Halo 用两层机制保护你的提示词。端到端加密默认开启,让中继无法看到内容。 机密模式更进一步,通过加密至硬件安全隔区,让运营者也无法读取——并提供你可以 自行验证的证明。
Halo 目前处于 alpha 阶段,运行在 Base 主网上,使用真实的 USDC。
端到端加密(默认开启)
这项功能无需手动开启——只要运营者支持(所有 alpha 阶段的运营者都支持),你的 请求就会端到端加密至该运营者,中继始终只转发密文。每条回复都带有一个标记:
- 🔒 E2E ·
fingerprint——已加密。点击可查看通道详情(加密算法、运营者的 密钥指纹),以及一条如实的提示:这是对中继不可见,而非对运营者不可见—— 运营者仍需解密你的提示词才能运行模型。 - relay-visible(中继可见)——如果回复未被加密,会显示此警告标记。
Relay-blind, not operator-blind. The Halo relay can't read this — it only tunnels ciphertext. The operator that runs your inference does decrypt and see the prompt. This proves nobody in the middle read or altered it, not that nobody read it.
The reply decrypting (its AES-GCM tag verified) is what makes this proof and not a label — only the holder of the key above could have produced it. The key is session-scoped and rotates when the operator restarts.
如果你需要完全可验证的隐私保护,请启用机密模式。
机密模式(对运营者不可见,硬件认证)
机密模式将你的提示词直接加密至硬件可信执行环境(TEE)(NEAR AI Cloud 的 安全隔区),运营者无法读取——它只转发已密封的密文,回复则在隔区内部签名。
开启方式:
- 在输入框中有一个机密(盾牌图标)开关,默认关闭,按请求单独启用。
- 该开关只在实际可用时才会出现——当前选中的模型需有机密(TEE)运营者在线, 且你使用的是金库余额。可运行机密模式的模型会在模型选择器中显示盾牌图标。
请求运行期间,一份清单会显示密封至隔区的过程:锁定 TEE 运营者 → 隔区完成 认证(Intel TDX / H200)→ 提示词加密至隔区 → 在隔区内运行 → 回复已验证。
验证证明
机密回复完成后,标记会显示为机密 · 已验证。点击即可打开证明,其中包含 两部分:
- 签名校验(自动)。 Halo 会检查回复的签名是否与独立获取的认证报告中指定 的隔区完全一致——显示为**“回复签名者与认证匹配”**。这项检查在每次机密回复 中都会自动运行。
- 硬件认证(可选,按需触发)。 点击验证硬件认证,即可在你的浏览器中 运行一次完整的无需信任的检查:确认 Intel TDX 报价和 NVIDIA H200 证据,并确认它们绑定至该签名者。通过后,标记会变为”已验证”(验证器加载 需要几秒钟)。
Your prompt was encrypted to a hardware enclave the operator can't read. The reply was signed inside that enclave, and your browser verified the signature recovers to the same signer named in the enclave's independently-fetched, public attestation — so the operator could only relay ciphertext, never read or forge it.
证明面板还会显示提供方、模型、经认证的隔区签名者、已签名的声明、隔区的公钥, 以及原始认证报告的链接。
验证未通过时
- 如果隔区设置或解密失败,请求会直接失败——你会收到错误提示,绝不会静默 降级为明文传输。
- 如果回复的签名与认证不匹配,该次运行会被标记为**“回复签名不匹配——已 拒绝”,标记会一直停留在未验证状态。任何未标记为已验证**的回复都应视为 不可信——不要依赖它作为机密回复。
相关内容
- 机密模式需要金库余额。
- 该功能在对话模式与智能体模式中均可使用。