AI x 加密系統揭露:本文係由 AI 辅助準備,作為編輯輔助工具。觀點、事實、程式碼、來源及結論經由人類審核。
AI x 加密系統揭露:本文係技術解釋,非投資建議。AI x 加密系統並不建議購買、銷售或持有任何加密資產。
FHE 提示隱私
一個私有的推理示範可以誠實地說明 FHE,但仍然會洩露用戶的工作流程。提示體可能在離開客戶端之前就被加密了,但伺服器仍然可能學習到用戶撥打了/risk-score 每天早上帶著四個位元的密文和一個醫療模型識別碼。FHE Prompt 隱私在選定的計算中隱藏選定的明文;FHE Prompt 隱私不會自動隱藏請求形態、路由、時間、日誌、模型選擇或後來發布為輸出的文本。
開發者的錯誤在於將「提供者無法讀取提示」視為「會話是私有的」。那個句子跳過了隱私存在於周遭系統的部分。有助於FHE提示隱私的回顧從加密字段開始,然後向外推進,直到每個觀察者、日誌和揭露步驟都有名稱。
加密字段
FHE提示隱私從一個狹窄的優勢開始:計算可以在加密數據上運行。FHE.org 的開發者追蹤 描述全同態加密是一種在加密數據上執行計算而不需要先解密的方法。這是一項真正的功能,不是營銷的粉飾。雖然文章的範圍比這個術語要狹窄:FHE 即時隱私保護在聲明的密鑰、參數和電路下,保護實際進入加密計算的字段。
那個場景層級的邊界很重要,因為在生產系統中,AI提示並非單一物件。一個請求可以包含系統指令、檢索到的文件、用戶文本、工具元數據、租戶信息、模型選擇器、安全標誌和計費標籤。如果僅僅是user_text已加密,則聲稱是「用戶文本在這次計算中受保護」,而不是「AI請求是私密的」。當加密的字段清單被寫下時,FHE提示隱私是可信的.
系統邊界
FHE提示隱私存在于系統中,而非單詞內。Zama的fhEVM概述 框架為區塊鏈應用程式提供 FHE 加密計算,與執行架構整合,而 Zama 的中繼器和预言机文件 分別提供用戶端面中繼、閘道交互、解密支援及预言机行為。這些文件不是 AI 提示產品手冊,但它們是支持更廣泛觀點的有用證據:加密只是隱私路徑中的一個組成部分。
實際審查問題不是「系統是否使用 FHE?」實際審查問題是「哪個組件可以看到哪個事實?」中繼器可能可以看到客戶互動模式,網關可能可以看到請求流程,模型服務可能可以看到終點選擇,記錄層可能保留租戶和計費上下文,而揭露路徑可能將選定的輸出轉換為明文。FHE 提示隱私保護 X,不是 Y:它可以保護加密計算內的明文內容,而不是該計算周圍的所有操作事實。
隱私邊界表
| 表面 | 隱藏於FHE提示的隱私? | 檢查什麼 |
|---|---|---|
| 電路內的原始提示欄位 | 是的,在聲明的金鑰和威脅模型下 | 客戶端加密點、金鑰擁有權、電路輸入 |
| 系統提示和檢索的上下文 | 只有當這些欄位也加密時 | 欄位映射和序列化格式 |
| 請求時間和頻率 | 否 | 批量處理、延遲、速率限制日誌 |
| 端點、模型或電路選擇 | 通常不會 | 路徑名稱、模型識別符、公共參數 |
| 輸入長度或密文大小 | 常部分可見 | 填充、分桶、壓縮行為 |
| 賬戶、租戶和開銷標籤 | 否 | 訪問日誌、發票、分析事件 |
| 解密或釋放後的輸出 | 否,一旦釋放 | 揭露政策及紅線規則 |
| 提示注入行為 | 否 | 指令層級、檢索政策、工具權限 |
元數據組件
FHE 提示隱私應該在使用無聊元數據前進行測試,才有人慶祝加密推理。FHE.org 也警告關於加密計算中的元數據洩露,以及一份關於基於 FHE 的隱私推理的 Berkeley 技術報告 明確將IP位址、請求頻率及輸入長度視為超出設計的隱私目標。這就是許多示範常忽略的部分。提示可能難以閱讀,而工作流程仍然可分類。
這是我會在呼叫 FHE Prompt 隱私設計為私之前運行的玩具組件。這個組件不會解密任何東西。這個組件會詢問一個被動觀察者能否從請求形狀的任務大小桶、終端、時間和模型標籤中進行任務分群。
from collections import Counter
requests = [
{"task": "medical_triage", "prompt_bytes": 312, "ciphertext_bytes": 4096, "endpoint": "/classify", "hour": 9},
{"task": "legal_summary", "prompt_bytes": 11840, "ciphertext_bytes": 12288, "endpoint": "/summarize", "hour": 18},
{"task": "wallet_warning", "prompt_bytes": 720, "ciphertext_bytes": 4096, "endpoint": "/risk-score", "hour": 9},
{"task": "batch_scoring", "prompt_bytes": 64000, "ciphertext_bytes": 65536, "endpoint": "/batch", "hour": 2},
]
def bucket(row):
size = row["ciphertext_bytes"]
if size <= 4096:
size_bucket = "small"
elif size <= 16384:
size_bucket = "medium"
else:
size_bucket = "large"
return (size_bucket, row["endpoint"], row["hour"])
fingerprints = Counter(bucket(row) for row in requests)
for row in requests:
print(row["task"], bucket(row), "cluster_count=", fingerprints[bucket(row)])
輸出不是一種加密攻擊;輸出是一種產品評論的氣味。如果/risk-score 僅用於錢包警告,觀察者不需要提示來推斷任務。如果法律摘要總是在營業時間後以中級密文形式到達,長度和時間就變成一個標籤。FHE Prompt 隱私隱藏內容,而不是系統暴露了工作流程指紋的事實。
填充預算
FHE 語言提示隱私通常需要一個填充和分批處理的預算,而不仅仅是加密函式庫。將每個請求填充到一個通用大小可以減少長度洩露,但填充會增加成本和延遲。分批處理請求可以模糊頻率,但分批會改變響應性。重新命名終點可以減少明顯的任務標籤,但路由仍然存在某處。一旦團隊承認元數據是隱私預算的一部分,FHE 語言提示隱私就變成了一項工程上的折衷。
重要的更正是要避免虛假的絕對性。一個設計不必隱藏所有元數據才能有用。一個醫療分級工具、一個錢包風險分類器和一個私人搜索系統可以有不同的隱私預算。文章的主張應該說明哪些元數據仍然可見,以及為什麼這種殘餘曝露對於使用案例是可接受的。
揭示政策
FHE 語言提示隱私也需要一個揭露政策,因為結果最終只有在有人可以根據它採取行動時才會變得有用。Zama的傳遞者/神谕文件是一個很好的提醒,即加密工作流程可以包含幫助用戶检索解密值或重新加密值的服務。在AI推理中,當模型分數、標籤、摘要或答案返回給用戶或合約時,同樣的基本問題也會出現。隱私計算可能是真實的,但發布步驟仍然會泄露敏感的結論。
簡單的例子是分類。如果隱藏的提示詢問關鍵條件,而釋放的輸出說high_risk_condition=true,儘管提示體在計算期間保持加密,輸出已洩露敏感事實。FHE 提示隱私必須在宣稱隱私之前定義輸出類別、刪節、聚類和審計日誌。揭露政策不是文件工作;揭露政策是多個私有的推論承諾再次變得可見的地方。
模型身分
FHE 設定向量隱私應命名模型或電路身分,因為「隱私推論」並非單一計算。Zama 實體機器學習 記錄了一套用於保護隱私的機器學習工具鏈,使用 FHE,而其他 FHE 系統可能使用不同的方案、編譯器、參數選擇或支援的操作。一個開發者審查 FHE Prompt 隱私時應詢問哪些模型工件、預處理路徑、量化步驟、電路以及公共參數是保護計算的一部分。
這個身分問題不是煩惱。如果一個系統在小型分類器上證明或執行加密推論,就不應該對包含檢索、工具和長上下文的任意大型語言模型工作流程產生相同的邊界。當保護計算被以枯燥的細節命名時,FHE 提示隱私就會變得清晰。保護聲明應該聽起來像「這個加密分類器在這個電路下評估了這些字段」,而不是「我們的 AI 是私密的」。
提示注入
FHE 語句隱私不會修正語句注入。加密可以在計算運行時防止操作員閱讀選定的明文,但加密不會教導模型哪些指令是受信任的。加密檢索包中的敵意文件仍然可以指示模型忽略先前的指令,如果模型和工具政策允許這種行為。FHE 語句隱私保護選定內容的機密性,而不是指令完整性。
這個界線對於 AI x 加密貨幣系統尤其重要。一個錢包支援助手、交易解釋器,或合約審查工具可能使用私人輸入,但仍然需要嚴格的工具權限、交易模擬、白名單,以及拒絕規則。如果模型可以被騙進去呼叫危險的工具,那麼加密提示並沒有讓行為變得安全。FHE 提示隱私應該與提示注入防禦並存,而不是取代它們。
記錄合約
FHE 提示隱私應包含記錄合約。記錄是隱私聲明靜靜消亡的地方。一個系統可以加密提示內容,仍然可以存儲終端名稱、賬戶標籤、模型ID、密文長度、時間戳、錯誤信息、重試次數和輸出片段。如果分析可以重建用戶的工作流程,隱私聲明比加密學表明的更弱。
一個好的記錄合約應該簡潔明確。它說明哪些欄位永不記錄、哪些欄位被分類儲存、哪些欄位快速過期、哪些欄位用於計費,以及哪些欄位對操作員可見。合約還應該說明是否可以透過調試暫時增加記錄。FHE Prompt 隱私權直到記錄成為威脅模型的一部分才準備好使用.
{
"encrypted_fields": ["user_prompt", "retrieved_private_notes"],
"visible_fields": ["endpoint_family", "tenant_plan", "ciphertext_size_bucket"],
"never_log": ["raw_prompt", "raw_output", "exact_ciphertext_length"],
"retention": {
"routing_metadata": "7 days",
"billing_events": "30 days",
"debug_payloads": "disabled by default"
},
"reveal_policy": "return only the minimum answer class needed by the caller"
}
評估卡
FHE 訊息隱私僅在邊界可檢查時才可公開。開發者應能夠指向加密欄位、模型或電路身分識別、元數據預算、揭露政策、提示注入控制以及記錄合約。沒有這些工藝,"FHE 訊息隱私"只是一個包裝了未經評估系統的誘人詞語。
在使用示範前請先使用此評估卡:
| 提問 | 好的答案 | 壞的答案 |
|---|---|---|
| 加密究竟是什么? | 命名欄位和序列化格式 | "提示" |
| 什麼仍然可見? | 時間、路徑、大小、型號、日誌、明確列出的帳單 | "沒什麼重要的" |
| 長度如何處理? | 填充或大小桶帶有成本交易 | 沒有答案 |
| 誰可以請求解密或輸出釋放? | 角色和政策名稱 | 「系統處理它」 |
| 如何處理提示注入? | 分離指令和工具政策 | 「FHE保護提示」 |
| 記錄了什麼? | 保留和刪除規則 | 預設應用程式日誌 |
FHE 提示隱私是一個強大的工具,當申請範圍狹窄時。它可以減少將原始提示內容暴露給計算操作員的需要,這是有價值的。要保留的界線很明確:FHE 提示隱私可以在選定的計算期間隱藏選定的內容,而不是它周圍整個 AI 工作流程。