AI News HubLIVE
站内改写2 分钟阅读

我们构建了一个连我们自己都无法读取的AI聊天工具——以下是证明我们没有撒谎的方法

Brianni是一款集成GPT、Claude和Gemini的AI聊天应用,其核心承诺是运营商无法读取用户的对话内容。该系统通过客户端生成的加密密钥、AWS Nitro Enclave硬件隔离和可验证的远程认证实现。用户可以通过可重现构建验证服务器端运行的代码是否与公开源码一致,从而确保系统未被篡改。

来源Hacker News AI作者: iosazee

Brianni是一款集成了GPT、Claude和Gemini的AI聊天应用,其核心承诺是运营商无法读取用户的对话内容。与许多公司仅仅口头承诺“重视隐私”不同,Brianni设计了一套可验证的架构,让用户无需信任运营商的言辞,而是通过技术手段自行验证。

该系统的关键在于加密密钥完全由用户掌控。注册时,用户设备会生成一个24词的恢复短语,所有对话加密密钥均由此衍生。服务器仅存储加密后的数据,无法解密。即使数据库被泄露,攻击者也只能得到无意义的密文。

对话明文仅在会话期间短暂存在于AWS Nitro Enclave内。这是一种硬件隔离环境,无交互式访问权限,甚至宿主机也无法进入。Enclave调用AI模型后,将回复重新加密并返回给用户,然后清空内存。API密钥也仅存在于Enclave内,配置验证器会阻止任何将其放置于主机的尝试。

用户设备在每个会话前都会验证Enclave的真实性。客户端生成随机数并请求认证,Enclave返回由AWS硬件签名的认证文档,包含代码测量值(PCR0)、随机数和时间戳。客户端验证签名链,并将PCR0与客户端中固定的值对比。如果匹配失败,会话将立即终止,无任何降级处理。

PCR0是Enclave镜像的加密指纹,任何代码变更都会导致其改变。目前固定的测量值为79dd3fefb84afcdbbbc5c5c02635e9513fafd562eacc7df8c3215b25ad26db60a635cfec792d65bddbe8766bed58d6bb。Brianni的Enclave代码是开源的,并支持可重现构建:任何人使用相同的工具链都能生成字节一致的镜像,从而得到相同的PCR0。这使用户能够独立验证服务器端实际运行的代码是否与公开源码一致。

当然,可重现构建需要Nitro-capable的x86_64 EC2实例,但成本较低。用户只需克隆仓库、运行构建脚本,并比较输出的PCR0是否与声明一致。如果不同,可能是可重现构建的bug(作者表示已修复过几个),也可能是运营商在撒谎。无论是哪种情况,用户都发现了重要问题。

值得注意的是,某些配置文档(如提供商/模型注册表、技能提示等)未内置在镜像中,但同样通过离线签名和版本控制防止篡改。这些文档的签名在Enclave内验证,且其公钥已内置在测量的镜像中。

Brianni还公开了运营商能见到的数据:他们能看到邮箱、账单状态、使用时间等元数据,但无法看到对话明文、存储的提示词、恢复短语或加密密钥。产品本身不包含任何分析、跟踪器或指纹识别,CI门会在每次构建中检查并拒绝任何跟踪器特征。

该服务通过订阅模式盈利,提供免费试用、Pro(19.99美元/月)和Max(99美元/月)三个等级。无广告,无数据变现——因为即使想变现,系统架构也无法实现。

总之,Brianni希望通过技术手段让信任变得不必要:用户可以通过验证代码、重建Enclave、比较测量值来检测运营商是否撒谎。这种可验证的隐私保护模式,为AI聊天领域树立了新的标准。