机密 AI

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

在生成 AI 的最新进展之前，AI 已经塑造了多个行业，如金融、广告、制造业和医疗保健。 生成 AI 模型有可能对社会产生更大的影响。 Microsoft 一直走在定义 负责任 AI 原则的最 前沿，以充当负责任使用 AI 技术的护栏。 机密计算和机密 AI 是在负责任 AI 工具箱中启用安全和隐私的关键工具。

机密 AI 是一组基于硬件的技术，可在整个 AI 生命周期（包括数据和模型使用时）对数据和模型提供加密验证保护。 机密 AI 技术包括支持创建受信任执行环境的通用 CPU 和 GPU 等加速器， (TEE) ，以及支持数据收集、预处理、训练和部署 AI 模型的服务。 机密 AI 还提供用于在 AI 部署中增强信任、透明度和问责制的工具。

机密 AI 解决了跨越整个 AI 生命周期的多个方案。

机密培训。 机密 AI 在训练期间保护训练数据、模型体系结构和模型权重，防止高级攻击者（如流氓管理员和预览体验成员）攻击。 在模型训练需要大量资源且/或涉及敏感模型 IP 的情况下，即使训练数据是公开的，仅保护权重至关重要。 通过机密训练，模型生成器可以确保模型权重和中间数据（如训练期间节点之间交换的检查点和渐变更新）在 TEE 外部不可见。

机密微调。 通常使用特定于域的专用数据微调通用 AI 模型，以提高特定任务的精度。 例如，金融组织可以使用专有财务数据微调现有语言模型。 机密 AI 可用于在微调期间保护专有数据和已训练的模型。

机密多方培训。 机密 AI 支持一类新的 多方训练方案。 组织可以协作训练模型，而无需相互公开其模型或数据，并强制实施参与者之间共享结果的策略。

机密联合学习。 建议将联合学习作为集中/分布式训练的替代方法，用于无法聚合训练数据的情况，例如，由于数据驻留要求或安全问题。 与联合学习结合使用时，机密计算可以提供更强的安全性和隐私性。 例如，通过在 TEE 中托管中央聚合器，可以保护每个客户端生成的渐变更新免受模型生成器的侵占。 同样，模型开发人员可以通过要求客户端在 TEE 中运行其训练管道来建立对训练模型的信任。 这可确保每个客户端对模型的贡献都已使用有效的预认证过程生成，而无需访问客户端的数据。

机密推理。 典型的模型部署涉及多个参与者。 模型开发人员关心的是保护其模型 IP 免受服务运营商和云服务提供商的危害。 与模型交互的客户端（例如，通过向生成 AI 模型发送可能包含敏感数据的提示）担心隐私和潜在的滥用。 机密推理支持对模型 IP 的可验证保护，同时保护来自模型开发人员、服务运营和云提供商的请求和响应。 例如，机密 AI 可用于提供可验证的证据，证明请求仅用于特定的推理任务，并且响应通过 TEE 中终止的安全连接返回给请求的发起方。

借助 Azure 机密计算，客户和合作伙伴正在构建适用于许多用例的机密 AI 解决方案。

语音和人脸识别。 用于语音识别和人脸识别的模型在包含敏感数据的音频和视频流上运行。 在某些情况下，例如在公共场所进行监视，同意作为满足隐私要求的手段可能不切实际。 机密 AI 允许数据处理者训练模型并实时运行推理，同时最大程度地降低数据泄露的风险。

反洗钱/欺诈检测。 机密 AI 允许多个银行在云中合并数据集，以训练更准确的 AML 模型，而无需公开其客户的个人数据。 使用组合数据集训练的模型可以检测一个用户在多个银行之间的资金流动，而银行无需访问彼此的数据。 通过机密 AI，这些金融机构可以提高欺诈检测率并减少误报。

辅助诊断和预测性医疗保健。 开发诊断和预测性医疗保健模型需要访问高度敏感的医疗保健数据。 访问此类数据集既昂贵又耗时。 机密 AI 可以解锁此类数据集中的价值，使 AI 模型能够使用敏感数据进行训练，同时在整个生命周期内保护数据集和模型。

AI 模型的有效性取决于数据的质量和数量。 虽然使用公开提供的数据集训练模型取得了很大进展，但使模型能够准确执行复杂的咨询任务（如医疗诊断、财务风险评估或业务分析），需要在训练和推理期间访问私有数据。

有许多保护隐私的技术可以保护专用数据，这些技术可以保护正在使用的数据。 例如，可以在共享之前清理和取消标识数据。 但是，单单去识别就已证明是脆弱的，在某些情况下可能会降低效用。 其他方法（如完全同态加密 (FHE) 和安全多方计算 (MPC) ）可能会限制表达能力或引入显著的性能开销。

机密计算可以解锁对敏感数据集的访问，同时以较低的开销满足安全性和合规性问题。 借助机密计算，数据提供程序可以授权将其数据集用于通过证明) (验证的特定任务，例如训练或微调商定的模型，同时保护数据。 机密训练可与差异隐私相结合，通过推理进一步减少训练数据的泄露。 模型生成器可以使用机密计算生成不可否认的数据和模型来源记录，使其模型更加透明。 客户端可以使用远程证明来验证推理服务是否仅根据声明的数据使用策略使用推理请求。

Azure 已提供最先进的产品/服务来保护数据和 AI 工作负载。 可以使用以下 Azure 机密计算平台产品/服务进一步增强工作负载的安全状况。

SNP 和 TDX上的机密 VM (受限预览版) 。 基于 CPU 的 AI 工作负载（例如，数据预处理以及较小模型的训练和推理）可以使用基于 SNP 和 TDX 的机密 VM 来保护正在使用的敏感代码和数据。

ACI 上的机密容器。 ACI 上的机密容器是在 Azure 上部署容器化工作负载的另一种方法。 除了保护云管理员之外，机密容器还使用容器策略提供租户管理员和强完整性属性的保护。 这使它们非常适合低信任的多方协作方案。 有关基于未修改的 NVIDIA Triton 推理服务器演示机密推理的示例，请参阅 此处 。

对于依赖于 GPU 的 AI 工作负载，Microsoft 和 NVIDIA 正在协作，将机密计算引入 NVIDIA GPU。 基于 AMD SEV-SNP 和 A100 GPU 的 Azure 机密 GPU VM 目前处于有限的预览状态。

使用在 Azure 机密计算平台之上构建机密 AI 解决方案的合作伙伴。

Anjuna 提供了一个机密计算平台，使各种用例可供组织在不公开敏感信息的情况下开发机器学习模型。

Beekeeper AI 通过算法所有者和数据专员的安全协作平台实现医疗保健 AI。 BeeKeeperAI 在机密计算环境中对受保护数据的多机构源使用隐私保护分析。 该解决方案支持端到端加密、安全计算 enclave 以及 Intel 支持的最新 SGX 处理器来保护数据和算法 IP。

Fortanix 提供了一个可启用机密 AI 的机密计算平台，包括多个组织共同协作进行多方分析。

Mithril Security 提供的工具可帮助 SaaS 供应商在安全飞地内提供 AI 模型，并为数据所有者提供本地级别的安全性和控制。 数据所有者可以使用其 SaaS AI 解决方案，同时保持合规性并控制其数据。

Opaque 为协作分析和 AI 提供了一个机密计算平台，能够在端到端保护数据的同时执行分析，并使组织能够遵守法律和法规要求。