新聞中心

探索採用自主 AI 和 NVIDIA 機密計算的超級協議案例 NEWS DETAIL

當前位置:首頁 > 新聞中心
資訊分類 · 新聞中心 發佈時間 · 2025-01-22

機密和自主的 AI 是一種新的 AI 開發、訓練和推理方法,其中用戶的資料是去中心化的、私有的,並由用戶自己控制。本文將探討如何通過使用區塊鏈技術的去中心化來擴展 Confidential Computing(CC)的功能。

通過使用個人 AI 智能體,可以非常清楚地看到所解決的問題。這些服務可幫助用戶完成許多任務,包括撰寫電子郵件、準備報稅和查看醫療記錄。毋庸置疑,所處理的資料是敏感的個人資料。

在集中式系統中,這些資料由人工智慧服務提供商在雲中處理,通常不透明。當用戶的資料離開設備時,他們將失去對自己資料的控制,而這些資料可能會被用於訓練、洩露、出售或以其他方式被誤用。屆時無法追蹤個人資料。

這種信任問題阻礙了 AI 行業發展的某些特定方面,尤其是對於尚未獲得聲譽或證據來支援其真實意圖的初創公司和 AI 開發者而言。機密且自主的 AI 雲可為必須保護資料並確保資料主權的客戶提供解決方案。

解決自主 AI 雲需求 

Super Protocol 基於機密性、去中心化和自主原則,構建了一個同名的 AI 雲和市場。在 Super Protocol 雲中,機密計算技術在執行期間保護資料,而基於區塊鏈的去中心化網路則提供所有流程的編排、透明度和可驗證性。

NVIDIA Confidential Computing 使用 CPU 和 NVIDIA GPU 來保護使用中的資料,使惡意行為者以及主機所有者無法查看和訪問這些資料。

NVIDIA Hopper 架構 引入了 機密計算 能力,而 NVIDIA Blackwell 架構 增強了其性能,幾乎與大語言模型 (LLMs) 的未加密模式相同。

用例:在 Super Protocol 中微調和部署 AI 智能體即服務


The diagram lists developers of AI services who fulfill orders and take payment from model developers, dataset owners, and providers of CC resources. In turn, those participants provide services and take payment from the end users of AI services.
圖 1. 超級協議生態系統的主要參與者


以下是一個實際用例:AI 開發者希望通過從 Super Protocol AI Marketplace 租賃預訓練的基礎模型,並針對涉及處理最終用戶隱私和敏感資料的特定用途微調新層,來啓動商業 AI 代理服務。

預訓練模型是專有的,不可下載,只能在其所有者設置的特定條件下租用。微調可能包括各種方法,例如知識蒸餾、低秩適應(LoRA)、檢索增強生成(RAG),以及不改變基礎模型結構和權重的其他方法。

上傳和發佈 

作為先決條件,基礎模型的所有者將其預訓練模型上傳到其去中心化文件儲存(DFS)系統的帳戶,並在超級協議 AI 市場(圖 2 中步驟 1-3)上發佈了報價(模型的開放列表)。這使得模型能夠在預設條件下租用,在本用例中,預設條件是每小時使用一次的費用。

現在,作為 AI 開發者,您可以安全地將資料集上傳到您的帳戶中(圖 2 中的步驟 4-5)。這些是私有資料集,用於微調基礎模型。


Diagram shows the process starting with the base model owner uploading the pretrained model and creating an offer. The AI Marketplace uploads and encrypts the pretrained model, then writes the offer to blockchain. The AI developer uploads datasets to the DFS system and the AI Marketplace uploads and encrypts the datasets.
圖 2. 將基礎模型和微調資料集上傳到分布式文件系統 (DFS)


以下是參與此步驟序列的組件和服務:

  • DFS: 去中心化文件儲存 是諸如 Filecoin 和 Storj 等對等網路,用於在去中心化文件系統中儲存和共享資料。由於 DFS 系統本身致力於自主原則,用戶對自己的資料和賬戶擁有完全的控制權。在通過 Web 界面或 CLI 上傳資料的過程中,資料會被存檔和加密。

  • AI Marketplace: AI Marketplace 是模型開發者、資料所有者和計算機資源(CC)提供商發佈的產品分類帳。它基於區塊鏈和智能合同,可通過 Web 界面或命令行界面(CLI)訪問。用於上傳和管理內容,以及創建和管理部署訂單和產品。

  • 區塊鏈: 基於多邊形的透明去中心化分類帳,可儲存供應商、報價和訂單的資訊。這些資訊包括描述、定價條件(免費、每小時、固定、收益分成)、系統要求以及各種使用規則和限制。該記錄是透明的,但不可更改。

  • 智能合同: 透明且去中心化的區塊鏈應用,可根據在優惠中指定的使用規則和限制來編排部署。

微調 

在 AI Marketplace 中,選擇適合未來 AI 服務用途的預訓練基礎模型。然後,創建部署順序,以便從 AI Marketplace 租用預訓練的基礎模型,並使用自己的資料集對其進行微調(圖 3 中的第 6 至第 7 步)。

然後,智能合約自動從機密計算雲中選擇一台或多台滿足模型微調要求的機器。執行控制器位於每台機器的 TEE 內的機密 VM 中,負責驗證順序、下載內容並將其發送給受信任的加載程序(圖 3 中的步驟 8-10)。

然後,受信任的加載程序會部署工作負載以執行。AI 訓練引擎會獲取基礎預訓練模型,並根據部署順序規格(圖 3 中步驟 11-12)使用資料集對其進行微調。

此過程可能會重復多次,直到您對結果感到滿意為止。新的微調層會上傳回您的 DFS 系統。我沒有在圖表中展示這些步驟,以避免不必要的視覺複雜性。

預訓練模型的所有者和計算機的所有者都可以按小時獲得產品和服務的報酬(圖 3 中的第 13 步)。


The diagram shows the steps for fine-tuning, including creating an order for model training, writing the offer to blockchain, and downloading the data from the DFS system.
圖 3、微調基礎預訓練模型


以下是參與這些步驟的組件和服務:

  • 機密計算雲

  • TEE

  • 機密虛擬機

  • 執行控制器

  • 可信加載程序

機密計算雲

機密計算雲 擁有分布在 CPU 和 NVIDIA H100 Tensor Core GPU 中啓用 CC 的強大機器集群。

由於 Super Protocol 是去中心化雲,因此沒有中央資料中心。相反,疊加網路將參與部署的容器連接到本地網路,確保工作負載的分配類似於集中式資料中心,同時遵循去中心化原則。模型和資料集的所有者可能會將其產品分銷限制在特定的 TEE 設備和地理位置上。

所有機器均由獨立提供商在網路上提供,與挖礦類似,但適用於有用的工作負載。這些機器由智能合約進行協調,供應商因提供資源而獲得網路獎勵。

共識機制可驗證網路上是否存在可接受訂單的計算機、其聲明的系統配置是否正確以及 TEE 是否有效,還可移除任何欺詐性或惡意計算提供商。

我們可以在多台機器上跨不同的 GPU 雲服務提供商(CSP)創建單個部署,從而提高未充分利用的 CSP 資源的利用率,提高穩定性和負載均衡能力,並提供更具競爭力的價格優惠。

容錯可確保,如果一台計算機離線,系統會自動訂購另一台計算機作為替代產品,整個部署將不間斷地繼續進行。


Diagram shows the AI Marketplace sending orders to blockchain and smart contracts, and the consensus and overlays between orders.
圖 4、超級協議雲中的機密計算機


TEE

可信執行環境 (TEE)是 CC 的一個關鍵組件,也是 RAM 中的一個保護區域,可在每台機器中執行實際工作負載。它專為每個部署順序創建,並使用會話密鑰進行加密。TEE 可以保護資料免受未經授權的第三方(包括主機所有者和 Super Protocol 團隊)的攻擊。

過去,傳統機密 VM 的 TEE 僅限於 CPU 及其分配的 RAM,而 NVIDIA CC 解決方案則擴展了 TEE,以包含 NVIDIA Hopper GPU。

配置為 CC 模式的 NVIDIA GPU 已激活基於硬體的加密引擎、防火牆和遠程認證流,以確保 TEE 的完整性,以便最終用戶可以確保並驗證其機密工作負載在 GPU 上使用時受到保護。

Hopper CC 使用 AES-GCM256 對 PCIe 總線上的所有用戶資料進行加密和簽名,並使用經簽名和可認證的固件配置的防火牆阻止基礎設施和帶外訪問。

NVIDIA 還提供公共遠程認證服務,以便最終用戶或依賴方可以獲得最新的證據,證明其驅動和固件未因錯誤或漏洞而被吊銷。

機密虛擬機

執行控制器、可信加載器和工作負載在每台參與計算的計算機上運行的是機密虛擬機。

執行控制器

執行控制器(EC)根據寫入區塊鏈的資源路徑從 DFS 系統下載資料。它根據智能合同和參與優惠的區塊鏈條件創建主部署順序。

可信加載程序

可信加載程序會建立一個安全的 CC 層,適用於單個機器或集成到計算集群中的機器網路。可信加載程序會在區塊鏈上發佈 TEE 確認塊 (TCB),即遠程認證報告,解密工作流文件,通過比較哈希值驗證其完整性,並創建執行工作負載。

此處的目標是確認訂單的完整性:機密性不允許訪問 TEE 內部,只能驗證輸入和輸出。


Diagram shows that the TEE report for the TCB contains the device ID, GPU report, confirmation application hash, and loader public key. The TCB also contains the TEE signatures and certificates.
圖 5、TCB 安全組件


生產啓動 

現在是生產啓動的時候了。步驟 14-19(圖 2-4)與上一階段類似。

主要區別始於步驟 20 (圖 5),其中部署的 AI 引擎具有 Web 界面,並支援多用戶交互和支付處理。它採用基礎預訓練模型,並使用新的微調層運行該模型。

此外,我們還部署了一系列機密隧道,以確保最終用戶能夠安全、穩定地訪問(圖 5 中的步驟 22-23)。我們為最終用戶提供訪問 AI 引擎 Web 界面的 URL。它也可以通過 Super Protocol 作為另一種解決方案的一部分啓動,但這是另一個用例。

最終用戶通過便捷的支付工具為 AI 代理服務付費,定價由開發者決定。

對於生產啓動,您需要訂購多台機器並行運行,以確保負載平衡和容錯。隧道伺服器應與隧道客戶端在單獨的機器上運行。


The diagram adds the end user to the previous diagrams, who views the AI engine interface through a browser.
圖 6. 生產發佈和商業化


  • AI 引擎 :用於部署的推理 AI 引擎。它具有用戶友好的 Web 界面,支援支付處理,並使用新的微調層執行預訓練模型。這些引擎是開源的,並通過 Super Protocol 驗證,以確保不會洩露資料。

  • 機密隧道:Super Protocol 開發了一項技術,使您能夠在 TEE 內以機密模式啓動隧道網路協議,其中隧道客戶端作為包含 AI 代理服務的 Web 服務運行。隧道伺服器提供外部的公共 IP 地址。

  • 支付工具: 一種開源服務,也可在 TEE 中運行,接受最終用戶的付款,並代表開發者使用 Payment tools。

AI 智能體即服務用例的結果 

在 Super Protocol 場景中微調和部署 AI 代理即服務可產生以下結果:

  • 開發者通過訓練新層為基礎模型添加新功能,並將其作為商業服務的機密 AI 代理髮布。

  • 基礎模型所有者使用其預訓練模型的每一小時都會獲得相應的費用。

  • CC 資源提供商按小時使用其機器獲得補償。

  • 最終用戶可以通過網路訪問有用的 AI 智能體,該智能體提供便捷的付款方式,並且確信其敏感資料不會洩露或用於模型訓練。

  • 超級協議雲可確保已部署的 AI 服務的容錯和去中心化。

安全性、透明度和可驗證性 

Super Protocol 通過流程完整性和組件的真實性實現安全性和透明度,這些組件可由獨立安全研究人員進行驗證:

  • 區塊鏈和智能合同透明

  • 由可信加載程序進行內容驗證

  • TCB 驗證

  • 開源驗證

  • AI 引擎開源驗證

  • E2E 加密

  • TEE 認證

  • 分布式機密

區塊鏈和智能合同透明 

所有區塊鏈記錄和智能合同都是不可更改的,對互聯網上的任何人都是透明的。報價、訂單和供應商可見,但匿名,並且部署訂單的內容是保密的。

由可信加載程序進行內容驗證 

部署順序的所有輸入資料(models、datasets 和 solutions)的完整性通過哈希和簽名的計算得到驗證,然後由可信加載程序在運行時驗證。

可信加載程序會向任何相關方提供運行時報告,以便獨立驗證報告中的哈希是否與所提供內容的哈希相匹配,以及是否未被篡改。

GPU 報告可直接與 NVIDIA 遠程認證雲服務 一起使用,以獨立驗證 GPU 的 CC 狀態。

TCB 驗證 

TCB 由 TCB 服務自動編寫在區塊鏈上。然而,任何人也可以手動驗證 TCB。這是通過驗證 TEE 設備簽名和設備本身是否真實,然後將 VM 鏡像的哈希值與 TCB 的哈希值進行比較來完成的。

可信加載程序的開源驗證 

完成測試網路階段後,執行控制器、可信加載器、隧道和其他 Super Protocol 中間件可在 GitHub 上以開源形式獲取。

模型和資料的所有者會在創建部署順序之前證明包含可信加載器密鑰的 TCB,然後傳輸機密以訪問其資料。如此一來,所有者便確信可信加載程序應用程序未被篡改,並且與官方開源版本完全相同。

AI 引擎開源驗證 

Super Protocol 中的所有 AI 引擎均以開源形式提供。這使安全研究人員能夠對其進行審計,以確定是否存在內置漏洞,例如資料洩露。

E2E 加密 

整個過程中都使用 E2E 加密。上傳到 DFS 系統的資料經過加密,並且僅在可信加載程序中解密。

TEE 認證 

要獲得機密環境的完整證明,可信加載程序首先會收到 NVIDIA GPU TEE 的簽名報告。該報告和可信加載器公鑰包含在通過遠程證明接收的常規 CPU TEE 報告中。

將由兩個相互關聯的認證報告組成的 TCB 寫入區塊鏈。Super Protocol 使用 NVIDIA 和 Intel 庫來驗證報告和證明、檢查可信加載程序哈希,然後驗證機密 VM 環境。

分布式機密 

它是 DFS 系統上的加密秘密庫,包含部署在 Super Protocol 上的解決方案生成的任何隱私或敏感用戶資料。

目標是確保解決方案開發者無法訪問儲存的資料。密鑰在受信任的加載程序之間生成和共享,而 vault 本身可由具有相同 solution hash 的不同部署實例訪問。

結束語 

歷史上,大多數 AI 模型都是開源的,任何人都可以自由使用和重復使用。然而,新興趨勢是模型和資料集正變得越來越專有

CC 和自主 AI 為您提供了保護和商業化您的工作的機會,並進一步激勵您提供安全、透明和可驗證的 AI 服務。尤其是在政府對 AI 行業日益嚴格審查的背景下,這一點尤為重要。