AI News HubLIVE
站內改寫2 分鐘閱讀

我們構建了一個連我們自己都無法讀取的AI聊天工具——以下是證明我們沒有撒謊的方法

Brianni是一款集成GPT、Claude和Gemini的AI聊天應用,其核心承諾是運營商無法讀取用户的對話內容。該系統通過客户端生成的加密密鑰、AWS Nitro Enclave硬件隔離和可驗證的遠程認證實現。用户可以通過可重現構建驗證服務器端運行的代碼是否與公開源碼一致,從而確保系統未被篡改。

來源Hacker News AI作者: iosazee

Brianni是一款集成了GPT、Claude和Gemini的AI聊天應用,其核心承諾是運營商無法讀取用户的對話內容。與許多公司僅僅口頭承諾“重視隱私”不同,Brianni設計了一套可驗證的架構,讓用户無需信任運營商的言辭,而是通過技術手段自行驗證。

該系統的關鍵在於加密密鑰完全由用户掌控。註冊時,用户設備會生成一個24詞的恢復短語,所有對話加密密鑰均由此衍生。服務器僅存儲加密後的數據,無法解密。即使數據庫被泄露,攻擊者也只能得到無意義的密文。

對話明文僅在會話期間短暫存在於AWS Nitro Enclave內。這是一種硬件隔離環境,無交互式訪問權限,甚至宿主機也無法進入。Enclave調用AI模型後,將回復重新加密並返回給用户,然後清空內存。API密鑰也僅存在於Enclave內,配置驗證器會阻止任何將其放置於主機的嘗試。

用户設備在每個會話前都會驗證Enclave的真實性。客户端生成隨機數並請求認證,Enclave返回由AWS硬件簽名的認證文檔,包含代碼測量值(PCR0)、隨機數和時間戳。客户端驗證簽名鏈,並將PCR0與客户端中固定的值對比。如果匹配失敗,會話將立即終止,無任何降級處理。

PCR0是Enclave鏡像的加密指紋,任何代碼變更都會導致其改變。目前固定的測量值為79dd3fefb84afcdbbbc5c5c02635e9513fafd562eacc7df8c3215b25ad26db60a635cfec792d65bddbe8766bed58d6bb。Brianni的Enclave代碼是開源的,並支持可重現構建:任何人使用相同的工具鏈都能生成字節一致的鏡像,從而得到相同的PCR0。這使用户能夠獨立驗證服務器端實際運行的代碼是否與公開源碼一致。

當然,可重現構建需要Nitro-capable的x86_64 EC2實例,但成本較低。用户只需克隆倉庫、運行構建腳本,並比較輸出的PCR0是否與聲明一致。如果不同,可能是可重現構建的bug(作者表示已修復過幾個),也可能是運營商在撒謊。無論是哪種情況,用户都發現了重要問題。

值得注意的是,某些配置文檔(如提供商/模型註冊表、技能提示等)未內置在鏡像中,但同樣通過離線簽名和版本控制防止篡改。這些文檔的簽名在Enclave內驗證,且其公鑰已內置在測量的鏡像中。

Brianni還公開了運營商能見到的數據:他們能看到郵箱、賬單狀態、使用時間等元數據,但無法看到對話明文、存儲的提示詞、恢復短語或加密密鑰。產品本身不包含任何分析、跟蹤器或指紋識別,CI門會在每次構建中檢查並拒絕任何跟蹤器特徵。

該服務通過訂閲模式盈利,提供免費試用、Pro(19.99美元/月)和Max(99美元/月)三個等級。無廣告,無數據變現——因為即使想變現,系統架構也無法實現。

總之,Brianni希望通過技術手段讓信任變得不必要:用户可以通過驗證代碼、重建Enclave、比較測量值來檢測運營商是否撒謊。這種可驗證的隱私保護模式,為AI聊天領域樹立了新的標準。