每天,数十亿条通过 Signal、Meta 的 WhatsApp 以及苹果消息应用发送的聊天信息,都受到端到端加密的保护。这项技术确保除了发送者和接收者之外,任何科技公司或第三方都无法窥探消息内容,过去十年间已成为主流。然而,随着生成式 AI 平台的爆炸性增长,人们每天也在与不支持端到端加密的 AI 聊天机器人交换数十亿条信息,这使得 AI 公司轻松访问用户对话内容。
这种设计是有意为之,因为平台通常希望利用尽可能多的用户数据来训练 AI 模型,且用户很难选择不让自己的信息被用作训练数据。但随着聊天机器人和 AI 代理能力的提升,一些技术专家和公司开始推动构建更受限制且注重隐私的系统。
Signal 创始人 Marlinspike 在周二发布的博客中提到,他正在与 Meta 合作,将其开发的 Confer 隐私技术整合到 Meta AI 中。他指出:“随着大型语言模型(LLM)能力的增强,更多数据将流入这些模型。目前,这些数据都不具备隐私保护,容易被 AI 公司、员工、黑客、法院传票和政府获取。未加密数据最终必然落入错误之手。”
Marlinspike 强调,Confer 项目自今年初推出以来,将继续独立于 Meta 运营。该项目旨在提供一种技术,让用户既能享受 AI 的强大功能,又能拥有加密对话的完整隐私保护。
2016 年,Marlinspike 曾与 Meta 旗下 WhatsApp 合作,向超过十亿账户同时推出端到端加密。去年,WhatsApp 在应用中引入了 Meta AI 聊天机器人,但该机器人并未像个人聊天那样对公司隐藏信息。
WhatsApp 负责人 Will Cathcart 在社交平台 X 上表示:“人们以极其私密的方式使用 AI,涉及机密信息。我们必须以赋予用户隐私控制权的方式构建这项技术。”
加密 AI 的采用仍处于起步阶段。传统数字通信的端到端加密方案难以直接应用于生成式 AI 的数据保护。Confer 作为新项目,Marlinspike 并未透露与 Meta 合作的具体细节或整合目标。
纽约大学密码学研究员 Mallory Knodel 认为,为使用 Meta AI 的聊天机器人提供机密性和隐私保护非常重要,这意味着 Meta 无法访问 AI 聊天数据用于训练。她希望更多 AI 聊天机器人采纳此类方案。
Knodel 对 Confer 的初步评估显示,该平台虽不完美,但为构建私密 AI 聊天机器人提供了重要示范。加密专家、加密货币平台 Taurus 首席安全官 JP Aumasson 也持类似看法,称 Confer 是目前最好的私密 AI 解决方案,尽管缺乏架构、威胁模型和供应链的文档,但 Marlinspike 经验丰富,值得信赖。
为 AI 平台开发加密方案极具挑战,目前大部分隐私工作集中在开放源代码模型或在 AI 公司与终端用户之间构建隐私层。Marlinspike 指出,Confer 基于开放权重模型构建,虽然用户喜欢其多样化功能,但部分用户希望获得专有模型的前沿能力。
与 Meta 的合作让 Marlinspike 有机会直接接触封闭模型。他表示:“Meta 正在打造先进的前沿模型,这将把世界上最私密的 AI 聊天技术与最强大的 AI 模型结合起来。”
无论该项目最终是否能实现所有目标,研究人员均认为这次合作意义重大。Taurus 的 Aumasson 说:“Marlinspike 提出的使用可信计算的方案非常合理,这一概念至少可以追溯到 1990 年代。其基本假设和限制都很清楚。虽然不完美,但对大多数用户来说足够用。挑战在于支持与 Anthropic、谷歌和 OpenAI 最新前沿模型同样优秀的模型。”
