Фьючерсы
Доступ к сотням фьючерсов
CFD
Золото
Одна платформа мировых активов
Опционы
Hot
Торги опционами Vanilla в европейском стиле
Единый счет
Увеличьте эффективность вашего капитала
Демо-торговля
Введение в торговлю фьючерсами
Подготовьтесь к торговле фьючерсами
Фьючерсные события
Получайте награды в событиях
Демо-торговля
Используйте виртуальные средства для торговли без риска
CFD
Деривативы CFD на акции
Акции США
Доступ к реальным акциям США и ETF
Акции Гонконга
Торгуйте качественными акциями, котирующимися в Гонконге
Корейские акции
SK Hynix
Торгуйте реальными корейскими акциями и инвестируйте в популярные активы
Фьючерсы на акции
Высокое кредитное плечо, круглосуточная торговля
Токенизированные акции
Обеспечено реальными акциями
IPO Access
Откройте полный доступ к глобальным IPO акций
GUSD
3.8%
Создать GUSD для получения доходности казначейских RWA
Мероприятия, связанные с акциями
Торгуйте популярными акциями и получайте щедрые эирдропы
Запуск
CandyDrop
Собирайте конфеты, чтобы заработать аирдропы
Launchpool
Быстрый стейкинг, заработайте потенциальные новые токены
HODLer Airdrop
Удерживайте GT и получайте огромные аирдропы бесплатно
Pre-IPOs
Откройте полный доступ к глобальным IPO акций
Alpha Points
Торгуйте и получайте аирдропы
Фьючерсные баллы
Зарабатывайте баллы и получайте награды аирдропа
Инвестиции
Simple Earn
Зарабатывайте проценты с помощью неиспользуемых токенов
Автоинвест.
Автоинвестиции на регулярной основе.
Бивалютные инвестиции
Доход от волатильности рынка
Мягкий стейкинг
Получайте вознаграждения с помощью гибкого стейкинга
Криптозаймы
0 Fees
Заложите одну криптовалюту, чтобы занять другую
Центр кредитования
Единый центр кредитования
VIP-центр богатства
Планы премиального роста
Gate Wealth
Возьмите под контроль свое финансовое будущее
Количественный фонд
Лучшие стратегии
Стейкинг
Делайте стейкинг криптовалюты, чтобы заработать на продуктах PoS
Умное плечо
Плечо без риска ликвидации
GUSD
3.8%
Создать GUSD для получения доходности казначейских RWA
Рекламные акции
Промоакции
Участвуйте и получайте награды
Реферал
200 USDT
Приглашайте друзей за бонусы
Партнерская программа
Эксклюзивные комиссионные
Gate Booster
Растите влияние и получайте аирдроп
Анонсы
Обновления в реальном времени
Блог Gate
Статьи о криптоиндустрии
VIP-услуги
Огромные скидки на комиссии
Управление активами
Универсальное решение для управления активами
Институциональный
Крипто-решения для бизнеса
Разработчикам (API)
Подключение к экосистеме приложений Gate
Внебиржевые банковские переводы
Ввод и вывод фиатных денег
Брокерская программа
Щедрые механизмы скидок API
AI
Gate AI
Ваш универсальный AI-ассистент для любых задач
Gate AI Bot
Используйте Gate AI прямо в вашем социальном приложении
GateClaw
Gate Синий Лобстер — готов к использованию
Gate for AI Agent
AI-инфраструктура: Gate MCP, Skills и CLI
Gate Skills Hub
Более 10 тыс навыков
От офиса до трейдинга: единая база навыков для эффективного использования ИИ
IOSG: Почему Уолл-стрит говорит «нет» ChatGPT и «Клодам»?
Зачем нужен частный ИИ
1 июля CEO Palantir Алекс Карп дал на CNBC 20-минутное интервью, которое некоторые СМИ назвали «психическим срывом». По словам Карпа, компании платят наценку в токенах за работу передовых лабораторий, одновременно наблюдая, как их собственный IP утекает в модели. Он называет это переносом alpha, и перенос происходит на архитектурном уровне: каждый запрос к закрытой модели в явном виде приходит на серверы провайдера. Прямо за несколько дней до выхода шоу Palantir объявила о сотрудничестве с NVIDIA: в среде, контролируемой клиентом, запускается открытая модель Nemotron, и прилагается декларация о суверенитете ИИ из девяти пунктов. После выхода CNBC акции PLTR подскочили на 8%.
На протяжении последних двадцати лет компании находили общий язык с использованием облачного ПО через уровень протоколов доверия — это работало. Каждый вендор SaaS видит лишь фрагменты данных предприятия, и у большинства почти нет мотивации отдавать данные клиентов обратно для доработки ключевого продукта. Salesforce видит продажи, Workday — кадровые данные, Jira — разработку и итерации, AWS — базу хранения и вычислений. Однако сегодня рабочие процессы ИИ требуют разом загружать всё имущество, включая структурированный контекст, связывающий разные отделы, чтобы максимизировать производительность. Отвлекаясь от добрых намерений, теперь провайдеры могут использовать эти данные для новых функций, вместо того чтобы оставлять их пылиться на серверах.
Никто не сбавляет обороты: годовая темповая выручка Anthropic в мае достигла 47 млрд долларов — это заметный скачок с 9 млрд долларов на конец 2025 года, а OpenAI в феврале преодолела отметку в 900 млн активных пользователей в неделю. Обе компании этой весной закрыли новый раунд финансирования, оценка приближается к 1 трлн долларов, и, как ожидается, они проведут IPO с более высокой рыночной капитализацией. Многолетние обвинения в приватности и IP не заставили ни одну из компаний потерять хоть немного импульса.
Часть компаний уже действовала. В феврале 2023 года, спустя менее чем три месяца после запуска ChatGPT, ведущие банки Уолл-стрит уже ограничили его использование. В мае 2023 года, после того как инженер Samsung утёк исходный код чипа в ChatGPT, компания заблокировала по всей сети генеративный ИИ. В ответ в августе того же года OpenAI запустила ChatGPT Enterprise: обещание не обучать на коммерческих данных плюс протокол нулевого хранения данных (zero-data-retention, ZDR), который затем стал стандартным требованием при закупках для предприятий.
Но договор блокировал только корпоративные учётные записи. IBM выяснила: к 2025 году теневая AI (когда сотрудники через личные аккаунты скармливают данные компании в ИИ-инструменты без одобрения) оказалась вовлечена в 1/5 всех утечек данных, а при интенсивном использовании теневой AI стоимость утечки в среднем растёт на 670 тыс. долларов. В исследовании 2025 года от компании по обучению безопасности Anagram 4 из 5 сотрудников заявили, что ради более быстрого выполнения задач готовы нарушать политики использования ИИ.
Для компаний хотя бы есть возможность выкупить выход: контракт ZDR, сервис без обучения и, если вы госструктура или клиент Palantir, ещё и суверенное развертывание. А для таких, как мы с вами, обычных пользователей, насколько важна privacy AI, до сих пор спорный вопрос — пока повестка суда не окажется у порога.
Решение суда в мае 2025 года заставило OpenAI хранить даже потребительские чаты, которые пользователь уже удалил; в ноябре судья также распорядился передать 20 млн записей адвокатам «The New York Times» в качестве материалов для раскрытия доказательств. Затем последовали уголовные дела: записи ChatGPT подсудимого по делу об поджоге в Palisades были включены в доказательства, а во флоридском деле о двойном убийстве показания/аффидевит ссылался на вопросы подозреваемого о том, как обращаться с телом. Сам Альтман также признал в интервью в июле 2025 года, что диалоги ChatGPT не защищены юридической привилегией, и в судебном процессе OpenAI «может быть вынуждена передать» журналы пользовательских чатов.
Суть не в том, что только преступникам нужны приватные разговоры. Диалоги людей с ИИ архивируются и могут быть вызваны в суд — это ещё одна поверхность наблюдения, о которой большинство пользователей не знает. В октябре 2025 года опрос Kolmogorov Law среди 1000 пользователей ИИ в США показал: 50% людей не знают, что эти диалоги могут быть вызваны, а 2/3 считают, что таким чатам нужна защита наравне с консультацией юриста или врача.
Самостоятельный хостинг или открытые модели, работающие в проверяемой среде, быстро догоняют, но самые сильные из них по универсальным возможностям всё ещё отстают от передовых закрытых моделей примерно на 4 месяца. Это ставит компании и частных игроков, занимающихся tokenmaxxing, перед развилкой: либо ради приватности отказаться от нескольких месяцев качества модели, либо продолжать передавать чувствительные материалы на серверы Anthropic, ведь именно так конкурентам удаётся отжимать преимущество в производительности.
На рынке пока нет идеального решения. В этом отчёте разобраны попытки сторон сузить разрыв: насколько далеко ещё передовые возможности, обеспеченные доказуемой приватностью, могут дойти до предприятий и обычных пользователей.
Как сейчас обеспечивается приватность
Private AI — не один-единственный инженерный трюк, но в рыночных механизмах обработка всегда описывает одно и то же событие: prompt покидает ваше устройство, проходит по сети, попадает на машину, где работает модель, а затем возвращается ответ. Различия между механизмами в том, где на этом пути существует открытый текст, кто может прочитать его и чем можно доказать приватность ответа.
Приватность на уровне протоколов
На этом уровне, кроме вас, кто-то читает ваш открытый prompt; что будет дальше — целиком зависит от одной клятвы.
· Контрактный нулевой ретеншн — решение для корпоративного сегмента. Провайдер знает, кто вы, обрабатывает ваш prompt и обещает не хранить, а исполнение держится на договоре и репутации.
· Анонимный агент стирает информацию о том, кто вы, но не шифрует, что именно вы сказали: downstream-провайдер всё равно обрабатывает открытый текст по своим правилам. Условия у всех разные. Например, Duck.ai (чат-бот-продукт DuckDuckGo) ведёт переговоры с вендором о протоколе удаления, а Venice просто заставляет пользователя исходить из того, что провайдер сохранит всё; но обе стороны не могут это доказать.
Каждый сегмент пути «машина — машина» работает поверх TLS: он шифрует канал, но принимающая сторона может прочитать всю информацию. Реле обычно использует Oblivious HTTP (RFC 9458), чтобы разорвать «право знать». Принцип похож на передачу записок друзьям: друг знает, кому передаётся записка, но не читает содержание; получатель читает содержание, но не знает, кто написал. OHTTP с января 2024 года является стандартом IETF, и уже многие компании прогоняют производственный трафик через OHTTP-реле, арендованные у Cloudflare и Fastly.
Это и есть верхняя граница приватности, доступная при доступе к закрытым моделям: причина арифметическая. Стоимость одного флагманского обучения сегодня измеряется десятками миллиардов долларов, а оценка лабораторий — в масштабах триллионов долларов — держится на исключительных правах на веса моделей. Разрыв в качестве возможностей будет держаться столько же, сколько поддерживается премия, поэтому лаборатории охраняют файлы весов как государственную тайну.
Meta уже однажды «поставила эксперимент». В феврале 2023 Meta выпустила LLaMA сначала только исследователям, но меньше чем за неделю веса утекли в виде seed на 4chan. Ещё через неделю, llama.cpp позволил самой маленькой модели 7B отвечать локально на одном MacBook, а через три дня в Stanford на том же самом варианте с помощью настройки (fine-tuning) менее чем за 600 долларов сделали чат-помощника Alpaca. На этот раз утечка «вбила» стоимость запуска Llama в счёт за электричество: любой, кто получил файлы, может запускать дома. В июле 2023 Meta официально открыла Llama 2 по коммерческой лицензии с условиями-исключениями: 700 млн MAU и более — с исключающей оговоркой. Веса побежали — за ними побежала и премия.
Теоретически передовые лаборатории могут делать attestation (удалённое доказательство) для инференса закрытых моделей, но attestation доказывает только, какой кусок кода прочитал prompt, и не доказывает, что этот код сделал с ним дальше. Чтобы понять, хранили ли данные на сервере, нужна аудит-служебной логики (serving code) и реконфигурация того хеша, который сообщает железо. Но как только отдаёшь serving code, лаборатория теряет и пакетные батчи и кэш-трюки, которые держат маржу прибыли — а эти трюки переедут в каждую следующую генерацию моделей. Apple и Meta могут делать remote attestation для сервисного стека iPhone и WhatsApp потому, что их прибыль сидит в устройствах и рекламе, а публикация serving code почти не стоит денег.
Вот почему «веса флагманских моделей» и «serving code» не доходят до внешних операционных площадок. А без внешних операционных площадок нет и третьего attestation — тогда доказуемая приватность существует только поверх открытых моделей.
Приватность на уровне структуры
В этой категории каждый механизм заменяет доверие на доказательства, основанные на железе, криптографии или физике, но каждый из них требует разных затрат на «апгрейд приватности», а главное — они могут работать только с открытыми моделями.
· TEE (Trusted Execution Environment) и тайные вычисления: инференс выполняется внутри аппаратного enclave (замкнутой капсулы на чипе, которую не может открыть даже оператор машины); чип подписывает attestation, указывая, какой именно модель и какой код действительно запустились.
· prompt «закрыт» только на конечной точке. На пути через прокси всё ещё есть роль, способная читать открытый текст; запрет на запись прокси-лога или утечки промежуточного контента обеспечивается только протоколом.
· E2EE (end-to-end encryption): закрывает читаемый релей. Устройство пользователя шифрует prompt ключами enclave; на каждой «следующей точке» передаётся запечатанный конверт, который способен вскрыть только enclave.
· Доверие смещено на клиента. Код, который отвечает за шифрование prompt и проверку attestation, также способен отозвать это обещание. Поэтому доказуемый E2EE требует не только доказанного enclave, но и открытого, воспроизводимого кода клиента.
· По сравнению с TEE, E2EE проще по обещаниям, но дороже инженерно — это тормозит интеграцию функций. E2EE превращает прокси в слепого курьера: тогда любые функции, которым нужен доступ к открытому тексту, должны быть перепридуманы вокруг ключей клиента или же заново собраны только внутри enclave.
· FHE (полностью гомоморфное шифрование и варианты MPC) убирает доверенную сторону вообще. Сервер делает вычисления с шифртекстом в запертом контейнере, который он никогда не сможет открыть, а ключ остаётся только у вас; MPC (secure multi-party computation) делит prompt на секретные доли между участниками — и если они не сговорились, эффект тот же.
· Цена — скорость. FHE в «родном» виде умеет только сложение и умножение, а для работы transformer требуются нелинейные шаги — их приходится собирать заново ценой больших затрат. Стоимость инференса по шифртексту в 10 тыс. — 100 тыс. раз выше, чем по открытому тексту; на маленьких моделях на каждый token уходит от нескольких секунд до нескольких минут, тогда как без шифрования — миллисекунды.
· Специализированные чипы для шифро-вычислений способны сузить разрыв, но первый прототип завершит demo только в начале 2026 года, а коммерческие версии придётся ждать ещё несколько лет.
· Локальный инференс прямо вычищает этот путь: модель работает на вашем железе, без реле, без сервера, без провайдера — и без потребности что-либо проверять.
· Очевидная цена — стоимость и качество моделей. gpt-oss-120b в Artificial Analysis набирает примерно половину от GLM-5.2, но весит 65GB, что больше суммы видеопамяти двух флагманских игровых GPU на рынке. А full-precision GLM-5.2 может запускаться только на 8-карточных датацентрах: только GPU стоят более чем 300 тыс. долларов.
Но помимо этих структурных ограничений, стоимость инференса внутри enclave продолжает снижаться. На одиночной карте тесты облачного провайдера enclave Phala показывают: режим enclave даёт среднюю потерю пропускной способности меньше 7% на H100, а на больших моделях — почти ноль, потому что основной расход — перенос данных в чип, а не вычисления внутри него. Для многокарточного инференса NVIDIA новое поколение GPU Blackwell уже поддержало прямое шифрование межчипового трафика; старые H100 для достижения аналогичного эффекта вынуждены обойти CPU, используя лишь 1/7 ширины канала. В бенчмарках NVIDIA для Blackwell её собственные замеры показывают: при режиме enclave для 397B модели потеря пропускной способности ниже 8%. С этими улучшениями сама по себе «стоимость приватного инференса» больше не является решающим ограничением.
Фактически enclave почти не добавляет провайдеру лишних расходов на запуск. После 2023 года каждая H100 уже включает режим enclave; дополнительная стоимость — это потери пропускной способности из-за шифрования, а не из-за добавления новых чипов. Текущая аренда на Azure для конфиденциального H100 SKU стоит 8,90 доллара в час, при отключённом enclave — 6,98 доллара, то есть на 27% дороже, чем в традиционном облаке. С другой стороны, у специализированного оператора вроде Phala конфиденциальный режим H100 сдаётся уже от 3,80 доллара в час — ниже диапазона 3,99–4,29 доллара для обычных SXM-карт у Lambda. В варианте managed API: NEAR AI с attestation-эндпойнтами продаёт gpt-oss-120b по 0,15 доллара за ввод на каждый миллион token и 0,55 доллара за вывод — на уровне Amazon Bedrock, Together и Groq по открытым маршрутам. Даже для моделей, где нужна параллельная работа на нескольких чипах, NEAR AI в GLM 5.2 имеет ровно такую же цену, как Fireworks, а на Kimi K2.6 вход дешевле на 15%, а вывод — на 4%.
Хотя новые провайдеры приватного инференса могут сжигать маржу ради доли (это справедливо для любой компании, пытающейся расти на рынке), общий тренд структурный: стоимость приватности снижается и для потребителей, и для операторов.
Как выигрывают открытые модели?
Даже при сжатии накладных расходов, между передовыми моделями и SOTA открытого класса остаётся видимый зазор: тот, кто оптимизирует под максимальную продуктивность, если хочет оставаться на самом фронте, вынужден верить, что передовые лаборатории не воруют его IP.
Зазор сохраняется, но пример 30 июня показали AIA Labs (из Bridgewater) и Thinking Machines: открытая модель, дообученная с помощью разметки экспертами, одновременно обходит передовую модель и по точности, и по стоимости.
В исследовании команда донастраивала Qwen3-235B в Tinker (managed fine-tuning API сервис Thinking Machines). Они сначала купили разметку у вендора, обучили первую итерацию на этой партии данных, а затем передали спорные примеры инвестиционным сотрудникам компании для повторной разметки. Обучение шло через reinforcement learning (GRPO) с тремя доработками: round-robin batching (батчи по очереди между задачами), CISPO loss (ограничение, как далеко одна конкретная точная последовательность может «увести» модель) и on-policy distillation (якорение на текущем лучшем checkpoint, чтобы модель не училась на более слабых копиях).
Все задачи брались из повседневных рабочих процессов инвестпрофи: насколько важна статья для профессионалов уровня C-suite, как документ центрального банка сигнализирует о направлении будущих изменений ставок, с какого места начинается шаблонная болтовня в документе или письме. Оценки выставлялись по независимому тестовому набору: передовые модели в среднем набирали около 50% на простых prompt, а с expert prompt — максимум 78,2%, что ниже 80% порога, установленного инвестпрофи. А дообученный Qwen показал 84,7%: по формулировке из исходного текста это означает на 29,8% меньше ошибок, чем у передовой лучшей модели, при стоимости инференса ниже в 13,8 раза.
Этот кейс доказывает: открытые модели могут выиграть и по точности, и по стоимости, но сам процесс обучения всё ещё не приватный. Экспертная разметка, использованная в ходе обучения, — это приватные данные Bridgewater; она проходила через третьесторонний сервис Tinker и попадала в тот же слой доверия, что и протокол ZDR. Фонд также арендовал вычисления: вся тренировка шла на машинах, которыми фонд ни разу не управлял. Если покупателю нужна эта рецептура, но он не хочет принимать предположения о доверии, сегодня выбор невелик. Арендовать голый GPU-кластер: тогда процесс обучения становится читаем провайдером облака. Покупка кластера решает вопрос размещения данных, но стоимость резко взлетает.
Маршрут с attestation только-только появился. В марте Workshop Labs и Tinfoil выпустили Silo — стек post-training, работающий внутри enclave Tinfoil на одном 8-карточном узле, а ключи находятся под контролем клиента. Стоимость enclave в статье оценивалась так: два часа обучения добавляют 11 минут сверху, и при этом стек можно вместить в один триллион-параметрическую модель (Kimi K2 Thinking), потому что он замораживает базовые веса и обучает только небольшие adapter’ы. Сложность в том, что reinforcement learning вынуждает компоненты постоянно перемещать данные туда-сюда, а перемещение как раз и стоит денег внутри enclave.
Менее чем за месяц после выхода Silo Workshop Labs была приобретена Thinking Machines: теперь внутри enclave у них есть все компоненты, нужные для Bridgewater-подобного цикла RL, и всё это оказалось в рамках одной компании.
Приватность на уровне harness
Есть ещё проблема, которая существует поверх всех механизмов приватного инференса. Эти механизмы по отдельности защищают путь «prompt → модель». Но каждый раз, когда агент вызывает внешние инструменты, появляется отдельный путь, с которым слой вычисления в enclave вообще не соприкасается. Недавняя волна harness engineering многократно усилила вопрос: каждый инструмент, память и источник данных, навешиваемый вокруг модели, становится ещё одной точкой, где читается свой кусок рабочего процесса в открытом виде. Календарный сервер читает расписание, сервер базы данных читает запрос. Полностью локальному агенту, даже если он хочет что-то за пределами training set, всё равно нужно передать поисковый запрос в виде открытого текста поисковику; если сервер не читает открытый текст — он не сможет ответить.
Основное решение всё ещё предполагает протокольный уровень. Такие компании, как Runlayer и MintMCP, используют центральный шлюз, который контролирует весь поток инструментов: перед тем как запрос уходит, шлюз скрывает персональную идентификацию (PII). Шлюз также решает, какие серверы получат трафик, а какие будут заблокированы без проверки, и фиксирует место назначения и содержимое каждого вызова для последующей экспертизы/доказательств. Даже если эти контролы связаны с независимым аудитом (SOC 2), сервер инструментов всё равно должен читать открытый запрос, чтобы отвечать; будет ли он хранить копию — зависит от собственных условий ретенции, и это нужно умножить на каждый инструмент в harness. Кроме того, сам шлюз — это ещё один «читающий» слой доверия, добавленный в путь, а не верификатор.
Структурные решения бьют по средней прослойке. Например, Phala размещает MCP server прямо внутри TEE: покрываются кошелёк (wallet), выполнение кода и источники данных; пользователь может подтвердить приватность по одной attestation, а не доверять оператору. Однако инструменты, размещённые в TEE, в итоге всё равно передают запросы провайдеру в открытом виде: enclave запечатывает только «курьера», но не «назначение».
Только немногие «назначения» научились отвечать, не читая — и то ограниченно для структурированных запросов. Apple для iPhone даёт частный механизм поиска персональных данных: когда входящий номер сравнивается с базой спама, номер не нужно раскрывать; Microsoft применяет тот же подход к паролям в Edge. MongoDB с Queryable Encryption позволяет клиенту шифровать поле ещё до того, как оно покинет устройство; сервер по одному шифртексту может выполнять операции равенства и диапазона.
Но для открытого веб-поиска сегодняшние лучшие ответы упираются в доверие: доказуемый зашифрованный поиск всё ещё не вышел из лабораторий. Brave обещает zero-data-retention на своём индексе 40 млрд страниц (а не Google), но всё равно это происходит на протокольном уровне. Exa построила набор нейро-индексов: ключевые слова пользователя превращаются в эмбеддинги, результаты сортируются по семантическому совпадению, но шаг с эмбеддингами всё равно делается в серверах Exa на основе открытого текста. Папер Tiptoe MIT 2023 позволил ранжировать на 360 млн страницах без раскрытия запросов, но каждый поиск сжигает много серверной вычислительной мощности; качество ранжирования отличается от незашифрованного поиска. Папер Wally Apple 2024 прячет реальные запросы в кучу приманок, снижая стоимость коммуникации максимум в 31 раз, но математике нужно выйти на масштабы миллионов конкурентных запросов, а такого размера сегодня нет ни у одной частной поисковой системы.
Зашифрованный поиск сделать можно, но и по производительности, и по цене он всё ещё не достиг коммерческой применимости.
Перспективы
Спрос на частный ИИ растёт. Venice AI недавно превысила 3,5 млн зарегистрированных пользователей и пропускную способность 1,3 трлн token в месяц, затем завершила новый раунд equity финансирования Series A на 1 млрд долларов. Proton — её прямой конкурент: чат-продукт Lumo запущен год назад и уже набрал более 10 млн пользователей. По инфраструктуре: Phala сегодня ежедневно прогоняет на OpenRouter порядка 2–3 млрд token. Duck.ai роутит gpt-oss-120b и Gemma в enclave Tinfoil, давая пользователям доказуемую приватность сверх роли обычного агента; это ещё не включает самостоятельный хостинг, и он, вероятно, будет крупнейшим каналом приватного инференса, потому что модель работает на собственном железе и не оставляет следов использования.
Однако в контексте главного «цунами» в массовом AI, приватный ИИ — лишь крошечная часть, и разрыв сходится только тогда, когда передовые лаборатории сознательно закрывают именно эту потребность. В мае Google обработал 3200 трлн token во всей линейке продуктов; по этой логике пропускная способность Venice за месяц равна примерно 18 минутам Google. В ноябре прошлого года Google запустил Private AI Compute (PAC): часть функций, завязанных на Gemini, перевели внутрь изолированного запечатанного TPU enclave рядом с компанией, и также спроектировали независимый аудит NCC Group. Проблема в том, что PAC покрывает только небольшое число функций Pixel вроде персонализированных рекомендаций и суммаризации аудиозаписей, но не покрывает Gemini-приложения, которыми пользуются сотни миллионов. Google может отдать дизайн на аудит, потому что эти функции монетизируются устройствами и рекламой, а не продажей token.
Нынешние managed-сценарии тоже не идеальны. Пользователям, которые хотят получить максимум приватности через E2EE, нужно ждать, пока провайдер не перезапишет новые функции так, чтобы они оставались недоступны для чтения службой. Private harness на уровне сервиса всё ещё зависит от протокола. Дешёвый и адекватный по цене post-training — это ещё не гарантия лучшего fine-tune: чтобы получить максимум, всё равно нужно доверять третьему поставщику. Self-hosting разом выкидывает всех провайдеров, но если локально запускать самый мощный открытый модел, расходы могут оказаться выше, чем стоит дом, где стоит этот железный дом.
Минусы минусами, но приватный ИИ уже является реальным и доступным вариантом, а оставшиеся пробелы сокращаются. Для обычных потребителей на Venice и Lumo приватные чаты на открытых моделях без логов и обещаний приватности стоят вообще ничего: 0 долларов; подписка Venice или Tinfoil за 18–20 долларов упаковывает те же чаты в enclave и всё равно не дороже подписки на ChatGPT. Для корпоративных рабочих процессов endpoints с attestation сейчас даже дешевле, чем открытые маршруты. Эндпойнты вроде E2EE API от NEAR AI уже могут завозить зашифрованный контекст в enclave: память, загрузка файлов, кастомные инструкции — всё это сегодня работает поверх E2EE. А для post-training с attestation: Vera Rubin NVL72 от NVIDIA должна расширить конфиденциальные вычисления с 8-карточного узла Blackwell до 72-карточной стойки, делая передовые RL-циклы ещё более осуществимыми без раскрытия IP.
Но ключевое удержание ценности лежит за пределами уровней, где цена уже сжимается. Приватность там, где она уже есть, почти бесплатна, но она ещё не покрывает массовые agentic workflows. Операторы, которые зарабатывают на аренде enclave, держат лишь «выключатель» на стандартных чипах, а не крепкую стену — а протокольный gateway конкурирует с традиционным middleware в одной арене. Обороняемая позиция — это та половина пробела из этого отчёта, которая ещё не закрыта: training loop, запертый внутри enclave, tool calls, запечатываемые end-to-end, и поисковые индексы без видимых терминов. Кто первым сделает хоть один из этих элементов, будет продавать то, что нельзя превратить в товар даже ценовыми войнами. Капитал, который гонится за приватным AI, должен покупать пробел, а не выключатель.
Так доверие или верификация? Для задач с повторным выполнением и повторным агентингом выбирайте доверие: каждый tool call по определению передаёт открытый текст в назначение, которое enclave не может запечатать; а передовые модели в таких циклах оправдывают свою цену. А для высокоуровневого мышления, которое отличает одну компанию от конкурента, выбирайте верификацию: стратегия, планирование и выводы, вырезанные из многолетнего профессионального опыта — это как раз та спорная alpha. Путь дальше — внутри границ, контролируемых компанией: этими эксклюзивными инсайтами вы fine-tune’ите открытые модели. В области, где находится alpha компании, уже открытые модели с настройкой экспертов одновременно обыгрывают передовые по точности и стоимости; а инфраструктура, которую строят для этого в условиях приватности, появляется узел за узлом.
Нажмите, чтобы узнать о вакансиях律动 BlockBeats
Добро пожаловать в официальный сообщество律动 BlockBeats:
Telegram-канал подписок:https://t.me/theblockbeats
Telegram-чат:https://t.me/BlockBeats_App
Twitter официальный аккаунт:https://twitter.com/BlockBeatsAsia