AI Confer od Moxie Marlinspike: End-to-End šifrovaný asistent s WebAuthn PRF a TEE
AI Confer od Moxie Marlinspike je end-to-end šifrovaný AI asistent kombinující WebAuthn PRF a Trusted Execution Environment (TEE) tak, aby provozovatel služby neměl přístup k obsahu konverzací ani ke kryptografickým klíčům. Na rozdíl od běžných chatbotů vaše dotazy nemohou být použity k trénování modelu, k cílení reklamy ani k vynucenému vydání dat – za předpokladu, že jsou splněny kryptografické a provozní předpoklady.
Základní architektura Confer
Klient šifruje komunikaci pomocí klíčů odvozených z WebAuthn PRF (Passkey/FIDO2), takže server nemá přístup k dešifrovaným zprávám ani k šifrovacím klíčům. Díky tomu je šifrování řešeno již na straně uživatele.
Inference na serveru běží výhradně v Trusted Execution Environment (TEE) – hardwarově či virtualizačně odděleném prostředí s podporou vzdálené atestace. Díky této izolaci ani administrátor hostingu nemá přístup k nešifrovaným vstupům a výstupům.
V TEE je nasazena sada open-weight foundation modelů. Confer tedy není vázán na uzavřený model jednoho dodavatele a celý stack je open source, auditovatelný a kryptograficky ověřitelný.
WebAuthn PRF a správa klíčů
Confer využívá rozšíření WebAuthn PRF, při němž z jednorázové challenge (soli) a tajemství uloženého v autentizátoru (Passkey) vzniká 32B výstup (256 bitů), který lze přímo použít jako AES klíč pro šifrování zpráv.
Privátní klíč WebAuthn nikdy neopustí hardwarový autentizátor (TPM, Secure Enclave, biometrický čip) – server dostává pouze PRF výstup a podpisy. Tím je eliminována potřeba ukládat dlouhodobé šifrovací klíče na serveru.
Na desktopech, kde chybí nativní podpora WebAuthn PRF, lze použít řešení typu tpm-fido2-prf, které z TPM a čtečky otisků prstů vytvoří „platform authenticator” s podporou PRF (daemon v Go a browser extension, například pro Chrome).
Trusted Execution Environment a vzdálená atestace
TEE (například Intel SGX, AMD SEV-SNP či podobné technologie) zajišťuje, že kód LLM a data běží v izolovaném enclave, kam nemá přístup hypervisor, operační systém ani správce serveru.
Klient před navázáním relace kryptograficky ověřuje integritu TEE prostřednictvím vzdálené atestace – tedy že běží očekávaný binární obraz kódu a konfigurace – a teprve poté mu posílá šifrovaná data.
Kombinace „klíče odvozeného z Passkey” a „ověřeného TEE” dává vlastnost, že dešifrování je možné pouze v konkrétní atestované enclave a pouze se součinností uživatelova autentizátoru.
Modely, provoz a limity
Confer využívá různé open-source/open-weight LLM namísto proprietárního uzavřeného modelu. Konkrétní modely se mohou měnit, architektura je však navržena tak, aby to neohrozilo soukromí – šifrování probíhá nad modelem i kolem něj.
Důraz na TEE a hardware-backed klíče výrazně zvyšuje náklady na infrastrukturu, což se odráží v ceně kolem $34,99 měsíčně pro komerční nasazení a omezenější škálovatelnosti oproti „holému” GPU clusteru.
Hlavní omezení jsou v současnosti spíše praktická: podpora WebAuthn PRF na různých platformách (Linux stále vyžaduje workaround), výkon TEE pro velké modely a nutnost důvěřovat konkrétním TEE implementacím výrobců CPU.
Lumo a Venice jako související projekty
Proton Lumo je evropský „privacy-first” AI asistent slibující, že konverzace neukládá a nepoužívá pro trénink. Je postaven na open-source LLM a navazuje na zkušenosti s Proton Mail/VPN, přičemž míří na právní garance v EU.
Proton kvůli plánům na zavádění plošného sledování ve Švýcarsku přesouvá velkou část fyzické infrastruktury do EU a mluví o budování „EuroStacku” – evropské suverénní AI a cloudové vrstvy, do níž spadá i Lumo.
Venice je další projekt orientovaný na lokální nebo soukromé nasazení modelů. Zaměřuje se spíše na open-source stack a kontrolu nad daty než na TEE, takže spoléhá více na provozní a právní model než na hardware-enforced šifrování jako Confer.
Článek vznikl pro blog hardwired jako přehled technologií end-to-end šifrovaných AI asistentů. Veškeré uvedené informace jsou platné k lednu 2026.
