Key Takeaways – šta je najbitnije u ovom tekstu
-
Zatvaranje najveće bezbednosne rupe: Klasična bezbednost je dobro štitila podatke u mirovanju (data-at-rest) i podatke u prenosu (data-in-transit), ali je podatke tokom obrade (data-in-use) dugo ostavljala ranjivim. Confidential Computing upravo tu pokušava da reši problem.
-
Strateški trend za budućnost: Gartner je Confidential Computing uvrstio među top strateške tehnološke trendove za 2026. godinu, uz procenu da će do 2029. više od 75% obrada u nepoverljivoj infrastrukturi biti zaštićeno „u radu“ kroz ovakav pristup.
-
GPU ulazi u krug poverenja: Za AI ovo nije samo teorija – NVIDIA je objavila da je podrška za single-GPU passthrough sa Confidential Computing funkcijama na H100 generalno dostupna kroz CUDA 12.4, uz oslanjanje na CPU TEE tehnologije kao što su AMD SEV-SNP i Intel TDX.
-
Kriptografski dokaz (Attestation): Google otvoreno tretira remote attestation kao mehanizam kojim se uspostavlja poverenje. Njegova dokumentacija navodi da Google Cloud Attestation podržava Confidential VM sa AMD SEV, AMD SEV-SNP i Intel TDX, kao i Confidential Space i Confidential GKE Nodes.
-
Razbijanje zabluda: Najveća zabluda u 2026. jeste da je private AI isto što i confidential AI. Ako model radi u cloud-u bez verifikovanog TEE-a i bez atestacije, vi i dalje imate sloj kome morate slepo da verujete, čak i kada je virtuelna mašina šifrovana ili je pristup ograničen.
Zašto je ova tema eksplodirala baš sada?
Postoji jedan vrlo nezgodan problem koji je godinama stajao u samom centru cloud i AI infrastrukture, a o njemu se znatno manje govorilo nego o enkripciji storage-a, mreže i identity sistemima. Problem je jednostavan: dok vaš AI model ili analitika stvarno rade, podaci moraju da budu negde dešifrovani i obrađeni. U tom trenutku oni više nisu samo „zaključani fajlovi“, već postaju živa memorija, aktivni proces, GPU bafer (buffer), runtime stanje i niz sistemskih interakcija koje neko na dovoljno niskom nivou teoretski može da vidi ili zloupotrebi.
Tu se lomila cela priča o poverenju u cloud. Mogli ste da kažete da je disk šifrovan. Mogli ste da kažete da je saobraćaj zaštićen TLS-om. Mogli ste da kažete da je pristup strogo kontrolisan. Ali, u trenutku kada AI model obradi osetljive medicinske podatke, finansijske zapise, privatne dokumente ili vlasničke težine modela (model weights), postavlja se mnogo neugodnije pitanje – ko može da vidi to što se trenutno dešava u memoriji i tokom izvršavanja?
Confidential Computing je nastao upravo kao direktan odgovor na taj problem. Gartner ga je s razlogom izdvojio među top strateške trendove za 2026. godinu, uz jasnu procenu da će do 2029. više od 75% operacija u nepoverljivoj infrastrukturi biti zaštićeno in-use kroz ovaj pristup. Poruka industrije je jasna – zaštita podataka tokom izvršavanja prelazi iz tehnološke egzotike u očekivanu, standardnu infrastrukturnu osobinu.
Za veštačku inteligenciju ovo je posebno važno iz tri razloga:
-
Privatnost podataka korisnika.
-
Zaštita modela kao intelektualne svojine.
-
Dokazivo poverenje. Ako gradite enterprise AI u zdravstvu, finansijama, pravnom sektoru ili za osetljive interne procese, više nije dovoljno samo tvrditi da je sistem „siguran“. Sve češće morate da dokažete da workload radi unutar verifikovanog, izolovanog okruženja i da čak ni operater infrastrukture ne može da vidi njegov sadržaj u čistom obliku.
Odatle potiče novi termin koji sve češće kruži tržištem – Confidential AI. Iako zvuči kao marketinški dodatak, iza njega stoji potpuno realna arhitektonska promena. Ideja više nije samo da pokrenete model u cloud-u uz private networking i dobru IAM politiku, već da AI inferenciju, analitiku ili čak trening izvršavate u okruženju u kome su i sistemska memorija i CPU/GPU stanje hardverski zaštićeni od host sloja.
Šta je zapravo Confidential Computing?
Ako bismo temu objasnili bez marketinškog žargona, Confidential Computing je skup hardverskih i softverskih mehanizama koji štite radno opterećenje (workload) dok je aktivno u radu, najčešće kroz TEE – Trusted Execution Environment.
Intel za svoj TDX kaže da je reč o njihovoj novijoj Confidential Computing tehnologiji koja omogućava deployment trust domain-ova, odnosno hardverski izolovanih virtuelnih mašina dizajniranih da zaštite osetljive podatke i aplikacije od neovlašćenog pristupa.
Google je to možda objasnio najčitkije još kroz Asylo projekat, a kasnije i kroz svoju cloud dokumentaciju. U predstavljanju Asylo-a navodi se da su TEE specijalizovana izvršna okruženja, odnosno enklave (enclaves), koja štite aplikacije i podatke od nižih slojeva sistema, uključujući sam operativni sistem, hipervizor (hypervisor), drajvere i firmver (firmware). Drugim rečima, čak i ako ne verujete kompletnom host stack-u, TEE pokušava da napravi izolovano ostrvo poverenja unutar njega.
To „ostrvo“ je ključno. Tradicionalni cloud model podrazumeva da u nekom trenutku morate bezuslovno verovati provajderu, host administratorima, hipervizor sloju i pratećoj infrastrukturi. Confidential Computing pokušava da tu pretpostavku poverenja (trust assumption) maksimalno suzi. On je ne eliminiše potpuno, ali je pomera sa softvera na nivo hardvera, lanca atestacije (attestation) i kriptografski dokazivog identiteta okruženja.
Zato ova tehnologija menja odgovor na pitanje ko sve mora da bude deo vašeg kruga poverenja. U idealnom slučaju, taj krug se smanjuje isključivo na hardverski root of trust, verifikovane reference i sistem koji automatski odbija da isporuči tajne ili ključeve sve dok se ne dokaže da softver stvarno radi u očekivanom, neizmenjenom TEE okruženju.
Zašto je AI poseban problem?
AI workload nije isto što i običan veb servis. Kada pokrenete veliki jezički model (LLM), često obrađujete ogromnu količinu osetljivih inputa, koristite ekstremno skupe GPU resurse i pritom izlažete riziku dve najvrednije stvari – podatke korisnika i same težine modela (model weights).
NVIDIA vrlo direktno ističe da mnogi klijenti ne mogu da rizikuju da svoje podatke stave u javni cloud zbog osetljivosti tih podataka, bilo da oni sadrže PII (Personally Identifiable Information) ili vlasničke informacije firme, dok sam utrenirani model predstavlja ogroman intelektualni kapital (IP).
To je razlog zašto AI bezbednost u 2026. godini sve manje znači samo „pečujte server i stavite WAF“. Danas AI bezbednost podrazumeva jasne odgovore na sledeća pitanja:
-
Gde se ulazni podaci dešifruju?
-
Ko može da čita memoriju aktivnog procesa?
-
Da li GPU vidi plain-text podatke bez zaštite?
-
Kako se kriptografski proverava da je baš taj workload pokrenut u autentičnom okruženju?
-
Kada i kome se otključavaju ključevi za model ili podatke?
Ako bilo koji od tih odgovora ostane maglovit, vaša priča o „privatnoj veštačkoj inteligenciji“ vrlo brzo postaje samo marketinška, a ne inženjerska. Zato je Confidential Computing postao toliko vitalan za AI platforme – on zatvara baš onu ranjivost koju su svi osećali, a retko ko je umeo efikasno da je pokrije.
Intel TDX, AMD SEV-SNP i logika Confidential VM-a
Danas se najveći deo Confidential Computing priče u cloud-u vrti oko confidential VM modela. To znači da se celokupan proces pokreće u izolovanoj virtuelnoj mašini čija su memorija i stanje dodatno, hardverski zaštićeni od host okruženja.
Intel TDX radi upravo na tom principu. Intel navodi da TDX koristi hardverska proširenja za upravljanje i enkripciju memorije, i štiti poverljivost i integritet CPU stanja trust domena od spoljnog okruženja koje nije deo TDX režima. U praksi, to je inženjerski pokušaj da VM prestane da bude samo logička jedinica na host-u i postane hardverski izolovan prostor.
Odgovor kompanije AMD u ovoj priči dolazi kroz SEV tehnologiju, a naročito kroz SEV-SNP (Secure Nested Paging), koji je danas daleko važniji za ozbiljne confidential AI scenarije od starijih iteracija. Google u svojoj atestacionoj dokumentaciji eksplicitno navodi podršku za Confidential VM sa AMD SEV, AMD SEV-SNP i Intel TDX. To je krunska potvrda da tržište više ne tretira ove tehnologije kao laboratorijske koncepte, već kao opipljive, komercijalne opcije u javnom cloud-u.
Za domaće timove važno je razumeti sledeće: TDX i SEV-SNP nisu samo dva različita marketinška logotipa. Oni predstavljaju različite modele poverenja, različite atestacione lance i različite stepene praktične zrelosti po cloud provajderima. Pravo pitanje nije „šta je bolje“, već koji model poverenja, provajder i dokazni lanac odgovara vašem specifičnom projektu.
NVIDIA i zašto je GPU postao centralna tačka
Dugo je Confidential Computing bio isključivo CPU priča, što je bilo logično jer su enklave prvo sazrevale na procesorskoj strani. Problem je što ozbiljan AI danas više nije CPU workload. Ako se najveći deo inferencije ili treninga modela izvršava na grafičkoj kartici (GPU), a GPU nije deo poverljivog lanca, vi ste zaštitili samo polovinu svog sistema.
Zato je zvanična objava kompanije NVIDIA oko H100 arhitekture bila monumentalna. Kompanija je saopštila da je H100 prvi GPU koji uvodi nativnu podršku za Confidential Computing, i da je podrška za single-GPU passthrough generalno dostupna kroz CUDA 12.4. Još važnije, NVIDIA direktno naglašava da infrastruktura za H100 Confidential Computing obavezno zahteva CPU koji podržava TEE baziran na virtuelnim mašinama – konkretno AMD SEV-SNP ili Intel TDX.
Tu se konačno vidi kako se Confidential AI zaista gradi u praksi – ne kao izolovan GPU feature, već kao neprekidan lanac poverenja između CPU TEE-a, GPU zaštite, hipervizora i celokupnog softverskog stack-a. NVIDIA pogađa samu suštinu problema kada ističe da su raniji sistemi dobro štitili podatke u pokretu (data-in-motion) i mirovanju (data-at-rest), ali da je data-in-use ostajala izložena. Ako GPU tokom inferencije vidi plain-text prompt, plain-text embedding ili plain-text model state bez hardverske zaštite, cela priča o bezbednosti pada u vodu na najosetljivijem mestu.
Remote attestation – mesto gde se teorija pretvara u poverenje
Najveća greška u IT diskusijama o Confidential Computing-u nastaje kada se sve svede na konstataciju: „memorija je enkriptovana, to je kraj priče“. Tu prava priča tek počinje. Kako vaš softver uopšte zna da zaista radi u TEE okruženju koje očekuje, sa ispravnim softverom, bez neovlašćenih modifikacija?
Odgovor je remote attestation. Google to eksplicitno definiše kao proces kojim se uspostavlja poverenje. Atestacija funkcioniše kao digitalni mehanizam provere koji osigurava da se poverljivi podaci obrađuju isključivo u hardverski zasnovanim TEE okruženjima koja su rigorozno proverena.
Google Cloud Attestation je savršen primer iz prakse. Servis prikuplja informacije iz poverljivog okruženja, proverava ih prema odobrenim vrednostima i Google-ovim bezbednosnim polisama, i zatim pretvara rezultate u proverljive tvrdnje (verifiable claims) u skladu sa IETF RATS EAT standardom. Te tvrdnje kasnije mogu da koriste sistemi poput Secret Manager-a ili IAM-a da donesu odluku da li će vašem workload-u dati pristup tajnama.
Ovo uvodi kriptografski dokaziv uslov za pristup osetljivim podacima. Težine modela (model weights), API ključevi i osetljivi ulazni podaci se uopšte ne isporučuju workload-u dok atestacija matematički ne potvrdi da je taj workload autentičan.
Asylo i zašto je i dalje važno ime
Iako se Google Asylo danas ređe pominje u mejnstrim cloud diskusijama, važno je razumeti njegovu arhitektonsku ulogu. Google ga je predstavio kao open-source framework i SDK za razvoj aplikacija unutar TEE okruženja. Njegov cilj bio je da programiranje enklava učini lakšim i prenosivijim između različitih pozadinskih arhitektura (backends).
Asylo je pokazao da Confidential Computing nije samo infastrukturna opcija za cloud, već nova paradigma razvoja. Da biste pravili aplikacije koje žive unutar TEE-a, morate znati kako da izolujete kritični kod, bezbedno komunicirate, proveravate integritet enklave i vežete tajne za verifikovani identitet izvršnog okruženja.
Šta Confidential AI jeste, a šta nije
Došli smo do najvažnijeg trenutka otrežnjenja. Mnoge firme danas agresivno promovišu „private AI“, ali privatna veštačka inteligencija nije isto što i poverljiva (confidential) veštačka inteligencija.
Ako model pokrećete u namenskom, izolovanom VPC-u, sa privatnim endpoint-om, odličnim IAM-om i enkripcijom diska – napravili ste privatniji sistem. Međutim, i dalje niste rešili pitanje ko sa host nivoa može da vidi taj proces dok se on izvršava u memoriji.
Isto tako, ni on-prem GPU server u vašem privatnom data centru ne znači automatski da ste rešili sve bezbednosne probleme – vi ste samo promenili stranu kojoj verujete. Umesto cloud provajderu, sada morate da verujete internom admin timu, fizičkoj bezbednosti, firmver lancu dobavljača i lokalnim procedurama. Confidential Computing smanjuje taj obim slepog poverenja, bez obzira na to gde se hardver fizički nalazi.
Takođe, TEE ne leči lošu logiku aplikacije. On ne štiti od prompt injection napada, data poisoning-a ili ranjivosti u lancu snabdevanja (supply-chain). On isključivo rešava zaštitu procesa i podataka od infrastrukture i host-a tokom izvršavanja.
Kako zapravo izgleda jedan ozbiljan confidential AI tok?
-
Workload se pokreće u confidential VM ili drugom TEE okruženju (zasnovanom na Intel TDX ili AMD SEV-SNP tehnologiji).
-
Ukoliko je potreban GPU, sistem bira podržani confidential GPU scenario (npr. NVIDIA H100 CC) koji komunicira sa CPU TEE-om.
-
Sistem obavlja remote attestation i dobija proverljive potvrde (verifiable claims) da je okruženje autentično, neizmenjeno i propisno konfigurisano.
-
Tek nakon uspešne atestacije, workload dobija pristup tajnama: model weights, dekripcijskim ključevima i tokenima za bazu podataka.
-
Osetljivi podaci korisnika se dešifruju i obrađuju isključivo unutar tog izolovanog, hardverski zaštićenog okruženja, a rezultat ga napušta po unapred strogo definisanim polisama.
Ovaj inženjerski model je znatno bliži pristupu „verifikovanog poverenja“ nego klasičnom PR sloganu „verujte nam na reč, sve je privatno“.
Zašto je ovo važno i za domaće kompanije?
Može se učiniti da je ovo tema rezervisana samo za hyperscaler-e i globalne AI platforme, ali to je ogromna greška. Za srpske IT kompanije i outsourcing timove koji razvijaju SaaS proizvode, healthtech, legaltech ili fintech rešenja za EU klijente, pitanje „ko može da vidi podatke tokom obrade“ postaje eliminaciono pitanje na tenderima, bezbednosnim proverama i due diligence procesima.
Evropsko tržište u 2026. godini izuzetno je osetljivo na AI governance i dokazive bezbednosne kontrole. Čak i kada klijent ne traži eksplicitno TEE tehnologiju, on će zahtevati detaljno inženjersko objašnjenje kako se podaci štite tokom inferencije i ko kontroliše ključeve.
Kompanije koje na vreme savladaju confidential AI deployment imaće nesavladivu tržišnu prednost u osvajanju visoko profitabilnih enterprise projekata.
Šta verovatno dolazi dalje?
-
Confidential VM kao standard: Ove virtuelne mašine postaće standardna, predefinisana opcija za sve osetljive AI procese, a ne samo skupa tehnološka egzotika.
-
Šira GPU podrška: H100 je samo otvorio vrata. Tržište će agresivno zahtevati veću dostupnost poverljivog računarstva na svim GPU arhitekturama, uz manje vendor-specifičnih ograničenja.
-
Atestacija kao poslovna valuta: Kriptografski dokaz poverenja (attestation token) postaće obavezan uslov za odobravanje API pristupa ili puštanje softvera u produkciju na osetljivim mrežama.
-
Segmentacija security alata: Bezbednosne platforme će se jasno podeliti na one koje nadziru samo aplikativni sloj i one koje garantuju integritet i poverenje od samog silicijuma do AI modela.
-
Kraj zloupotrebe termina: Termin Confidential AI će se stabilizovati tek kada industrija prestane da ga koristi kao univerzalnu etiketu za bilo kakav izolovaniji cloud deployment.
Praktični okvir za inženjere i arhitekte
Kako da prepoznate da vam ovo stvarno treba:
-
Obrađujete podatke koje ni sam cloud operator ne bi smeo da vidi u čistom obliku.
-
Težine modela (model weights) predstavljaju vaš ključni intelektualni kapital (IP) i ne smete ih izlagati host sloju.
-
Radite sa klijentima koji eksplicitno zahtevaju dokaziv trust model i strogu kontrolu obrade.
-
Planirate multi-party analitiku gde strane žele saradnju, ali ne veruju jedna drugoj dovoljno da bi delile podatke u klasičnom okruženju.
Minimalna arhitektura poverenja:
| Arhitektonski sloj | Šta tačno radi u sistemu |
| TEE / Confidential VM | Hardverski izoluje workload i štiti memoriju i CPU stanje tokom izvršavanja procesa. |
| Remote Attestation | Kriptografski potvrđuje da workload radi u očekivanom, bezbednom i neizmenjenom okruženju. |
| Secret Release Policy | Oslobađa i dodeljuje ključeve i tajne isključivo nakon uspešno validirane provere poverenja. |
| GPU Confidential Support | Štiti akcelerovani deo AI workload-a (npr. koristeći NVIDIA H100 CC infrastrukturu). |
| Aplikacioni Security Sloj | Rešava autentifikaciju, kontrolu izlaza modela, sprečavanje zloupotreba i logiku pristupa (što TEE sam po sebi ne može da uradi). |
Šta ne treba romantizovati (Upozorenje):
-
TEE nije crna magija – on ne rešava sve ranjivosti i bezbednosne propuste unutar samog AI modela.
-
Nije dovoljno da vendor na sajtu napiše „koristimo siguran cloud„. Uvek tražite atestaciju, model pretnji (threat model) i konkretan lanac poverenja (trust chain).
-
GPU confidential podrška postoji i funkcioniše, ali njen deployment još uvek nije trivijalan zadatak za početnike.
Povezani članci sa ITNetwork.rs
Za dublje razumevanje kako se menja bezbednosni i inženjerski aspekat u eri veštačke inteligencije, pročitajte sledeće tekstove:
-
Junior više ne kuca kod, on ga „ispravlja“: Nova uloga AI auditora
-
Čist kod bez AI-a: Luksuz za elitu ili relikvija prošlosti u eri AI developera?
Korisni tehnički resursi
-
Intel TDX Overview – Pregled arhitekture Trust Domain Extensions.
-
Google Cloud Attestation – Zvanična dokumentacija za proveru i atestaciju u cloud okruženju.
-
NVIDIA Confidential Computing on H100 – Objava o generalnoj dostupnosti i arhitektonskim zahtevima.
-
Google Asylo Framework – Otvoreni radni okvir za razvoj aplikacija unutar sigurnosnih enklava.
