с помощью проверенных алгоритмов, а ролевой контроль доступа, логирование и обнаружение аномалий регулируют, кто и при каких условиях может взаимодействовать с системами. Эти меры — базовый уровень отрасли и для многих случаев использования достаточно.

Проблема возникает в конкретный и зачастую упускаемый из виду момент: когда данные расшифровываются в памяти для обучения модели или выполнения inference. В этот момент открывается окно уязвимости. Конфиденциальные вычисления решают эту проблему, шифруя данные во время активной обработки внутри аппаратного обеспечения, так что даже оператор инфраструктуры не может видеть, что происходит внутри машины.

Шадид выделяет структурную уязвимость, которую стандартные подходы безопасности не полностью закрывают. Когда данные расшифровываются на сервере, который клиент не контролирует напрямую — например, в публичном облаке или на сторонней платформе ИИ — у клиента нет технических средств для проверки того, что с данными происходит на самом деле. В практике он полагается на слова поставщика.

Эта проблема не ограничивается конечными пользователями. В регулируемых средах CISO, аудиторы по соблюдению и регуляторы сталкиваются с той же проблемой. Обычно они полагаются на сертификаты ISO 27001, отчеты SOC 2 и политики — инструменты, которые, по словам Шадида, доказывают скорее намерения, чем то, что действительно происходит с данными в процессе использования. Конфиденциальные вычисления с аттестацией меняют эту ситуацию, предоставляя устойчивые к подделке криптографические доказательства того, что конкретная версия модели работала внутри одобренной доверенной среды выполнения с одобренным программным обеспечением. Гарантия переходит от документальных обещаний к проверяемым техническим фактам.

Регуляторное движение в сторону этого сдвига уже видно. Согласно исследованию IDC за июль 2025 года, введение Европейского закона о цифровой операционной устойчивости (DORA) привело к тому, что 77% организаций стали более склонны рассматривать конфиденциальные вычисления, а 75% уже внедрили их в той или иной форме. Основные преимущества — повышение целостности данных, подтвержденная конфиденциальность и усиление соответствия нормативам.

Что означает проверяемое выполнение на практике

Для неспециалистов Шадид описывает проверяемое выполнение как получение криптографической квитанции после обработки данных системой ИИ. Эта квитанция демонстрирует, в математически проверяемой форме, что ИИ работал на подлинном сертифицированном оборудовании, что он выполнил ожидаемую версию программного обеспечения и ничего лишнего, и что среда была должным образом защищена до разблокировки чувствительных данных. Целостность процесса больше не основана на доверии к поставщику — она подтверждается доказательствами.

На техническом уровне это достигается тремя взаимосвязанными механизмами. Надежные среды выполнения (TEEs) позволяют процессору создать запечатанный изолированный участок памяти и выполнения — так называемый enclave — который на уровне кремния изолирован от операционной системы, гипервизора и облачного оператора, что исключает возможность чтения происходящего внутри. Удаленная аттестация позволяет внешней стороне убедиться, что внутри запечатанной среды действительно запущена одобренная программная среда, прежде чем будут раскрыты ключи шифрования или чувствительные входные данные. Наконец, проверяемые результаты позволяют некоторым системам подписывать свои выводы с помощью аттестационного сертификата, чтобы любой, получающий результат, мог подтвердить, что он пришел из ожидаемого приложения внутри защищенной среды и не был изменен в пути.

Шадид утверждает, что преимущества конфиденциальных вычислений распространяются на всю цепочку создания стоимости ИИ. Разработчики получают возможность обучать и запускать модели на чувствительных или регулируемых наборах данных в совместных облачных средах, не раскрывая исходные данные платформе. Для предприятий технология снижает юридические и репутационные риски, предоставляя доказательства того, что личные данные остаются защищенными во время обработки — поддерживая требования GDPR и отраслевые регламенты. Она также открывает возможности для межорганизационного обмена данными, поскольку каждая сторона может убедиться, что ее данные обрабатываются только внутри аттестованных, политикой соответствующих сред, устраняя один из главных барьеров для совместных проектов ИИ.

Для конечных пользователей выгода — более надежное и ощутимое подтверждение того, что их личные данные не могут быть доступны операторам, инсайдерам или другим арендаторам облака во время работы систем ИИ. Это также делает возможным предоставление более ценных услуг — например, персонализированное медицинское руководство или детальные финансовые консультации — которые ранее считались слишком чувствительными для облачных решений.

Шадид делится своим опытом инженера-программиста, чтобы проиллюстрировать один из менее обсуждаемых рисков. Разработчики регулярно вставляют проприетарный код, конфигурационные файлы, API-ключи и токены в инструменты для программирования ИИ, зачастую с ограниченным пониманием того, как эти данные хранятся или используются. Быстрый темп отрасли усложняет избегание таких инструментов. Именно эта напряженность — необходимость быстро двигаться вперед, одновременно остро осознавая риск утечки интеллектуальной собственности — подтолкнула его к созданию ORGN, конфиденциальной среды разработки, построенной на принципах конфиденциальных вычислений.

Почему массовое внедрение еще не произошло

Несмотря на 75% внедрение в предприятиях в той или иной форме, исследование IDC показывает, что только 18% организаций внедрили конфиденциальные вычисления в производственные среды. Шадид выделяет три основные барьера: сложность валидации аттестации, устойчивое восприятие технологии как нишевой, и нехватку инженеров с соответствующими навыками.

Он объясняет, что проверка аттестации на практике гораздо сложнее, чем кажется на бумаге. Доказательства аттестации поступают в виде бинарных структур или JSON-объектов, содержащих измерения, сертификаты и сопроводительные данные, которые нужно разобрать, проверить на соответствие корням поставщика и валидность. Разработчикам нужно определить, что считается доверенным — какие версии прошивки, хеши образов и измерения приложений допустимы — и встроить эту логику в свою управляющую систему или систему управления ключами. Крупные облачные провайдеры, такие как AWS, Azure и Oracle, уже предлагают конфиденциальные вычисления по ценам, сопоставимым со стандартной инфраструктурой, поэтому барьер не в доступе или стоимости. Он в инженерных ресурсах, необходимых для правильной реализации аттестации.

Шадид считает, что более широкое внедрение зависит от трех объединяющихся сил. Во-первых, проверка аттестации должна стать значительно более доступной — либо через стандартизацию, либо через open-source инструменты, упрощающие работу отдельных команд разработки. Во-вторых, регуляторное давление продолжит стимулировать внедрение, как это уже происходит с DORA — если другие сектора последуют подобной траектории, бизнес-кейс для конфиденциальных вычислений станет все труднее игнорировать. В-третьих, и, возможно, самое важное, — необходимо повысить общественное понимание того, что происходит с данными внутри систем ИИ. Большинство людей, по мнению Шадида, не имеют ясного представления о том, что происходит, когда они отправляют запрос в потребительский ИИ. Повышение осведомленности о таком риске — среди разработчиков и обычных пользователей — вызовет социальное давление, которое ускорит внедрение гораздо эффективнее, чем технические аргументы.

В перспективе он предполагает, что если конфиденциальные вычисления и проверяемое выполнение станут стандартной инфраструктурой, то дизайн, продажа и управление ИИ-сервисами кардинально изменятся. Клиенты получат криптографические доказательства обработки своих данных вместо политических гарантий, что позволит предприятиям демонстрировать соответствие регуляторам и советам директоров в конкретных, а не документальных формах. Аналогия, которую приводит Шадид, — это шифрование хранения и сети, которое за короткий срок стало универсальным базовым уровнем безопасности. Направление для конфиденциального выполнения, по его мнению, такое же — и как только оно станет реальностью, каждая обработка, каждая настройка и передача данных будет сопровождаться криптографическим аттестатом, делая целостность цепочки проверяемым фактом, а не вопросом доверия.