← Tất cả hướng dẫn

Prompt riêng tư: mã hóa & tính toán bảo mật

Mọi prompt trên Halo đều được mã hóa đầu-cuối. Chế độ Confidential còn tiến xa hơn, niêm phong prompt vào một enclave phần cứng mà operator không thể đọc được, kèm theo bằng chứng attestation trên thiết bị mà bạn có thể tự xác minh.

Halo bảo vệ prompt của bạn bằng hai lớp. Mã hóa đầu-cuối (end-to-end) giấu prompt khỏi relay và được bật mặc định. Chế độ Confidential đi xa hơn, giấu prompt khỏi cả operator bằng cách mã hóa vào một enclave phần cứng — kèm bằng chứng mà bạn có thể tự xác minh.

Halo đang trong giai đoạn alpha trên Base mainnet, sử dụng USDC thật.

Mã hóa đầu-cuối (bật mặc định)

Bạn không cần bật tính năng này — bất cứ khi nào operator hỗ trợ (tất cả operator trong giai đoạn alpha đều hỗ trợ), yêu cầu của bạn sẽ được mã hóa đầu-cuối đến operator đó, và relay chỉ chuyển tiếp bản mã hóa (ciphertext). Mỗi câu trả lời đều mang một huy hiệu:

  • 🔒 E2E · fingerprint — đã mã hóa. Nhấp vào để xem chi tiết kênh (thuật toán, vân tay khóa của operator) và một lưu ý thẳng thắn: đây là ẩn với relay, không phải ẩn với operator — operator vẫn giải mã prompt của bạn để chạy mô hình.
  • relay-visible — huy hiệu cảnh báo hiển thị khi một câu trả lời không được mã hóa.
ChannelRelay-blind, end-to-end to the operator Algorithmx25519-aes256gcm
Operator key fingerprint
793B-EC2C-4494
SHA-256 (pubkey)
793bec2c4494cfeca9bd088c691dbb1f990fd03640ace654867403ff75d62678
X25519 pubkey
a82082be32ad1b6b269acccac44245bea39a4c47218058fa58bb5b48448a6053

Relay-blind, not operator-blind. The Halo relay can't read this — it only tunnels ciphertext. The operator that runs your inference does decrypt and see the prompt. This proves nobody in the middle read or altered it, not that nobody read it.

The reply decrypting (its AES-GCM tag verified) is what makes this proof and not a label — only the holder of the key above could have produced it. The key is session-scoped and rotates when the operator restarts.

Illustration — the E2E encryption report

Nếu bạn cần quyền riêng tư có thể xác minh đầy đủ, hãy kích hoạt chế độ Confidential.

Chế độ Confidential (ẩn với operator, có attestation phần cứng)

Chế độ Confidential mã hóa prompt của bạn trực tiếp vào một TEE phần cứng (enclave của NEAR AI Cloud) mà operator không thể đọc được — nó chỉ chuyển tiếp bản mã hóa đã niêm phong, và câu trả lời được ký bên trong enclave.

Cách bật:

  • Đây là một viên thuốc Confidential (biểu tượng khiên) trong ô soạn tin, tắt theo mặc định và được bật cho từng yêu cầu.
  • Công tắc này chỉ xuất hiện khi thực sự khả dụng — mô hình đang chọn phải có một operator confidential (TEE) đang online và bạn đang dùng số dư Vault. Các mô hình có thể chạy ở chế độ confidential sẽ hiện biểu tượng khiên trong bộ chọn mô hình.

Trong lúc yêu cầu đang chạy, một danh sách kiểm tra sẽ hiển thị quá trình niêm phong vào enclave: ghim operator TEE → enclave đã được attest (Intel TDX / H200) → prompt đã mã hóa vào enclave → đang chạy trong enclave → câu trả lời đã xác minh.

Xác minh bằng chứng

Sau một câu trả lời confidential, huy hiệu hiển thị Confidential · verified. Nhấp vào để mở bằng chứng, gồm hai phần:

  1. Kiểm tra chữ ký (tự động). Halo kiểm tra rằng câu trả lời được ký bởi đúng enclave được nêu tên trong một báo cáo attestation lấy độc lập — hiển thị là “Reply signer matches attestation.” Việc này chạy trên mọi câu trả lời confidential.
  2. Attestation phần cứng (tùy chọn, theo yêu cầu). Nhấn Verify hardware attestation để chạy một kiểm tra trustless đầy đủ ngay trong trình duyệt của bạn: xác nhận quote Intel TDX và bằng chứng NVIDIA H200, cùng việc chúng được gắn với đúng signer này. Các huy hiệu chuyển thành “verified” khi vượt qua (mất vài giây để tải trình xác minh).
Confidential — verified

Your prompt was encrypted to a hardware enclave the operator can't read. The reply was signed inside that enclave, and your browser verified the signature recovers to the same signer named in the enclave's independently-fetched, public attestation — so the operator could only relay ciphertext, never read or forge it.

Hardware attestation
Intel TDX verified NVIDIA H200 verified Bound to this signer
Fully verified — the enclave's quote chains to Intel's root and binds this signer; the relay could not have forged it.
Signature check
Reply signer matches attestation
Confidential provider (whose attested enclave this is)
NEAR AI Cloud
Model
deepseek-ai/DeepSeek-V4-Flash
Attested enclave signer
0xc5f6bf2f1bc666569157ec1bb4066cdaf48d026c
Enclave public key (your prompt was sealed to this)
34ba223c3175c4debee8cd12d72f55869b6cf1ccc5ff578e940a23c7bf9dcf3abd6530ce8d8624ffd150900fd31bae802eb75367a154a75e39cc87f748b63b84
Operator (relayed ciphertext only — never saw your prompt)
0x5b1e2587f5debdade3579e702e7cc06be9610d14
View raw attestation report ↗ Close
Illustration — the confidential (TEE) proof

Bảng bằng chứng cũng hiển thị nhà cung cấp, mô hình, signer của enclave đã được attest, tuyên bố đã ký, khóa công khai của enclave, và một liên kết đến báo cáo attestation gốc.

Khi xác minh không thành công

  • Nếu việc thiết lập enclave hoặc giải mã thất bại, yêu cầu sẽ fail closed (thất bại an toàn) — bạn nhận được lỗi, không bao giờ bị âm thầm hạ cấp xuống bản rõ (plaintext).
  • Nếu chữ ký của câu trả lời không khớp với attestation, lượt chạy đó sẽ bị gắn cờ “Reply signature mismatch — rejected” và huy hiệu vẫn giữ trạng thái chưa xác minh. Hãy coi bất kỳ câu trả lời nào không được đánh dấu verified là không đáng tin — đừng dựa vào nó như một câu trả lời confidential.

Liên quan