AI News HubLIVE
站內改寫2 分鐘閱讀

我們構建了一個連我們自己都無法讀取的AI聊天工具——以下是證明我們沒有撒謊的方法

Brianni是一款整合GPT、Claude和Gemini的AI聊天應用,其核心承諾是運營商無法讀取使用者的對話內容。該系統透過客戶端生成的加密金鑰、AWS Nitro Enclave硬體隔離和可驗證的遠端認證實現。使用者可以透過可重現構建驗證伺服器端執行的程式碼是否與公開原始碼一致,從而確保系統未被篡改。

來源Hacker News AI作者: iosazee

Brianni是一款整合了GPT、Claude和Gemini的AI聊天應用,其核心承諾是運營商無法讀取使用者的對話內容。與許多公司僅僅口頭承諾“重視隱私”不同,Brianni設計了一套可驗證的架構,讓使用者無需信任運營商的言辭,而是透過技術手段自行驗證。

該系統的關鍵在於加密金鑰完全由使用者掌控。註冊時,使用者裝置會生成一個24詞的恢復短語,所有對話加密金鑰均由此衍生。伺服器僅儲存加密後的資料,無法解密。即使資料庫被洩露,攻擊者也只能得到無意義的密文。

對話明文僅在會話期間短暫存在於AWS Nitro Enclave內。這是一種硬體隔離環境,無互動式訪問許可權,甚至宿主機也無法進入。Enclave呼叫AI模型後,將回復重新加密並返回給使用者,然後清空記憶體。API金鑰也僅存在於Enclave內,配置驗證器會阻止任何將其放置於主機的嘗試。

使用者裝置在每個會話前都會驗證Enclave的真實性。客戶端生成隨機數並請求認證,Enclave返回由AWS硬體簽名的認證文件,包含程式碼測量值(PCR0)、隨機數和時間戳。客戶端驗證簽名鏈,並將PCR0與客戶端中固定的值對比。如果匹配失敗,會話將立即終止,無任何降級處理。

PCR0是Enclave映象的加密指紋,任何程式碼變更都會導致其改變。目前固定的測量值為79dd3fefb84afcdbbbc5c5c02635e9513fafd562eacc7df8c3215b25ad26db60a635cfec792d65bddbe8766bed58d6bb。Brianni的Enclave程式碼是開源的,並支援可重現構建:任何人使用相同的工具鏈都能生成位元組一致的映象,從而得到相同的PCR0。這使使用者能夠獨立驗證伺服器端實際執行的程式碼是否與公開原始碼一致。

當然,可重現構建需要Nitro-capable的x86_64 EC2例項,但成本較低。使用者只需克隆倉庫、執行構建指令碼,並比較輸出的PCR0是否與宣告一致。如果不同,可能是可重現構建的bug(作者表示已修復過幾個),也可能是運營商在撒謊。無論是哪種情況,使用者都發現了重要問題。

值得注意的是,某些配置文件(如提供商/模型登錄檔、技能提示等)未內建在映象中,但同樣透過離線簽名和版本控制防止篡改。這些文件的簽名在Enclave內驗證,且其公鑰已內建在測量的映象中。

Brianni還公開了運營商能見到的資料:他們能看到郵箱、賬單狀態、使用時間等後設資料,但無法看到對話明文、儲存的提示詞、恢復短語或加密金鑰。產品本身不包含任何分析、跟蹤器或指紋識別,CI門會在每次構建中檢查並拒絕任何跟蹤器特徵。

該服務透過訂閱模式盈利,提供免費試用、Pro(19.99美元/月)和Max(99美元/月)三個等級。無廣告,無資料變現——因為即使想變現,系統架構也無法實現。

總之,Brianni希望透過技術手段讓信任變得不必要:使用者可以透過驗證程式碼、重建Enclave、比較測量值來檢測運營商是否撒謊。這種可驗證的隱私保護模式,為AI聊天領域樹立了新的標準。