Prompt privati: cifratura e calcolo confidenziale
Ogni prompt di Halo è cifrato end-to-end. La modalità confidenziale lo sigilla in un enclave hardware che l'operatore non può leggere, con attestazione locale verificabile.
Halo protegge i tuoi prompt con due livelli. La cifratura end-to-end li nasconde al relay ed è attiva per impostazione predefinita. La modalità confidenziale va oltre: li nasconde perfino all’operatore cifrandoli verso un enclave hardware — con una prova che puoi verificare tu stesso.
Halo è in alpha sulla mainnet di Base con USDC reale.
Cifratura end-to-end (attiva per impostazione predefinita)
Non devi attivarla — ogni volta che l’operatore la supporta (tutti gli operatori in alpha lo fanno), la tua richiesta viene cifrata end-to-end verso quell’operatore e il relay inoltra solo testo cifrato. Ogni risposta porta un badge:
- 🔒 E2E ·
fingerprint— cifrato. Fai clic per vedere i dettagli del canale (algoritmo, l’impronta della chiave dell’operatore) e un avvertimento onesto: è cieco per il relay, non per l’operatore — l’operatore decifra comunque il tuo prompt per eseguire il modello. - relay-visible — un badge di avviso mostrato se una risposta non è stata cifrata.
Relay-blind, not operator-blind. The Halo relay can't read this — it only tunnels ciphertext. The operator that runs your inference does decrypt and see the prompt. This proves nobody in the middle read or altered it, not that nobody read it.
The reply decrypting (its AES-GCM tag verified) is what makes this proof and not a label — only the holder of the key above could have produced it. The key is session-scoped and rotates when the operator restarts.
Se ti serve privacy totalmente verificabile, attiva la modalità confidenziale.
Modalità confidenziale (cieca per l’operatore, attestata dall’hardware)
La modalità confidenziale cifra il tuo prompt direttamente verso un TEE hardware (enclave di NEAR AI Cloud) che l’operatore non può leggere — inoltra solo testo cifrato sigillato, e la risposta viene firmata dentro l’enclave.
Come attivarla:
- È una pillola Confidential (icona a scudo) nel compositore, disattivata per impostazione predefinita e abilitata per singola richiesta.
- L’interruttore appare solo quando è davvero disponibile — il modello selezionato ha un operatore confidenziale (TEE) online e stai usando il saldo del vault. I modelli che possono girare in modalità confidenziale mostrano uno scudo nel selettore di modelli.
Mentre la richiesta viene eseguita, una checklist mostra il sigillo verso l’enclave: operatore TEE fissato → enclave attestato (Intel TDX / H200) → prompt cifrato verso l’enclave → in esecuzione dentro l’enclave → risposta verificata.
Verificare la prova
Dopo una risposta confidenziale, il badge dice Confidential · verified. Fai clic per aprire la prova, che ha due parti:
- Verifica della firma (automatica). Halo controlla che la risposta sia stata firmata esattamente dall’enclave indicato in un report di attestazione ottenuto in modo indipendente — mostrato come “Reply signer matches attestation.” Questo viene eseguito su ogni risposta confidenziale.
- Attestazione dell’hardware (opzionale, su richiesta). Premi Verify hardware attestation per eseguire una verifica completa senza necessità di fiducia direttamente nel tuo browser: conferma la prova Intel TDX e l’evidenza NVIDIA H200 e che sono vincolate a questo firmatario. Le pillole passano a “verified” quando la verifica passa (il verificatore impiega un paio di secondi per caricarsi).
Your prompt was encrypted to a hardware enclave the operator can't read. The reply was signed inside that enclave, and your browser verified the signature recovers to the same signer named in the enclave's independently-fetched, public attestation — so the operator could only relay ciphertext, never read or forge it.
Il pannello della prova mostra anche il provider, il modello, il firmatario dell’enclave attestato, la dichiarazione firmata, la chiave pubblica dell’enclave e un link al report di attestazione grezzo.
Quando la verifica non passa
- Se la configurazione dell’enclave o la decifratura fallisce, la richiesta fallisce in modo sicuro (fail closed) — ricevi un errore, mai un declassamento silenzioso a testo in chiaro.
- Se la firma di una risposta non coincide con l’attestazione, l’esecuzione viene contrassegnata “Reply signature mismatch — rejected” e il badge resta a not verified. Tratta come non affidabile qualsiasi risposta che non sia contrassegnata come verified — non usarla come se fosse confidenziale.
Correlati
- La modalità confidenziale richiede il saldo del vault.
- È disponibile sia in modalità Chat che Agente.