Prompts privados: cifrado y cómputo confidencial
Todo prompt de Halo va cifrado de extremo a extremo. El modo confidencial va más allá y lo sella en un enclave de hardware que el operador no puede leer, con verificación local (attestation) comprobable.
Halo protege tus prompts con dos capas. El cifrado de extremo a extremo los oculta del relay y está activo por defecto. El modo confidencial va más lejos: los oculta incluso del operador cifrándolos hacia un enclave de hardware — con una prueba que puedes verificar tú mismo.
Halo está en alpha en la mainnet de Base con USDC real.
Cifrado de extremo a extremo (activo por defecto)
No hay que activarlo — siempre que el operador lo soporte (todos los operadores en alpha lo hacen), tu solicitud se cifra de extremo a extremo hacia ese operador y el relay solo reenvía texto cifrado. Cada respuesta lleva una insignia:
- 🔒 E2E ·
fingerprint— cifrado. Haz clic para ver los detalles del canal (algoritmo, la huella de la clave del operador) y una advertencia honesta: es ciego para el relay, no para el operador — el operador sigue descifrando tu prompt para ejecutar el modelo. - relay-visible (visible para el relay) — una insignia de advertencia que aparece si una respuesta no fue cifrada.
Relay-blind, not operator-blind. The Halo relay can't read this — it only tunnels ciphertext. The operator that runs your inference does decrypt and see the prompt. This proves nobody in the middle read or altered it, not that nobody read it.
The reply decrypting (its AES-GCM tag verified) is what makes this proof and not a label — only the holder of the key above could have produced it. The key is session-scoped and rotates when the operator restarts.
Si necesitas privacidad totalmente verificable, activa el modo confidencial.
Modo confidencial (ciego para el operador, con attestation de hardware)
El modo confidencial cifra tu prompt directamente hacia un TEE de hardware (enclaves de NEAR AI Cloud) que el operador no puede leer — solo retransmite texto cifrado sellado, y la respuesta se firma dentro del enclave.
Cómo activarlo:
- Es una píldora Confidential (confidencial, ícono de escudo) en el compositor, desactivada por defecto y habilitada por solicitud.
- El interruptor solo aparece cuando realmente está disponible — el modelo seleccionado tiene un operador confidencial (TEE) en línea y estás usando el saldo del vault. Los modelos que pueden ejecutarse en modo confidencial muestran un escudo en el selector de modelos.
Mientras se ejecuta la solicitud, una lista de verificación muestra el sellado hacia el enclave: operador TEE fijado → enclave con attestation (Intel TDX / H200) → prompt cifrado hacia el enclave → ejecutándose dentro del enclave → respuesta verificada.
Verificar la prueba
Tras una respuesta confidencial, la insignia dice Confidential · verified (confidencial · verificado). Haz clic para abrir la prueba, que tiene dos partes:
- Verificación de firma (automática). Halo comprueba que la respuesta fue firmada exactamente por el enclave indicado en un informe de attestation obtenido de forma independiente — se muestra como “Reply signer matches attestation” (el firmante de la respuesta coincide con la attestation). Esto se ejecuta en cada respuesta confidencial.
- Attestation de hardware (opcional, bajo demanda). Pulsa Verify hardware attestation (verificar attestation de hardware) para ejecutar una comprobación completa sin necesidad de confianza directamente en tu navegador: confirma la prueba de Intel TDX y la evidencia de NVIDIA H200, y que ambas están vinculadas a este firmante. Las insignias cambian a “verified” cuando pasa la comprobación (el verificador tarda unos segundos en cargar).
Your prompt was encrypted to a hardware enclave the operator can't read. The reply was signed inside that enclave, and your browser verified the signature recovers to the same signer named in the enclave's independently-fetched, public attestation — so the operator could only relay ciphertext, never read or forge it.
El panel de la prueba también muestra el proveedor, el modelo, el firmante del enclave con attestation, la declaración firmada, la clave pública del enclave, y un enlace al informe de attestation en bruto.
Cuando la verificación no pasa
- Si falla la configuración del enclave o el descifrado, la solicitud falla de forma segura (fail closed) — recibes un error, nunca una degradación silenciosa a texto plano.
- Si la firma de una respuesta no coincide con la attestation, la ejecución se marca como “Reply signature mismatch — rejected” (firma de la respuesta no coincide — rechazada) y la insignia permanece en not verified (no verificado). Trata cualquier respuesta que no esté marcada como verified como no confiable — no la uses como si fuera confidencial.
Relacionado
- El modo confidencial requiere el saldo del vault.
- Está disponible tanto en modo Chat como en modo Agente.