← Todos os guias

Prompts privados: criptografia e computação confidencial

Todo prompt do Halo é criptografado de ponta a ponta. O modo confidencial o sela em um enclave de hardware que o operador não consegue ler, com atestação local verificável.

O Halo protege seus prompts com duas camadas. A criptografia de ponta a ponta os oculta do relay e está ativa por padrão. O modo confidencial vai além: oculta-os até do operador, criptografando-os para um enclave de hardware — com uma prova que você mesmo pode verificar.

O Halo está em alpha na mainnet da Base com USDC real.

Criptografia de ponta a ponta (ativa por padrão)

Você não precisa ativá-la — sempre que o operador a suporta (todos os operadores em alpha suportam), sua requisição é criptografada de ponta a ponta para esse operador e o relay só encaminha texto cifrado. Cada resposta traz um selo:

  • 🔒 E2E · fingerprint — criptografado. Clique para ver os detalhes do canal (algoritmo, a impressão digital da chave do operador) e uma ressalva honesta: é cego para o relay, não para o operador — o operador ainda descriptografa seu prompt para executar o modelo.
  • relay-visible — um selo de aviso exibido se uma resposta não foi criptografada.
ChannelRelay-blind, end-to-end to the operator Algorithmx25519-aes256gcm
Operator key fingerprint
793B-EC2C-4494
SHA-256 (pubkey)
793bec2c4494cfeca9bd088c691dbb1f990fd03640ace654867403ff75d62678
X25519 pubkey
a82082be32ad1b6b269acccac44245bea39a4c47218058fa58bb5b48448a6053

Relay-blind, not operator-blind. The Halo relay can't read this — it only tunnels ciphertext. The operator that runs your inference does decrypt and see the prompt. This proves nobody in the middle read or altered it, not that nobody read it.

The reply decrypting (its AES-GCM tag verified) is what makes this proof and not a label — only the holder of the key above could have produced it. The key is session-scoped and rotates when the operator restarts.

Illustration — the E2E encryption report

Se você precisa de privacidade totalmente verificável, ative o modo confidencial.

Modo confidencial (cego para o operador, atestado por hardware)

O modo confidencial criptografa seu prompt diretamente para um TEE de hardware (enclaves da NEAR AI Cloud) que o operador não consegue ler — ele só retransmite texto cifrado selado, e a resposta é assinada dentro do enclave.

Como ativá-lo:

  • É uma pílula Confidential (ícone de escudo) no compositor, desativada por padrão e habilitada por requisição.
  • O interruptor só aparece quando ele está de fato disponível — o modelo selecionado tem um operador confidencial (TEE) online e você está usando o saldo do vault. Os modelos que podem rodar de forma confidencial mostram um escudo no seletor de modelos.

Enquanto a requisição roda, uma lista de verificação mostra o selamento para o enclave: operador TEE fixado → enclave atestado (Intel TDX / H200) → prompt criptografado para o enclave → executando dentro do enclave → resposta verificada.

Verificar a prova

Após uma resposta confidencial, o selo diz Confidential · verified. Clique para abrir a prova, que tem duas partes:

  1. Verificação de assinatura (automática). O Halo confere que a resposta foi assinada exatamente pelo enclave indicado em um relatório de atestação obtido de forma independente — exibido como “Reply signer matches attestation.” Isso roda em toda resposta confidencial.
  2. Atestação de hardware (opcional, sob demanda). Pressione Verify hardware attestation para executar uma verificação completa sem necessidade de confiança diretamente no seu navegador: ela confirma a prova Intel TDX e a evidência NVIDIA H200 e que ambas estão vinculadas a este assinante. As pílulas mudam para “verified” quando a verificação passa (o verificador leva alguns segundos para carregar).
Confidential — verified

Your prompt was encrypted to a hardware enclave the operator can't read. The reply was signed inside that enclave, and your browser verified the signature recovers to the same signer named in the enclave's independently-fetched, public attestation — so the operator could only relay ciphertext, never read or forge it.

Hardware attestation
Intel TDX verified NVIDIA H200 verified Bound to this signer
Fully verified — the enclave's quote chains to Intel's root and binds this signer; the relay could not have forged it.
Signature check
Reply signer matches attestation
Confidential provider (whose attested enclave this is)
NEAR AI Cloud
Model
deepseek-ai/DeepSeek-V4-Flash
Attested enclave signer
0xc5f6bf2f1bc666569157ec1bb4066cdaf48d026c
Enclave public key (your prompt was sealed to this)
34ba223c3175c4debee8cd12d72f55869b6cf1ccc5ff578e940a23c7bf9dcf3abd6530ce8d8624ffd150900fd31bae802eb75367a154a75e39cc87f748b63b84
Operator (relayed ciphertext only — never saw your prompt)
0x5b1e2587f5debdade3579e702e7cc06be9610d14
View raw attestation report ↗ Close
Illustration — the confidential (TEE) proof

O painel da prova também mostra o provider, o modelo, o assinante do enclave atestado, a declaração assinada, a chave pública do enclave e um link para o relatório de atestação bruto.

Quando a verificação não passa

  • Se a configuração do enclave ou a descriptografia falhar, a requisição falha de forma segura (fail closed) — você recebe um erro, nunca um rebaixamento silencioso para texto puro.
  • Se a assinatura de uma resposta não coincide com a atestação, a execução é marcada como “Reply signature mismatch — rejected” e o selo permanece em not verified. Trate qualquer resposta que não esteja marcada como verified como não confiável — não a use como se fosse confidencial.

Relacionados