← Усі посібники

Приватні промпти: шифрування та конфіденційні обчислення

Кожен промпт Halo наскрізно зашифрований. Конфіденційний режим герметизує його в апаратному анклаві, який оператор не може прочитати, з перевірюваною атестацією на пристрої.

Halo захищає ваші промпти двома шарами. Наскрізне шифрування приховує їх від реле і ввімкнене за замовчуванням. Конфіденційний режим іде далі, приховуючи їх навіть від оператора шляхом шифрування до апаратного анклаву — з доказом, який ви можете перевірити самостійно.

Halo перебуває в альфа-версії в мережі Base mainnet із реальними USDC.

Наскрізне шифрування (увімкнене за замовчуванням)

Вам не потрібно нічого перемикати — щоразу, коли оператор підтримує це (усі альфа-оператори підтримують), ваш запит наскрізно зашифровано до цього оператора, а реле лише пересилає шифротекст. Кожна відповідь несе значок:

  • 🔒 E2E · fingerprint — зашифровано. Натисніть, щоб побачити деталі каналу (алгоритм, відбиток ключа оператора) і чесне застереження: це прозоро для реле, але не для оператора — оператор усе одно розшифровує ваш промпт, щоб запустити модель.
  • видимо для реле — попереджувальний значок, що показується, якщо відповідь не була зашифрована.
ChannelRelay-blind, end-to-end to the operator Algorithmx25519-aes256gcm
Operator key fingerprint
793B-EC2C-4494
SHA-256 (pubkey)
793bec2c4494cfeca9bd088c691dbb1f990fd03640ace654867403ff75d62678
X25519 pubkey
a82082be32ad1b6b269acccac44245bea39a4c47218058fa58bb5b48448a6053

Relay-blind, not operator-blind. The Halo relay can't read this — it only tunnels ciphertext. The operator that runs your inference does decrypt and see the prompt. This proves nobody in the middle read or altered it, not that nobody read it.

The reply decrypting (its AES-GCM tag verified) is what makes this proof and not a label — only the holder of the key above could have produced it. The key is session-scoped and rotates when the operator restarts.

Illustration — the E2E encryption report

Якщо вам потрібна повна перевірювана приватність, увімкніть конфіденційний режим.

Конфіденційний режим (недоступний оператору, з апаратною атестацією)

Конфіденційний режим шифрує ваш промпт безпосередньо до апаратного TEE (анклави NEAR AI Cloud), який оператор не може прочитати — він лише передає герметизований шифротекст, а відповідь підписується всередині анклаву.

Як увімкнути:

  • Це пігулка Конфіденційно (значок щита) у полі вводу, вимкнена за замовчуванням і активується для окремого запиту.
  • Перемикач з’являється, лише коли це справді доступно — обрана модель має онлайн-оператора з конфіденційним (TEE) режимом, а ви перебуваєте на балансі сховища. Моделі, здатні працювати конфіденційно, показують щит у виборі моделі.

Поки запит виконується, чек-лист показує процес герметизації в анклаві: TEE оператор закріплено → анклав атестовано (Intel TDX / H200) → промпт зашифровано до анклаву → виконання всередині анклаву → відповідь перевірено.

Перевірка доказу

Після конфіденційної відповіді значок показує Конфіденційно · перевірено. Натисніть на нього, щоб відкрити доказ, який складається з двох частин:

  1. Перевірка підпису (автоматична). Halo перевіряє, що відповідь підписана саме тим анклавом, який названо в незалежно отриманому звіті атестації — показано як “Підпис відповіді збігається з атестацією.” Це виконується для кожної конфіденційної відповіді.
  2. Апаратна атестація (опційна, на вимогу). Натисніть Перевірити апаратну атестацію, щоб запустити повну довірочну перевірку у вашому браузері: вона підтверджує квоту Intel TDX і докази NVIDIA H200, а також те, що вони прив’язані до цього підписанта. Пігулки перемикаються на “перевірено”, коли перевірка проходить (завантаження верифікатора займає кілька секунд).
Confidential — verified

Your prompt was encrypted to a hardware enclave the operator can't read. The reply was signed inside that enclave, and your browser verified the signature recovers to the same signer named in the enclave's independently-fetched, public attestation — so the operator could only relay ciphertext, never read or forge it.

Hardware attestation
Intel TDX verified NVIDIA H200 verified Bound to this signer
Fully verified — the enclave's quote chains to Intel's root and binds this signer; the relay could not have forged it.
Signature check
Reply signer matches attestation
Confidential provider (whose attested enclave this is)
NEAR AI Cloud
Model
deepseek-ai/DeepSeek-V4-Flash
Attested enclave signer
0xc5f6bf2f1bc666569157ec1bb4066cdaf48d026c
Enclave public key (your prompt was sealed to this)
34ba223c3175c4debee8cd12d72f55869b6cf1ccc5ff578e940a23c7bf9dcf3abd6530ce8d8624ffd150900fd31bae802eb75367a154a75e39cc87f748b63b84
Operator (relayed ciphertext only — never saw your prompt)
0x5b1e2587f5debdade3579e702e7cc06be9610d14
View raw attestation report ↗ Close
Illustration — the confidential (TEE) proof

Панель доказу також показує провайдера, модель, атестованого підписанта анклаву, підписану заяву, публічний ключ анклаву та посилання на необроблений звіт атестації.

Коли перевірка не проходить

  • Якщо налаштування анклаву чи розшифрування зазнає невдачі, запит гарантовано відхиляється — ви отримуєте помилку, а не мовчазне пониження до звичайного тексту.
  • Якщо підпис відповіді не збігається з атестацією, запуск позначається як “Невідповідність підпису відповіді — відхилено”, а значок залишається в стані не перевірено. Ставтеся до будь-якої відповіді, не позначеної як перевірено, як до недовіреної — не покладайтеся на неї як на конфіденційну.

Пов’язане