私有 AI 需要可验证路由

bgmshana · x · 2026-07-19

这条讨论“私有 AI”里一个常被忽略的问题:TLS 只能证明你连到了某个域名,**不能证明你的 prompt 最终被哪块 GPU、哪个模型镜像、哪个运行时处理**。 文中提到 dstack 到 Chutes 的路线:网关在转发前先检查目标 TEE 的 measurement,再把提示词加密发送到这个被测量过的执行环境。这样做的核心意义是,把“明文只在受批准环境中出现”变成一种可执行的路由策略。 作者也明确指出局限:远程证明并不能证明模型“诚实”,也不能消除侧信道;如果客户端验证的是错误或过期的 measurement,安全性也会失效。Chutes 文档对这一点很严格:`confidential_compute` 只是元数据,真正的密码学保证还得靠 DCAP 验证。

原文链接 →