← 全部指南

私密提示词:加密与机密计算

每一条 Halo 提示词都经过端到端加密。机密模式更进一步,将其密封至运营者也无法读取的硬件安全隔区,并提供你可以自行验证的设备端认证。

Halo 用两层机制保护你的提示词。端到端加密默认开启,让中继无法看到内容。 机密模式更进一步,通过加密至硬件安全隔区,让运营者也无法读取——并提供你可以 自行验证的证明。

Halo 目前处于 alpha 阶段,运行在 Base 主网上,使用真实的 USDC。

端到端加密(默认开启)

这项功能无需手动开启——只要运营者支持(所有 alpha 阶段的运营者都支持),你的 请求就会端到端加密至该运营者,中继始终只转发密文。每条回复都带有一个标记:

  • 🔒 E2E · fingerprint——已加密。点击可查看通道详情(加密算法、运营者的 密钥指纹),以及一条如实的提示:这是对中继不可见,而非对运营者不可见—— 运营者仍需解密你的提示词才能运行模型。
  • relay-visible(中继可见)——如果回复未被加密,会显示此警告标记。
ChannelRelay-blind, end-to-end to the operator Algorithmx25519-aes256gcm
Operator key fingerprint
793B-EC2C-4494
SHA-256 (pubkey)
793bec2c4494cfeca9bd088c691dbb1f990fd03640ace654867403ff75d62678
X25519 pubkey
a82082be32ad1b6b269acccac44245bea39a4c47218058fa58bb5b48448a6053

Relay-blind, not operator-blind. The Halo relay can't read this — it only tunnels ciphertext. The operator that runs your inference does decrypt and see the prompt. This proves nobody in the middle read or altered it, not that nobody read it.

The reply decrypting (its AES-GCM tag verified) is what makes this proof and not a label — only the holder of the key above could have produced it. The key is session-scoped and rotates when the operator restarts.

Illustration — the E2E encryption report

如果你需要完全可验证的隐私保护,请启用机密模式。

机密模式(对运营者不可见,硬件认证)

机密模式将你的提示词直接加密至硬件可信执行环境(TEE)(NEAR AI Cloud 的 安全隔区),运营者无法读取——它只转发已密封的密文,回复则在隔区内部签名。

开启方式:

  • 在输入框中有一个机密(盾牌图标)开关,默认关闭,按请求单独启用。
  • 该开关只在实际可用时才会出现——当前选中的模型需有机密(TEE)运营者在线, 且你使用的是金库余额。可运行机密模式的模型会在模型选择器中显示盾牌图标。

请求运行期间,一份清单会显示密封至隔区的过程:锁定 TEE 运营者 → 隔区完成 认证(Intel TDX / H200)→ 提示词加密至隔区 → 在隔区内运行 → 回复已验证

验证证明

机密回复完成后,标记会显示为机密 · 已验证。点击即可打开证明,其中包含 两部分:

  1. 签名校验(自动)。 Halo 会检查回复的签名是否与独立获取的认证报告中指定 的隔区完全一致——显示为**“回复签名者与认证匹配”**。这项检查在每次机密回复 中都会自动运行。
  2. 硬件认证(可选,按需触发)。 点击验证硬件认证,即可在你的浏览器中 运行一次完整的无需信任的检查:确认 Intel TDX 报价和 NVIDIA H200 证据,并确认它们绑定至该签名者。通过后,标记会变为”已验证”(验证器加载 需要几秒钟)。
Confidential — verified

Your prompt was encrypted to a hardware enclave the operator can't read. The reply was signed inside that enclave, and your browser verified the signature recovers to the same signer named in the enclave's independently-fetched, public attestation — so the operator could only relay ciphertext, never read or forge it.

Hardware attestation
Intel TDX verified NVIDIA H200 verified Bound to this signer
Fully verified — the enclave's quote chains to Intel's root and binds this signer; the relay could not have forged it.
Signature check
Reply signer matches attestation
Confidential provider (whose attested enclave this is)
NEAR AI Cloud
Model
deepseek-ai/DeepSeek-V4-Flash
Attested enclave signer
0xc5f6bf2f1bc666569157ec1bb4066cdaf48d026c
Enclave public key (your prompt was sealed to this)
34ba223c3175c4debee8cd12d72f55869b6cf1ccc5ff578e940a23c7bf9dcf3abd6530ce8d8624ffd150900fd31bae802eb75367a154a75e39cc87f748b63b84
Operator (relayed ciphertext only — never saw your prompt)
0x5b1e2587f5debdade3579e702e7cc06be9610d14
View raw attestation report ↗ Close
Illustration — the confidential (TEE) proof

证明面板还会显示提供方、模型、经认证的隔区签名者、已签名的声明、隔区的公钥, 以及原始认证报告的链接。

验证未通过时

  • 如果隔区设置或解密失败,请求会直接失败——你会收到错误提示,绝不会静默 降级为明文传输。
  • 如果回复的签名与认证不匹配,该次运行会被标记为**“回复签名不匹配——已 拒绝”,标记会一直停留在未验证状态。任何未标记为已验证**的回复都应视为 不可信——不要依赖它作为机密回复。

相关内容