Moxie Marlinspike, de man achter chat-app Signal, richt zijn pijlen op een nieuw domein: kunstmatige intelligentie. Met zijn nieuwste project, AI-chatbot Confer, wil hij een einde maken aan het ‘data-meer’ waarin AI-gebruikers hun meest gevoelige informatie dumpen. De belofte die hij doet: een AI-ervaring bieden die technisch onmogelijk te bespioneren is.
De opkomst van Large Language Models (LLM’s) zoals ChatGPT en Google Gemini heeft een fundamenteel privacyprobleem blootgelegd. Gebruikers voeren vaak intieme gesprekken met AI-assistenten, variërend van zakelijke geheimen tot persoonlijke zorgen.
Bij de huidige partijen is die data zelden echt privé. Of het nu gaat om menselijke moderators die chats inzien, data die wordt gebruikt voor training of gerechtelijke bevelen die bedrijven dwingen logs te overhandigen: privacy is nooit helemaal gewaarborgd bij het gebruik van zo’n AI-systeem.
Van Encrypted Messaging naar Encrypted AI
Marlinspike wil met Confer dezelfde filosofie toepassen als bij de bekende chat-app Signal. Het doel is om privacy niet als een ‘belofte’ van een bedrijf te presenteren, maar als een technische garantie. Confer is een open-source AI-assistent waarbij de platformbeheerder, hackers en ook overheden geen toegang hebben tot de data. Dat wordt bereikt door een combinatie van twee geavanceerde technieken.
End-to-End Encryption via Passkeys
In plaats van traditionele wachtwoorden gebruikt Confer passkeys. Bij het inloggen genereert het apparaat van de gebruiker daardoor een uniek cryptografisch paar van sleutels. De privatekey verlaat daarbij het apparaat nooit. Alle input van de gebruiker en de output van de AI worden versleuteld met behulp van die sleutel. Hierdoor kan Confer de chats wel synchroniseren tussen apparaten, maar de inhoud ervan nooit ontsleutelen op hun eigen servers.
Trusted Execution Environments (TEE)
Daarnaast wordt er gebruik gemaakt van zogenaamde TEE’s (ook wel ‘enclaves’ genoemd) op de server. Wanneer de AI een berekening moet uitvoeren, gebeurt dat in een afgeschermd deel van de processor. Daarbij is de data is in het werkgeheugen van de server ook versleuteld.
Via een proces genaamd remote attestation kan de gebruiker verifiëren dat de server exact de open-source software draait die wordt beloofd, zonder verborgen achterdeurtjes of meetapparatuur.
Andere spelers op deze markt
AI-modellen zijn van nature gegevensverzamelaars aldus Marlinspike. Ze hebben enorme hoeveelheden data nodig voor training en optimalisatie. Tevens stelt hij dat de aard van de interactie met een AI fundamenteel verschilt van een zoekopdracht in Google. Waar een zoekopdracht transactioneel is, is een AI-chat vaak een dialoog waarin de gebruiker zich kwetsbaar opstelt.
Confer is niet de enige (aankomende) AI-chatbot waarbij privacy hoog in het vaandel staat. Zo heb je ook nog Lumo, van de makers van Proton Mail. Dat is een Europees bedrijf, waarbij Lumo gebruikmaakt van dezelfde encryptie-engine als hun mail-, drive- en kalender-app. Bij Lumo worden ook alle gesprekken, metadata en gegevens versleuteld, waarbij alleen de gebruiker de juiste sleutel daarvoor in bezit heeft. Ook Venice is een op privacy gerichte AI-chatbot, waarbij gegevens lokaal worden opgeslagen.
Momenteel bevindt Confer zich nog in de testfase en de ontwikkelaar werkt onder andere aan versies voor Android, iOS en MacOS. Voor Windows en Linux werkt Confer nog niet vlekkeloos, maar ook daar wordt aan gewerkt.