← Todas las guías

Prompts privados: cifrado y cómputo confidencial

Todo prompt de Halo va cifrado de extremo a extremo. El modo confidencial va más allá y lo sella en un enclave de hardware que el operador no puede leer, con verificación local (attestation) comprobable.

Halo protege tus prompts con dos capas. El cifrado de extremo a extremo los oculta del relay y está activo por defecto. El modo confidencial va más lejos: los oculta incluso del operador cifrándolos hacia un enclave de hardware — con una prueba que puedes verificar tú mismo.

Halo está en alpha en la mainnet de Base con USDC real.

Cifrado de extremo a extremo (activo por defecto)

No hay que activarlo — siempre que el operador lo soporte (todos los operadores en alpha lo hacen), tu solicitud se cifra de extremo a extremo hacia ese operador y el relay solo reenvía texto cifrado. Cada respuesta lleva una insignia:

  • 🔒 E2E · fingerprint — cifrado. Haz clic para ver los detalles del canal (algoritmo, la huella de la clave del operador) y una advertencia honesta: es ciego para el relay, no para el operador — el operador sigue descifrando tu prompt para ejecutar el modelo.
  • relay-visible (visible para el relay) — una insignia de advertencia que aparece si una respuesta no fue cifrada.
ChannelRelay-blind, end-to-end to the operator Algorithmx25519-aes256gcm
Operator key fingerprint
793B-EC2C-4494
SHA-256 (pubkey)
793bec2c4494cfeca9bd088c691dbb1f990fd03640ace654867403ff75d62678
X25519 pubkey
a82082be32ad1b6b269acccac44245bea39a4c47218058fa58bb5b48448a6053

Relay-blind, not operator-blind. The Halo relay can't read this — it only tunnels ciphertext. The operator that runs your inference does decrypt and see the prompt. This proves nobody in the middle read or altered it, not that nobody read it.

The reply decrypting (its AES-GCM tag verified) is what makes this proof and not a label — only the holder of the key above could have produced it. The key is session-scoped and rotates when the operator restarts.

Illustration — the E2E encryption report

Si necesitas privacidad totalmente verificable, activa el modo confidencial.

Modo confidencial (ciego para el operador, con attestation de hardware)

El modo confidencial cifra tu prompt directamente hacia un TEE de hardware (enclaves de NEAR AI Cloud) que el operador no puede leer — solo retransmite texto cifrado sellado, y la respuesta se firma dentro del enclave.

Cómo activarlo:

  • Es una píldora Confidential (confidencial, ícono de escudo) en el compositor, desactivada por defecto y habilitada por solicitud.
  • El interruptor solo aparece cuando realmente está disponible — el modelo seleccionado tiene un operador confidencial (TEE) en línea y estás usando el saldo del vault. Los modelos que pueden ejecutarse en modo confidencial muestran un escudo en el selector de modelos.

Mientras se ejecuta la solicitud, una lista de verificación muestra el sellado hacia el enclave: operador TEE fijado → enclave con attestation (Intel TDX / H200) → prompt cifrado hacia el enclave → ejecutándose dentro del enclave → respuesta verificada.

Verificar la prueba

Tras una respuesta confidencial, la insignia dice Confidential · verified (confidencial · verificado). Haz clic para abrir la prueba, que tiene dos partes:

  1. Verificación de firma (automática). Halo comprueba que la respuesta fue firmada exactamente por el enclave indicado en un informe de attestation obtenido de forma independiente — se muestra como “Reply signer matches attestation” (el firmante de la respuesta coincide con la attestation). Esto se ejecuta en cada respuesta confidencial.
  2. Attestation de hardware (opcional, bajo demanda). Pulsa Verify hardware attestation (verificar attestation de hardware) para ejecutar una comprobación completa sin necesidad de confianza directamente en tu navegador: confirma la prueba de Intel TDX y la evidencia de NVIDIA H200, y que ambas están vinculadas a este firmante. Las insignias cambian a “verified” cuando pasa la comprobación (el verificador tarda unos segundos en cargar).
Confidential — verified

Your prompt was encrypted to a hardware enclave the operator can't read. The reply was signed inside that enclave, and your browser verified the signature recovers to the same signer named in the enclave's independently-fetched, public attestation — so the operator could only relay ciphertext, never read or forge it.

Hardware attestation
Intel TDX verified NVIDIA H200 verified Bound to this signer
Fully verified — the enclave's quote chains to Intel's root and binds this signer; the relay could not have forged it.
Signature check
Reply signer matches attestation
Confidential provider (whose attested enclave this is)
NEAR AI Cloud
Model
deepseek-ai/DeepSeek-V4-Flash
Attested enclave signer
0xc5f6bf2f1bc666569157ec1bb4066cdaf48d026c
Enclave public key (your prompt was sealed to this)
34ba223c3175c4debee8cd12d72f55869b6cf1ccc5ff578e940a23c7bf9dcf3abd6530ce8d8624ffd150900fd31bae802eb75367a154a75e39cc87f748b63b84
Operator (relayed ciphertext only — never saw your prompt)
0x5b1e2587f5debdade3579e702e7cc06be9610d14
View raw attestation report ↗ Close
Illustration — the confidential (TEE) proof

El panel de la prueba también muestra el proveedor, el modelo, el firmante del enclave con attestation, la declaración firmada, la clave pública del enclave, y un enlace al informe de attestation en bruto.

Cuando la verificación no pasa

  • Si falla la configuración del enclave o el descifrado, la solicitud falla de forma segura (fail closed) — recibes un error, nunca una degradación silenciosa a texto plano.
  • Si la firma de una respuesta no coincide con la attestation, la ejecución se marca como “Reply signature mismatch — rejected” (firma de la respuesta no coincide — rechazada) y la insignia permanece en not verified (no verificado). Trata cualquier respuesta que no esté marcada como verified como no confiable — no la uses como si fuera confidencial.

Relacionado