Warum KI vertrauliches Computing braucht, um sich zu befreien

Während die Zeitleiste den neuesten astronomischen Deal bewundert, den ein KI-Ingenieur erhalten hat, um das Team zu wechseln, übersieht sie den tieferen Trend, dass die gesamte KI-Branche von Unternehmen geschluckt wird, die jahrzehntelang den Überwachungskapitalismus perfektioniert haben.

Die gleichen Firmen, die Ihre Suchanfragen, Nachrichten und Fotos in Profitcenter verwandelt haben, kontrollieren zunehmend die Modelle, die unsere medizinischen Diagnosen, Finanzsysteme und persönlichen Assistenten steuern.

Das sollte uns erschrecken: Jede Eingabe, die Sie tippen, jede Frage, die Sie stellen, jedes Stück Daten, das Sie über diese KI-Systeme verarbeiten, ist für diese Unternehmen sichtbar. Unsere Geschäftsstrategien, Gesundheitsprobleme, persönlichen Probleme - all das fließt unverschlüsselt durch ihre Server, während es verarbeitet wird. Wir vertrauen Unternehmen, die dieses Vertrauen wiederholt missbraucht haben.

Wir brauchen KI, die wirklich privat ist. Und wir brauchen sie jetzt.

Der Kernbedarf: Berechnungen mit verschlüsselten Daten

Die Kryptowelt hat uns gelehrt, anders über Vertrauen zu denken. "Nicht vertrauen, sondern überprüfen" wurde zu unserem Mantra. Aber KI hat ein grundlegendes Problem, das dies fast unmöglich macht.

Die heutige Verschlüsselung funktioniert hervorragend, wenn die Daten stillstehen oder sich zwischen Servern bewegen. Unsere Nachrichten an Ärzte sind verschlüsselt. Unsere Banktransaktionen sind verschlüsselt. Aber in dem Moment, in dem etwas mit diesen Daten gemacht werden muss, müssen sie entschlüsselt werden. Unsere sensibelsten Informationen werden genau in dem Moment, in dem es am wichtigsten ist, nackt und verletzlich.

Stellen Sie sich vor, Sie erzählen Ihre tiefsten Geheimnisse einem Therapeuten, der sie in einen überfüllten Raum schreien muss, bevor er antwortet. Das ist im Grunde das, was passiert, wenn wir heute KI einsetzen.

Es gibt eine elegante Lösung: vertrauliche Datenverarbeitung, bei der die Daten die ganze Zeit über verschlüsselt bleiben - sogar während der Verarbeitung. Diese Magie geschieht durch vertrauenswürdige Ausführungsumgebungen (TEEs): spezielle Zonen in der Hardware, die eine undurchdringliche Blase sowohl um den Code als auch um die ausgeführten Daten bilden.

TEEs und GPU-Datenschutz: Vertrauliche Datenverarbeitung im großen Maßstab

Stellen Sie sich ein TEE als eine Blackbox im Inneren Ihres Computerchips vor. Selbst wenn jemand die vollständige Kontrolle über die Maschine hat - selbst wenn es sich um den Cloud-Anbieter oder den Systemadministrator handelt - kann er nicht in diese Box hineinsehen. Die Daten gehen verschlüsselt ein, werden im Geheimen verarbeitet und kommen verschlüsselt wieder heraus. Wenn Sie ein iPhone besitzen, haben Sie bei der Verifizierung biometrischer Daten täglich mit TEEs zu tun.

Jahrelang waren TEEs auf CPUs (die "Gehirne" von Computern, die Anweisungen ausführen und Programme starten) beschränkt, was sie für ernsthafte KI-Arbeiten zu langsam machte. Die Ausführung eines großen Sprachmodells auf CPU-basierten TEEs war wie der Versuch, Netflix über eine Einwahlverbindung zu streamen. Jetzt aber laufen TEEs auf GPUs und machen es möglich, KI-Modelle in vollem Umfang mit kugelsicherem Datenschutz und fast ohne Leistungseinbußen auszuführen.

Und so funktioniert es:

1. Sie übermitteln eine Eingabeaufforderung oder eine Datenabfrage, die sofort mit Schlüsseln verschlüsselt wird, die nur Sie kontrollieren. Diese verschlüsselte Eingabe wird an eine sichere Rechenanlage gesendet, die aus zwei Teilen besteht: einer CPU und einem Grafikprozessor, die beide über eigene TEEs verfügen.
2. Die CPU verwendet ihr TEE, um eine gesperrte virtuelle Maschine auszuführen und eine kryptografische Prüfung durchzuführen, die beweist, dass die Softwareumgebung sauber und vertrauenswürdig ist.
3. Anschließend werden die verschlüsselten Daten an das TEE einer GPU weitergeleitet, wo das Modell Ihre Abfrage verarbeitet, während es vor dem Betriebssystem, dem Cloud-Anbieter und sogar vor physischen Angreifern verborgen bleibt.
4. Schließlich wird das Ergebnis verschlüsselt und zurückgesendet. Nur Sie können es entschlüsseln und lesen.

Für die meisten realen KI-Anwendungen bieten TEEs heute das beste Gleichgewicht aus Sicherheit und Benutzerfreundlichkeit. Allerdings sind sie auf das Vertrauen der Hardwarehersteller in diese sicheren Enklaven angewiesen, und Sicherheitsforscher haben in der Vergangenheit Schwachstellen gefunden.

Kryptografische Alternativen wie zkML versprechen noch stärkere Garantien, erweisen sich aber als deutlich langsamer und schwieriger zu skalieren. Es ist, als würde man sich zwischen einem Sportwagen mit guten, aber nicht perfekten Bremsen und einem Panzer entscheiden, der maximal 5 km/h schnell ist.

TEEs können jedoch mit anderen Technologien zur Verbesserung des Datenschutzes (Privacy Enhancing Technologies, PETs) kombiniert werden, um die Sicherheit je nach den Anforderungen einer Anwendung zu erhöhen.

Krypto's Privacy Tech Wave auf Bankless

Eine Reihe von Technologien zur Verbesserung des Datenschutzes (PETs) finden schnell ihren Weg in neue Kryptoanwendungen. Das ist eine sehr gute Sache.

BanklessDavidC 25. Juni 2025 - 6 Minuten gelesen

Wer baut private KI mit TEEs?

Die Pioniere sind bereits da und bauen die Infrastruktur für eine privatere Zukunft auf. Dazu gehören:

• iExec - Eine dezentralisierte Plattform für KI und DePIN, die es Entwicklern ermöglicht, Apps privat und sicher mit TEEs auszuführen. Die Entwickler können das Toolkit verwenden (einschließlich eines App-Builders) verwenden, um datenschutzfreundliche Software in gängigen Sprachen wie Rust und JavaScript zu erstellen, und mit ihren Daten, Modellen oder Rechenressourcen unter Verwendung ihres RLC-Tokens verdienen.
• Oasis - Eine Layer-1-Blockchain für privates Onchain-Computing durch "vertrauliche ParaTimes", spezielle Zonen, in denen Daten sicher mit TEEs verarbeitet werden. In diesen Zonen können private KI-Aufgaben wie Trading Bots (WT3, zum Beispiel) oder Kreditwürdigkeitsprüfungen durchführen, wobei die Ergebnisse onchain überprüfbar sind.
• Nillion - Ein datenschutzfreundliches Netzwerk, das als "blinder Computer" bezeichnet wird und die Daten während des gesamten Berechnungsprozesses schützt. Nillion erreicht dies durch eine Mischung aus TEEs, gemeinsamer Nutzung von Geheimnissen und Mehrparteienberechnungen, die jeweils je nach den Anforderungen eines bestimmten Anwendungsfalls aufgerufen werden können. Seine Architektur trennt den Ort, an dem Daten gespeichert werden, von dem Ort, an dem sie verarbeitet werden, so dass keine Partei das gesamte Bild sieht - was eine private Zusammenarbeit über KI-Anwendungen hinweg ermöglicht.
• Phala Network - Ein dezentralisiertes Computernetzwerk, das TEEs verwendet, um KI-Aufgaben vor der Öffentlichkeit zu schützen und den Nutzern vertrauliche Datenverarbeitung zu ermöglichen. Sie können eine Version des vertraulichen Computernetzwerks über eine Instanz von DeepSeek. Phala ist auch Partnerschaften mit einer Reihe von Projekten wie NearAI, Newton und Vana eingegangen. Mit NearAI hat Phala ein Private ML SDK für vertrauliches Computing, das neben den übrigen Toolkits des Unternehmens existiert.
• Atoma - Ein dezentralisiertes KI-Netzwerk, das auf Sui aufbaut und sich auf private, überprüfbare Modellinferenz mit GPU-basierte TEEs. Es verbindet Nutzer mit GPU-Anbietern über einen Marktplatz und ermöglicht so private und überprüfbare KI-Inferenz. Sie können die vertrauliche Version von DeepSeek hier ausprobieren.

Derzeit haben die meisten Menschen keine Ahnung, wohin ihre KI-Eingaben gehen oder was mit ihnen geschieht. Sie können nicht sicher sein, dass ihre Daten nicht gespeichert, analysiert oder zum Trainieren künftiger Modelle verwendet werden. Sie sind blind und vertrauen auf Versprechen von Unternehmen, die diese Versprechen schon einmal gebrochen haben.

Wenn es um künstliche Intelligenz geht, riskieren wir ohne Datenschutz den Aufbau der ausgefeiltesten Überwachungsinfrastruktur in der Geschichte der Menschheit.

TEEs bieten einen echten, funktionierenden Weg zu verschlüsselter Inferenz mit minimalen Kompromissen. Sie sind nicht perfekt - keine Sicherheitstechnologie ist es - aber sie sind der praktischste Weg, um KI heute in Richtung Datenschutz zu bringen. In Kombination mit einer dezentralen Infrastruktur bieten sie skalierbare, brauchbare Lösungen, die bereits jetzt verfügbar sind.

Ich betone dies, um zu zeigen, dass es bessere Wege gibt. Die Kryptografie gibt uns Werkzeuge an die Hand, um die Kontrolle über diese wirklich transformative Technologie von denjenigen zurückzuerobern, die dem Wachstum Vorrang vor der Privatsphäre der Nutzer einräumen. Diese Alternativen zu unterstützen - oder zumindest zu verstehen, was möglich ist - ist wichtiger, als wir vielleicht denken.

Die Infrastruktur für private KI ist kein ferner Traum. Sie ist da und wird von Teams aufgebaut, die der Meinung sind, dass Ihre Gedanken Ihre eigenen bleiben sollten. Die Frage ist nur, ob wir sie nutzen werden. Ich für meinen Teil werde es tun.