Moxie Marlinspike—bút danh của một kỹ sư đã thiết lập một tiêu chuẩn mới cho nhắn tin riêng tư với việc tạo ra ứng dụng Signal Messenger—hiện đang hướng đến việc cách mạng hóa chatbot AI theo cách tương tự.

Sản phẩm trí tuệ mới nhất của ông là Confer , một trợ lý AI mã nguồn mở cung cấp sự đảm bảo mạnh mẽ rằng dữ liệu người dùng không thể đọc được bởi nhà điều hành nền tảng, tin tặc, cơ quan thực thi pháp luật hoặc bất kỳ bên nào khác ngoài chủ tài khoản. Dịch vụ này—bao gồm cả các mô hình ngôn ngữ lớn và các thành phần phụ trợ—hoạt động hoàn toàn trên phần mềm mã nguồn mở mà người dùng có thể xác minh bằng mật mã.

Dữ liệu và các cuộc hội thoại bắt nguồn từ người dùng cũng như các phản hồi từ LLM đều được mã hóa trong môi trường thực thi đáng tin cậy (TEE), ngăn chặn ngay cả quản trị viên máy chủ xem trộm hoặc can thiệp vào chúng. Các cuộc hội thoại được Confer lưu trữ dưới dạng mã hóa tương tự, sử dụng khóa được lưu trữ an toàn trên thiết bị của người dùng.

Giống như Signal, cơ chế hoạt động bên trong của Confer được thiết kế tinh tế và đơn giản. Signal là công cụ bảo mật dành cho người dùng cuối đầu tiên giúp việc sử dụng trở nên dễ dàng. Trước đó, việc sử dụng email PGP hoặc các tùy chọn khác để thiết lập kênh mã hóa giữa hai người dùng là một quy trình rườm rà và dễ xảy ra lỗi. Signal đã phá vỡ khuôn mẫu đó. Quản lý khóa không còn là nhiệm vụ mà người dùng phải lo lắng nữa. Signal được thiết kế để ngăn chặn ngay cả những người điều hành nền tảng xem trộm tin nhắn hoặc xác định danh tính thực của người dùng.

“Bộ thu thập dữ liệu vốn có”

Tất cả các nền tảng lớn đều được yêu cầu phải chuyển giao dữ liệu người dùng cho cơ quan thực thi pháp luật hoặc các bên tư nhân trong một vụ kiện khi một trong hai bên đưa ra trát tòa hợp lệ. Ngay cả khi người dùng chọn không lưu trữ dữ liệu của họ lâu dài, các bên trong vụ kiện vẫn có thể buộc nền tảng phải lưu trữ dữ liệu đó, như trường hợp hồi tháng 5 năm ngoái khi tòa án ra lệnh cho OpenAI phải bảo lưu tất cả nhật ký của người dùng ChatGPT — bao gồm cả các cuộc trò chuyện đã bị xóa và các cuộc trò chuyện nhạy cảm được ghi lại thông qua dịch vụ API của họ. Sam Altman, Giám đốc điều hành của OpenAI, cho biết những phán quyết như vậy có nghĩa là ngay cả các phiên trị liệu tâm lý trên nền tảng cũng có thể không được giữ bí mật. Một ngoại lệ khác cho việc từ chối: các nền tảng AI như Google Gemini có thể cho phép con người đọc các cuộc trò chuyện .

Chuyên gia về bảo mật dữ liệu Em (cô ấy không công khai họ của mình trên mạng) gọi các trợ lý AI là "kẻ thù không đội trời chung" của bảo mật dữ liệu vì tính hữu dụng của chúng dựa trên việc thu thập một lượng lớn dữ liệu từ vô số nguồn, bao gồm cả cá nhân.

“Các mô hình AI vốn dĩ là những công cụ thu thập dữ liệu,” cô nói với Ars. “Chúng dựa vào việc thu thập lượng lớn dữ liệu để huấn luyện, cải tiến, vận hành và tùy chỉnh. Thông thường, dữ liệu này được thu thập mà không có sự đồng ý rõ ràng và có hiểu biết (từ những người tham gia huấn luyện không hề hay biết hoặc từ người dùng nền tảng), và được gửi đến và truy cập bởi một công ty tư nhân với nhiều động cơ để chia sẻ và kiếm tiền từ dữ liệu này.”

Theo Marlinspike, việc thiếu quyền kiểm soát của người dùng đặc biệt gây ra vấn đề do bản chất của các tương tác LLM. Người dùng thường coi đối thoại như một cuộc trò chuyện thân mật. Họ chia sẻ suy nghĩ, nỗi sợ hãi, sai lầm, giao dịch kinh doanh và những bí mật sâu kín nhất như thể trợ lý AI là những người bạn tâm giao đáng tin cậy hoặc nhật ký cá nhân. Các tương tác này khác biệt về cơ bản so với các truy vấn tìm kiếm web truyền thống, thường tuân theo mô hình giao dịch gồm từ khóa đầu vào và liên kết đầu ra.

Ông ví việc sử dụng AI giống như việc thú nhận vào một "hồ dữ liệu".

Tỉnh giấc khỏi cơn ác mộng mang tên bối cảnh AI hiện nay

Để giải quyết vấn đề này, Marlinspike đã phát triển và hiện đang thử nghiệm Confer . Tương tự như cách Signal sử dụng mã hóa để chỉ những người tham gia cuộc trò chuyện mới có thể đọc được tin nhắn, Confer bảo vệ các lời nhắc của người dùng, phản hồi của AI và tất cả dữ liệu có trong đó. Và cũng giống như Signal, không có cách nào để liên kết người dùng cá nhân với danh tính thực của họ thông qua địa chỉ email, địa chỉ IP hoặc các chi tiết khác.

“Bản chất của sự tương tác hoàn toàn khác biệt vì đó là sự tương tác riêng tư,” Marlinspike nói với Ars. “Thật thú vị, đáng khích lệ và tuyệt vời khi được nghe những câu chuyện từ những người đã sử dụng Confer và có những cuộc trò chuyện thay đổi cuộc đời, một phần vì họ không cảm thấy thoải mái khi chia sẻ thông tin trong những cuộc trò chuyện đó với các nguồn như ChatGPT hoặc họ có được những hiểu biết sâu sắc nhờ dữ liệu mà trước đây họ không thực sự được phép chia sẻ với ChatGPT nhưng giờ có thể chia sẻ được khi sử dụng một môi trường như Confer.”

Một trong những thành phần chính của mã hóa Confer là khóa mật khẩu . Tiêu chuẩn toàn ngành tạo ra một cặp khóa mã hóa 32 byte duy nhất cho mỗi dịch vụ mà người dùng đăng nhập. Khóa công khai được gửi đến máy chủ. Khóa riêng tư chỉ được lưu trữ trên thiết bị của người dùng, bên trong phần cứng lưu trữ được bảo vệ mà tin tặc (ngay cả những người có quyền truy cập vật lý) cũng không thể truy cập được. Khóa mật khẩu cung cấp xác thực hai yếu tố và có thể được cấu hình để đăng nhập vào tài khoản bằng dấu vân tay, quét khuôn mặt (cả hai đều được lưu trữ an toàn trên thiết bị) hoặc mã PIN hoặc mật mã mở khóa thiết bị.

Khóa riêng tư cho phép thiết bị đăng nhập vào Confer và mã hóa tất cả dữ liệu đầu vào và đầu ra bằng thuật toán mã hóa được cho là không thể phá vỡ. Điều này cho phép người dùng lưu trữ các cuộc hội thoại trên máy chủ Confer một cách an tâm rằng không ai khác ngoài họ có thể đọc được chúng. Việc lưu trữ cho phép các cuộc hội thoại được đồng bộ hóa trên các thiết bị khác mà người dùng sở hữu. Mã nguồn giúp tất cả điều này hoạt động đều có sẵn để bất kỳ ai cũng có thể xem xét. Nó trông như thế này:

  const assertion = await navigator.credentials.get({
    mediation: "optional",
    publicKey: {
      challenge: crypto.getRandomValues(new Uint8Array(32)),
      allowCredentials: [{ id: credId, type: "public-key" }],
      userVerification: "required",
      extensions: { prf: { eval: { first: new Uint8Array(salt) } } }
    }
  }) as PublicKeyCredential;

  const { prf } = assertion.getClientExtensionResults();
  const rawKey  = new Uint8Array(prf.results.first); 

 

Nguồn ảnh: Confer

 

Nguồn ảnh: Confer

Hệ thống mạnh mẽ bên trong này được hỗ trợ bởi giao diện người dùng (như trong hai hình ảnh phía trên) trông đơn giản đến bất ngờ. Chỉ với hai thao tác, người dùng đã đăng nhập và tất cả các cuộc trò chuyện trước đó được giải mã. Sau đó, các cuộc trò chuyện này có thể được truy cập trên bất kỳ thiết bị nào đã đăng nhập vào cùng một tài khoản. Bằng cách này, Confer có thể đồng bộ hóa các cuộc trò chuyện mà không ảnh hưởng đến quyền riêng tư. Dung lượng khóa lớn 32 byte cho phép khóa riêng tư thay đổi thường xuyên, một tính năng cho phép bảo mật chuyển tiếp , có nghĩa là trong trường hợp khóa bị xâm phạm, kẻ tấn công không thể đọc được các cuộc trò chuyện trước đó hoặc sau này.

Thành phần chính khác của Confer là TEE (Transformation Environment) trên các máy chủ nền tảng. TEE mã hóa tất cả dữ liệu và mã lệnh truyền qua CPU của máy chủ, bảo vệ chúng khỏi bị đọc hoặc sửa đổi bởi người có quyền truy cập quản trị vào máy. TEE của Confer cũng cung cấp xác thực từ xa. Xác thực từ xa là một chứng chỉ kỹ thuật số được máy chủ gửi đi, xác minh bằng mật mã rằng dữ liệu và phần mềm đang chạy bên trong TEE và liệt kê tất cả phần mềm đang chạy trên đó.