← Все руководства

Приватные промпты: шифрование и конфиденциальные вычисления

Каждый промпт в Halo шифруется end-to-end. Confidential mode запечатывает его в аппаратный enclave, недоступный оператору, с проверяемым на устройстве аттестатом.

Halo защищает ваши промпты двумя уровнями. Сквозное шифрование (end-to-end) скрывает их от релея и включено по умолчанию. Confidential mode идёт дальше, скрывая их даже от оператора — за счёт шифрования в аппаратный enclave — с доказательством, которое вы можете проверить самостоятельно.

Halo находится в альфа-версии в основной сети Base с реальными USDC.

Сквозное шифрование (включено по умолчанию)

Переключать ничего не нужно — как только оператор поддерживает это (а все альфа-операторы поддерживают), ваш запрос шифруется end-to-end до этого оператора, и релей передаёт только шифротекст. Каждый ответ несёт значок:

  • 🔒 E2E · fingerprint — зашифровано. Нажмите, чтобы увидеть детали канала (алгоритм, отпечаток ключа оператора) и честную оговорку: это защита от релея, а не от оператора — оператор всё равно расшифровывает ваш промпт, чтобы запустить модель.
  • relay-visible — предупреждающий значок, если ответ не был зашифрован.
ChannelRelay-blind, end-to-end to the operator Algorithmx25519-aes256gcm
Operator key fingerprint
793B-EC2C-4494
SHA-256 (pubkey)
793bec2c4494cfeca9bd088c691dbb1f990fd03640ace654867403ff75d62678
X25519 pubkey
a82082be32ad1b6b269acccac44245bea39a4c47218058fa58bb5b48448a6053

Relay-blind, not operator-blind. The Halo relay can't read this — it only tunnels ciphertext. The operator that runs your inference does decrypt and see the prompt. This proves nobody in the middle read or altered it, not that nobody read it.

The reply decrypting (its AES-GCM tag verified) is what makes this proof and not a label — only the holder of the key above could have produced it. The key is session-scoped and rotates when the operator restarts.

Illustration — the E2E encryption report

Если нужна полная проверяемая приватность, включите Confidential mode.

Confidential mode (недоступно оператору, с аппаратной аттестацией)

Confidential mode шифрует ваш промпт напрямую в аппаратный TEE (enclave NEAR AI Cloud), который оператор не может прочитать — он лишь пересылает запечатанный шифротекст, а ответ подписывается внутри enclave.

Как включить:

  • Это плашка Confidential (иконка щита) в поле ввода, выключена по умолчанию и включается для каждого запроса отдельно.
  • Переключатель появляется только тогда, когда режим действительно доступен — у выбранной модели онлайн есть конфиденциальный (TEE) оператор, и вы находитесь на балансе vault. Модели, способные работать конфиденциально, показывают щит в выборе модели.

Пока запрос выполняется, чек-лист показывает процесс запечатывания в enclave: TEE-оператор закреплён → enclave аттестован (Intel TDX / H200) → промпт зашифрован в enclave → выполняется внутри enclave → ответ проверен.

Проверка доказательства

После конфиденциального ответа значок показывает Confidential · verified. Нажмите на него, чтобы открыть доказательство — оно состоит из двух частей:

  1. Проверка подписи (автоматическая). Halo проверяет, что ответ подписан именно тем enclave, который указан в независимо полученном отчёте об аттестации — это отображается как «Reply signer matches attestation». Это выполняется при каждом конфиденциальном ответе.
  2. Аппаратная аттестация (опционально, по запросу). Нажмите Verify hardware attestation, чтобы запустить полную доверенную проверку прямо в браузере: она подтверждает свидетельство Intel TDX и NVIDIA H200 и то, что они привязаны именно к этому подписанту. Плашки переключаются на «verified», когда проверка проходит успешно (загрузка верификатора занимает пару секунд).
Confidential — verified

Your prompt was encrypted to a hardware enclave the operator can't read. The reply was signed inside that enclave, and your browser verified the signature recovers to the same signer named in the enclave's independently-fetched, public attestation — so the operator could only relay ciphertext, never read or forge it.

Hardware attestation
Intel TDX verified NVIDIA H200 verified Bound to this signer
Fully verified — the enclave's quote chains to Intel's root and binds this signer; the relay could not have forged it.
Signature check
Reply signer matches attestation
Confidential provider (whose attested enclave this is)
NEAR AI Cloud
Model
deepseek-ai/DeepSeek-V4-Flash
Attested enclave signer
0xc5f6bf2f1bc666569157ec1bb4066cdaf48d026c
Enclave public key (your prompt was sealed to this)
34ba223c3175c4debee8cd12d72f55869b6cf1ccc5ff578e940a23c7bf9dcf3abd6530ce8d8624ffd150900fd31bae802eb75367a154a75e39cc87f748b63b84
Operator (relayed ciphertext only — never saw your prompt)
0x5b1e2587f5debdade3579e702e7cc06be9610d14
View raw attestation report ↗ Close
Illustration — the confidential (TEE) proof

Панель доказательства также показывает провайдера, модель, аттестованный подписант enclave, подписанное заявление, публичный ключ enclave и ссылку на исходный отчёт об аттестации.

Когда проверка не проходит

  • Если настройка enclave или расшифровка не удаётся, запрос завершается с отказом — вы получаете ошибку, но никогда — тихий откат к открытому тексту.
  • Если подпись ответа не совпадает с аттестацией, запуск помечается как «Reply signature mismatch — rejected», и значок остаётся в состоянии не проверено. Любой ответ без пометки verified считайте недоверенным — не полагайтесь на него как на конфиденциальный.

Смотрите также