AI × クリプトシステムズの開示:本記事はAIアシスタンスを活用して編集補助として準備されました。アイデア、事実、コード、ソース、結論は人間によって確認されました。
AI × クリプトシステムズの開示:本記事は技術解説であり、投資アドバイスではありません。AI × クリプトシステムズは、いかなるクリプト資産の購入、売却、保有も推奨しません。
FHE プロンプトプライバシー
プライベート推論デモはFHEについて正直であっても、ユーザーのワークフローを漏洩することがあります。プロンプト本文はクライアントから離れる前に暗号化される可能性があり、サーバーはそれでもユーザーが呼び出したことを学ぶことがあります/risk-score 朝ごとに4キロバイトの暗号文と医療モデル識別子で動作します。FHEプロンプトプライバシーは選択された平文を選択された計算の内部に隠します;FHEプロンプトプライバシーはリクエストの形状、ルーティング、タイミング、ログ、モデル選択、または後で出力として公開されるテキストを自動的に隠しません。
開発者の間違いは、「提供者はプロンプトを読むことができない」ということを「セッションがプライベートである」として扱うことです。その文は、プライバシーが周囲のシステムに存在する部分をスキップします。FHEプロンプトプライバシーの有用なレビューは、暗号化されたフィールドから始まり、外側へと進み、すべての観察者、ログ、および開示ステップに名前が付けられるまで行います.
暗号化されたフィールド
FHEプロンプトプライバシーは、一つの狭い勝利から始まります:計算は暗号化されたデータ上で実行できます。FHE.orgの開発者トラックは、全同型暗号化を暗号化されたデータ上で最初に復号化する前に計算を実行する方法として説明しています。それは実際の機能であり、マーケティングの粉塵ではありません。記事の境界はブランドワードよりも狭いものです:FHEプロンプトプライバシーは、指定されたキー、パラメータ、回路の下で実際に入力される暗号化計算のフィールドを保護します。
そのフィールドレベルの境界が重要なのは、AIプロンプトがプロダクションシステム内で単一のオブジェクトではないからです。リクエストはシステムインストラクション、取得したドキュメント、ユーザーテキスト、ツールメタデータ、テナント情報、モデルセレクタ、セーフティフラグ、および請求ラベルを含むことができます。もしuser_textが暗号化されている場合、主張は「ユーザーテキストはこの計算の中で保護されている」と「AIリクエストはプライベートである」とは異なり、「
」と書かれた暗号化フィールドリストがあるときにFHEプロンプトプライバシーは信頼できる。
システム境界FHEプロンプトプライバシーは言葉の中に存在するのではなく、システムの中に存在する。__JHSNS_SEG_35139b79_14__ZamaのfhEVM概要 はブロックチェーンアプリケーション用に FHE をフレームワークとして、暗号化された計算と実行アーキテクチャを統合しており、Zama のリレーアンドオラクルドキュメント はユーザーフェース用のリレー、ゲートウェイインタラクション、復号サポート、およびオラクル行動を分離しています。これらのドキュメントは AI プロンプト製品マニュアルではありませんが、より広い点の有用な証拠です:暗号化はプライバシー経路の一部にすぎません。
実践的なレビュー問題は「システムがFHEを使用しているか?」ではなく、「どのコンポーネントがどの事実を見ることができるか?」です。リレーアプライアーはクライアントの相互作用パターンを見ることができ、ゲートウェイはリクエストのフローを見ることができます、モデルサービスはエンドポイントの選択を見ることができます、ログレイヤーはテナントと課金コンテキストを保持することができ、そしてリバルュー経路は選択された出力を平文に変換することができます。FHEプロンプトプライバシーはXを保護し、Yを保護しません:暗号化された計算内の平文コンテンツを保護できますが、その計算を取り巻くすべての運用事実を保護することはできません。
プライバシー境界テーブル
| 表面 | FHEプロンプトによる隠蔽プライバシー? | 検査すべき内容 |
|---|---|---|
| 回路内の生のプロンプトフィールド | はい、指定されたキーと脅威モデルの下 | クライアント側暗号化ポイント、キーの所有権、回路入力 |
| システムプロンプトと取得されたコンテキスト | それらのフィールドも暗号化されている場合のみ | フィールドマップとシリアライズ形式 |
| リクエストのタイミングと頻度 | いいえ | バッチ処理、遅延、レートリミットログ |
| エンドポイント、モデル、またはサーキットの選択 | 通常いいえ | ルート名、モデル識別子、公開パラメータ |
| 入力長または暗号文サイズ | 一部が部分的に表示される | パディング、バケット化、圧縮動作 |
| アカウント、テナント、請求ラベル | いいえ | アクセスログ、請求書、分析イベント |
| 復号または解放後の出力 | いいえ、解放後は | ポリシーと赤字規則の公開 |
| プロンプトインジェクション動作 | いいえ | 指示階層、検索ポリシー、ツールの権限 |
メタデータハンチャー
FHE プロンプトプライバシーは、暗号化された推論を祝う前に退屈なメタデータでテストされるべきですFHE.orgも暗号化された計算周辺のメタデータ漏洩について警告しています、そしてBerkeley技術報告書におけるFHEベースのプライベート推論 は明示的に IP アドレス、リクエスト頻度、入力長を一つのデザインのプライバシー目標の外として扱います。それは多くのデモが軽く過ごす部分です。プロンプトが読み取りにくいながらも、ワークフローは分類可能です。
ここに、FHEプロンプトプライバシーデザインをプライベートにする前に実行するツールのハーネスがあります。このハーネスは何も復号しません。このハーネスは、リクエストの形状を観察する受動的な観察者が、サイズバケット、エンドポイント、タイミング、モデルラベルからタスクをクラスタリングできるかどうかを尋ねます.
from collections import Counter
requests = [
{"task": "medical_triage", "prompt_bytes": 312, "ciphertext_bytes": 4096, "endpoint": "/classify", "hour": 9},
{"task": "legal_summary", "prompt_bytes": 11840, "ciphertext_bytes": 12288, "endpoint": "/summarize", "hour": 18},
{"task": "wallet_warning", "prompt_bytes": 720, "ciphertext_bytes": 4096, "endpoint": "/risk-score", "hour": 9},
{"task": "batch_scoring", "prompt_bytes": 64000, "ciphertext_bytes": 65536, "endpoint": "/batch", "hour": 2},
]
def bucket(row):
size = row["ciphertext_bytes"]
if size <= 4096:
size_bucket = "small"
elif size <= 16384:
size_bucket = "medium"
else:
size_bucket = "large"
return (size_bucket, row["endpoint"], row["hour"])
fingerprints = Counter(bucket(row) for row in requests)
for row in requests:
print(row["task"], bucket(row), "cluster_count=", fingerprints[bucket(row)])
出力は暗号学的攻撃ではありません;出力は製品レビューのにおいです。もし/risk-score は、ウォレットの警告のみに使用され、観察者はプロンプトを推論する必要はありません。法的な要約が業務時間外に常に中程度の暗号文として到着する場合、長さと時間はラベルになります。FHE プロンプトプライバシーはコンテンツを隠すだけで、システムがワークフローフィンガープリントを公開したという事実を隠しません.
パディング予算
FHE プロンプトプライバシーは、暗号化ライブラリだけでなく、パディングとバッチングの予算が必要な場合が多いです。すべてのリクエストを共通のサイズにパディングすることで、長さの漏洩を減らすことができますが、パディングはコストと遅延を増加させます。リクエストをバッチングすることで頻度がぼやけますが、バッチングは応答性を変えます。エンドポイントをリネームすることで明確なタスクラベルを減らすことができますが、ルーティングはまだどこか存在します。チームがメタデータがプライバシーバudgetの一部であると認めた時、FHE プロンプトプライバシーは工学上のトレードオフとなります。
重要な修正は、偽の絶対性を避けることです。デザインはすべてのメタデータを隠さなければ役に立ちません。医療救急分類ツール、ウォレットリスク分類器、プライベート検索システムは異なるプライバシー予算を持つことができます。記事の主張は、どのメタデータが表示的で、なぜその残りの露出が使用例に対して受け入れられるのかを述べるべきです.
表示ポリシー
FHE プライバシーもまた、結果が誰かがそれに基づいて行動できる場合にのみ有用になるため、開示ポリシーが必要です。Zamaのリレーやオラクルのドキュメントは、暗号化されたワークフローがユーザーに復号された値を取得するのを助けるサービスや、値を再暗号化するサービスを含むことができるという良い思い出です。AI推論では、モデルスコア、ラベル、要約、または答えがユーザーや契約に返される場合、同じ基本的な問題が現れます。プライベートな計算は本物かもしれませんが、公開ステップは依然として機密な結論を漏洩する可能性があります。
簡単な例は分類です。もし隠れたプロンプトが秘密の状況について尋ね、解放された出力がhigh_risk_condition=true、出力が機密な事実を漏洩したにも関わらず、計算中にプロンプト本文は暗号化されたままだった。FHEプロンプトプライバシーは、プライバシーを主張する前に出力クラス、編集、集計、監査ログを定義する必要がある。公開ポリシーは書類ではない;公開ポリシーは、多くのプライベート推論の約束が再び明らかになる場所だ。
モデルアイデンティティ
FHE プライバシーはモデルまたは回路の識別子を名前付けるべきです。"プライベート推論"は単一の計算ではありません。Zama 具体的な機械学習は、FHEを用いたプライバシー保護型機械学習のツールチェーンを記述しており、他のFHEシステムは異なるスキーム、コンパイラ、パラメータ選択、またはサポートされる操作を使用することがあります。FHE Prompt Privacyをレビューする開発者は、保護された計算の一部であるモデルアーティファクト、前処理パス、量子化ステップ、回路、および公開パラメータが何であるかを尋ねるべきです。
そのアイデンティティの質問は煩頓ではない。システムが小さな分類器に対して暗号化された推論を行うことを証明または実行する場合、任意の大規模な言語モデルワークフローで検索、ツール、長いコンテキストを使用する場合に同じ境界を意味するべきではない。FHE プロンプトプライバシーは、保護された計算が退屈な詳細で命名される時に明確になる。保護された主張は「この暗号化された分類器がこの回路の下でこれらのフィールドを評価した」と聞こえるべきで、「私たちのAIはプライベートだ」とは聞こえない。
プロンプト注入
FHE プロンプトプライバシーはプロンプトインジェクションを修正しない。暗号化は計算が実行されている間にオペレーターが選択された平文を読むのを防ぐことができるが、暗号化はモデルがどの指示が信頼されているかを教えることはない。暗号化された検索バンドル内の敵対的な文書は、モデルとツールポリシーがその行動を許可する場合、以前の指示を無視するようにモデルに伝えることができる。FHE プロンプトプライバシーは選択されたコンテンツの機密性を保護するが、指示の整合性を保護しない。
その境界は特にAIと暗号システムにとって重要です。ウォレットサポートアシスタント、取引説明ツール、または契約レビューツールはプライベート入力を使用することができても、厳格なツール権限、取引シミュレーション、アンラストリスト、拒否ルールが必要です。モデルが危険なツールを呼び出されるのを騙されることができる場合、プロンプトを暗号化してもその行為は安全ではありません。FHEプロンプトプライバシーはプロンプトインジェクション防御と並んで、それに取って代わるものではありません。
ログ契約
FHE プロンプトプライバシーはログ契約を含むべきです。ログはプライバシーの主張が静かに消えていく場所です。システムはプロンプトコンテンツを暗号化していても、エンドポイント名、アカウントラベル、モデルID、暗号文長、タイムスタンプ、エラーメッセージ、リトライ回数、出力スニペットを保存することができます。分析がユーザーのワークフローを再構築できる場合、プライバシーの主張は暗号化が示唆するよりも弱いです。
良いログ契約は短く明確である。どのフィールドが決してログに記録されないか、どのフィールドがバケット化されるか、どのフィールドが急速に有効期限切れになるか、どのフィールドが請求に必要か、そしてどのフィールドがオペレーターに表示されるかを記述する。契約はまた、デバッグが一時的にログを増加させることができるかどうかを記すべきである。FHE Promptプライバシーは、ログが脅威モデルの一部であるまで本番環境準備完了ではない。
{
"encrypted_fields": ["user_prompt", "retrieved_private_notes"],
"visible_fields": ["endpoint_family", "tenant_plan", "ciphertext_size_bucket"],
"never_log": ["raw_prompt", "raw_output", "exact_ciphertext_length"],
"retention": {
"routing_metadata": "7 days",
"billing_events": "30 days",
"debug_payloads": "disabled by default"
},
"reveal_policy": "return only the minimum answer class needed by the caller"
}
レビューカード
FHE プロンプトプライバシーは、境界が検査可能な場合にのみ公開可能です。開発者は暗号化されたフィールド、モデルや回路の識別子、メタデータ予算、公開ポリシー、プロンプトインジェクション制御、ログ契約を指摘できる必要があります。これらのアーティファクトがないと、「FHE プロンプトプライバシー」は未レビューのシステムを包む魅力的なフレーズです。
デモを信頼する前にこのレビューカードを使用してください:
| 質問 | 良い答え | 悪い答え |
|---|---|---|
| 何を正確に暗号化していますか? | 名前付きフィールドとシリアライズ形式 | 「プロンプト」 |
| 何が見えるまま残りますか? | タイミング、ルート、サイズ、モデル、ログ、請求明細が明示的にリストされています | 「重要なことは何もない」 |
| 長さはどのように処理されますか? | パディングやサイズバケットでコストトレードオフ | 回答なし |
| 誰が復号要求や出力解放を要求できますか? | ロールとポリシー名 | 「システムが処理します」 |
| プロンプトインジェクションはどのように処理されますか? | 別の指示とツールポリシー | 「FHEはプロンプトを保護します」 |
| 何が記録されますか? | 保持と編集ルール | デフォルトのアプリケーションログ |
FHE プロンプトプライバシーは、主張が狭い場合に強力なツールです。生のプロンプトコンテンツを計算オペレーターに公開する必要を減らすことができ、それが価値があります。保持すべき線は鋭いです:FHE プロンプトプライバシーは、選択された計算中に選択されたコンテンツを隠すことができますが、それを取り巻く全体のAIワークフローを隠すことはできません。