Privatemode

Privatemode (privatemode.ai) es el *extraño servicio de LLM en el que no tienes que confiar con tus prompts* — ejecuta la inferencia dentro de un enclave de hardware atestiguado para que ni siquiera el operador de los servidores pueda leer lo que envías o lo que el modelo devuelve.

Antecedentes. Lanzado en 2024 por el equipo de computación confidencial detrás de Edgeless Systems, Privatemode aplica hardware de *Entorno de Ejecución Confiable (TEE)* — enclaves de CPU (AMD SEV-SNP / Intel TDX) extendidos a la GPU — a la inferencia de IA. La propuesta es estructural, no promisoria: en lugar de pedirte que creas en una política de privacidad, el modelo se ejecuta en un enclave cifrado y medido cuyo estado es criptográficamente *atestiguado* ante tu cliente antes de que cualquier prompt salga de tu máquina. Esa postura verificable por diseño es la razón por la que obtiene una A en /ai a pesar de ser joven.

En qué confías. Confías en *matemáticas y silicio, no en una política*. El cliente verifica un informe de atestación remota que prueba que el servidor está ejecutando el software esperado e inalterado dentro de un TEE genuino antes de establecer el canal cifrado — de modo que un prompt solo se descifra dentro del enclave, donde ni el SO anfitrión, ni el operador, ni un administrador de sistemas con una citación pueden observarlo. Los *clientes son de código abierto*, por lo que la lógica de atestación y cifrado puede auditarse en lugar de aceptarse por fe. Esto es lo opuesto al modelo LLM convencional, donde tus prompts están en texto plano para el proveedor y se registran, entrenan y retienen rutinariamente.

Especificaciones operativas. El acceso es *pago por token con cripto aceptado*, por lo que no hay una cuenta obligatoria vinculada a una tarjeta o identidad. Las aplicaciones cliente de código abierto y una API te permiten enrutar prompts a través del enclave atestiguado desde tus propias herramientas. Ejecuta modelos actuales de pesos abiertos (el catálogo evoluciona), por lo que la capacidad está en el rango de modelo abierto fuerte en lugar de frontera cerrada. Todo el flujo — atestar, establecer sesión cifrada, inferir, devolver — está diseñado para que el prompt no cifrado exista solo transitoriamente dentro de la memoria del enclave.

Filosofía. Cualquier otra afirmación de "IA privada" se reduce a "prometemos no mirar". La tesis de Privatemode es que para un flujo de datos tan sensible como tus prompts — que codifican intenciones, borradores, código, preguntas médicas y legales — una promesa no es suficiente; la privacidad debe ser *impuesta por hardware y verificable por el cliente*. La computación confidencial traslada el límite de confianza de "el buen comportamiento de la empresa" a "las garantías del enclave del fabricante de CPU más el código cliente de código abierto que puedes leer". Es la respuesta más honesta que el espacio LLM tiene actualmente a "¿a dónde van mis prompts?".

Justificación de la calificación. A en /ai. La calificación refleja un modelo de confianza genuinamente diferenciado (inferencia TEE atestiguada, no una promesa de política), clientes de código abierto, pago con cripto/sin identidad y cifrado verificable de extremo a extremo hasta el enclave. Es la opción de privacidad destacada en la categoría. Las advertencias a continuación tratan sobre las suposiciones de TEE y la juventud, no sobre la solidez del enfoque.

Útil cuando. Recurre a Privatemode siempre que un prompt sea algo que no pegarías en un chatbot convencional: material comercial confidencial, preguntas legales/médicas, código fuente bajo NDA, cualquier cosa que necesites mantener fuera de los registros del proveedor y de un conjunto de entrenamiento. También es la herramienta adecuada cuando debes poder *demostrar* (a un cliente, un regulador, a ti mismo) que el proveedor de inferencia no pudo haber leído los datos.

Advertencias. La seguridad de TEE es fuerte pero no es mágica: los enclaves de computación confidencial han enfrentado ataques de investigación de canal lateral y cadena de atestación a lo largo de los años, por lo que la garantía es "sin acceso práctico para el operador", no "matemáticamente irrompible" — tu modelo de amenaza debe tenerlo en cuenta. El catálogo de modelos es de pesos abiertos, así que no obtendrás la capacidad bruta de un modelo de frontera cerrada. Como participante de 2024, su historial es corto y estás confiando en las raíces de atestación de los fabricantes de CPU/GPU. Finalmente, la atestación solo protege la *inferencia*; tu propio dispositivo cliente y la higiene de red siguen importando. Nada de esto socava la A — son los límites honestos del mejor modelo de privacidad disponible en IA hoy.