Нам говорят, что AI безопасен. Confer — первый случай, когда это почти правда

Если вы хотите пользоваться LLM, но при этом вам важна приватность данных, то до недавнего времени у вас, по сути, был один вариант — поднимать локально собственную языковую модель.

Ситуация меняется. Создатель мессенджера Signal, Мокси Марлинспайк, запускает приватный AI‑сервис Confer с основным фокусом на конфиденциальность и безопасность данных.

Можно ли считать Confer действительно безопасным AI‑сервисом или перед нами очередной маркетинговый нарратив? Разберёмся в рамках этой статьи.

Для тех, кому лень читать — да, можно. Но, как это часто бывает в вопросах безопасности, с оговорками. В отличие от ранее рассматриваемых мною аналогов, здесь компромисс смещён в сторону безопасности: без подписки за $35 пользователю доступно всего 20 сообщений боту в сутки.

Известно, что высокий уровень безопасности редко сочетается с удобством. При этом такой подход выглядит несколько непривычно на фоне философии Signal, где долгое время удавалось удерживать баланс между usability и приватностью. Впрочем, бизнес‑модель продукта выходит за рамки данного обзора.

Перейдём к технической части и разберём архитектуру Confer.

Архитектура и устройство системы

Проект Confer является open source. Репозиторий описывает процесс сборки минимального, побайтово воспроизводимого Linux‑образа, оптимизированного для запуска LLM‑инференса внутри Trusted Execution Environment (TEE).

Структура репозитория выглядит следующим образом:

confer-image repository ├── flake.nix (Nix — декларативное описание) ├── mkosi.conf (mkosi — конфигурация OS‑образа) ├── mkosi.images/ (подобразы) │ ├── kernel/ │ ├── initrd/ │ └── rootfs/ ├── content/ (файлы для образа) └── scripts/ (вспомогательные скрипты)

Ключевые компоненты:

1. Nix — функциональный пакетный менеджер, работающий как чистая функция: одинаковые входные данные всегда дают одинаковый результат. Это позволяет исключить фактор доверия к CI‑pipeline Confer — любой желающий может пересобрать образ локально и проверить совпадение хэшей.

2. mkosi — инструмент из systemd‑экосистемы для сборки disk images.

3. Внутри образа используется минимальное Linux‑окружение, без лишних компонентов.

Модель безопасности Confer

Безопасность сервиса построена на трёх независимых уровнях:

1. Клиентское шифрование (End‑to‑End)

Сообщения шифруются на устройстве пользователя до отправки на сервер с использованием WebAuthn passkeys. Ключ шифрования не передаётся и не покидает устройство пользователя.

2. Confidential Computing и TEE

LLM‑инференс выполняется внутри Trusted Execution Environment (TEE) — изолированной аппаратной среды (Intel SGX или AMD SEV), которая защищает память и вычисления даже от операционной системы и администратора сервера.

Процесс обработки выглядит следующим образом:

• зашифрованные промпты передаются в TEE через протокол Noise Pipes;

• расшифровка происходит только внутри TEE;

• модель генерирует ответ;

• результат повторно шифруется и покидает TEE;

• host‑система видит только зашифрованные данные и не имеет доступа к plaintext.

Используемая LLM полностью stateless: она не хранит состояние между запросами и не сохраняет данные. По сути, модель работает как чистая функция «вход → выход», что является ограничением и требованием среды TEE.

3. Верификация кода и attestation

Ключевой вопрос — как пользователь может убедиться, что внутри TEE запущен именно заявленный код, без модификаций и бэкдоров.

Для этого Confer использует комбинацию трёх механизмов:

Процесс подключения клиента к Confer:

1. Инициация Noise‑handshake с inference‑endpoint.

2. Получение attestation quote от TEE.

3. Проверка подписи quote.

4. Извлечение measurements (хэшей кода).

5. Сверка хэшей с transparency log.

6. Установление зашифрованного канала с TEE.

7. Дальнейший обмен данными с использованием ephemeral‑ключей и forward secrecy.

Риски

Основная система безопасности Confer опирается на Trusted Execution Environments — специализированные изолированные среды внутри процессора сервера. Однако у такой архитектуры существуют принципиальные ограничения и известные классы атак.

В октябре 2025 года исследователи из Georgia Tech и Purdue University продемонстрировали атаку TEE.Fail, позволяющую извлекать криптографические ключи из TEE на процессорах Intel (SGX, TDX) и AMD (SEV-SNP). Для реализации атаки требуется физический доступ к серверу и оборудование стоимостью менее $1 000. Метод основан на перехвате трафика DDR5-памяти и анализе данных, передаваемых между процессором и оперативной памятью, включая данные, используемые для аттестации — именно на них Confer опирается при проверке целостности среды выполнения.

Проблемы дистанционной аттестации

Еще момент: Confer активно использует remote attestation — механизм удалённого подтверждения того, что внутри TEE запущен корректный и неизменённый код. Однако атаки класса TEE.Fail подрывают эту модель: получив ключи аттестации, атакующий может подделывать успешный результат проверки и убеждать клиента в корректности окружения, даже если оно уже скомпрометировано.

Ну и будем реалистичны, большинство не будет самостоятельно проверять криптографические доказательства аттестации и сверять measurements с transparency log. Это создаёт риск ложного чувства безопасности, когда сложная криптографическая модель формально присутствует, но фактически не проверяется конечным пользователем.

Выводы

Confer старается решить одну из фундаментальных проблем современных AI‑сервисов: в классической модели сервис имеет доступ ко всем пользовательским данным в plaintext и может логировать, анализировать или повторно использовать их.

В случае Confer:

• данные шифруются на стороне клиента;

• обработка выполняется в аппаратно изолированной среде;

• код, выполняющийся внутри TEE, может быть независимо верифицирован.

По совокупности архитектурных решений Confer выглядит одним из самых продвинутых и технически сложных подходов к приватности AI‑сервисов, доступных на рынке на данный момент.

Репозиторий confer‑image играет здесь ключевую роль — это открытый исходный код образа, который может быть пересобран и проверен любым заинтересованным пользователем.

При этом важно понимать, что абсолютно безопасных систем не существует — и Confer не является исключением. Архитектура TEE снижает риски, но не устраняет их полностью, особенно если рассматривать атаки на аппаратном уровне или человеческий фактор.

Тем не менее по меркам современных облачных AI‑сервисов Confer подходит максимально близко к модели, где провайдер технически лишён доступа к пользовательским данным. Это не идеальная безопасность, но я выражаю большое уважение создателям за то, что они делают для всей пока очень скромной индустрии privacy-first ИИ.

Если хотите почитать или подискутировать о безопасности, ai или обо всем сразу, прошу в мою телегу.