本报告由 Tiger Research 撰写,大多数人每天都在使用AI,却从未想过数据流向了何处。Nesa提出的问题是:当你开始正视这个问题时,会发生什么?
核心要点
- AI已融入日常生活,但用户往往忽略数据如何通过中央服务器传输
- 即便是美国CISA的代理局长,也在不知情中将机密文件泄露给ChatGPT
- Nesa通过传输前的数据转换(EE)和跨节点分割(HSS-EE)重构了这一流程,确保任何单一方都无法查看原始数据
- 学术认证(COLM 2025)和企业实际部署(宝洁)为Nesa奠定了先发优势
- 更广泛的市场是否会选择去中心化隐私AI,而非习惯的中央化API,这仍是关键问题
1. 你的数据安全吗?
来源:CISA
2026年1月,美国网络安全领导机构CISA的代理局长马杜·戈图穆卡拉(Madhu Gottumukkala)将敏感政府文件上传至ChatGPT,仅仅是为了总结和整理合同相关资料。
这次泄露既未被ChatGPT检测到,OpenAI也未向政府报告。而是被该机构自身的内部安全系统捕获,并因违反安全协议引发了调查。
连美国最高网络安全官员都在日常使用AI,甚至不慎上传了机密材料。
我们都知道,大多数AI服务会将用户输入以加密形式存储在中央服务器。但这种加密从设计上就是可逆的。在合法授权或紧急情况下,数据可以被解密和披露,而用户对背后发生的一切毫不知情。
2. 面向日常使用的隐私AI:Nesa
AI已经成为日常生活的一部分——总结文章、编写代码、起草邮件。真正值得担忧的是,正如前述案例所示,即便是机密文件和个人数据,也在人们几乎没有风险意识的情况下被交给了AI。
核心问题在于:所有这些数据都要经过服务商的中央服务器。即使进行了加密,解密密钥也掌握在服务商手中。用户凭什么信任这种安排?
用户输入的数据可能通过多种途径暴露给第三方:模型训练、安全审查、法律请求。企业版中,组织管理员可以访问聊天记录;个人版中,数据同样可能在合法授权下被移交。
既然AI已深度嵌入日常生活,是时候认真审视隐私问题了。
Nesa 正是为彻底改变这一结构而生的项目。它构建了去中心化基础设施,在无需将数据托付给中央服务器的前提下实现AI推理。用户输入在加密状态下处理,任何单一节点都无法查看原始数据。
3. Nesa如何解决问题
设想一家医院使用Nesa。医生希望AI分析患者的MRI影像以检测肿瘤。在现有AI服务中,影像会被直接发送到OpenAI或谷歌的服务器。
而使用Nesa时,影像在离开医生电脑之前就已完成数学转换。
打个简单的比方:假设原始问题是“3 + 5 = ?”如果直接发送,接收方会清楚知道你在计算什么。
但如果发送前将每个数字乘以2,接收方看到的就是“6 + 10 = ?”并返回16。你再除以2得到8——与直接计算原问题的答案完全一致。接收方完成了计算,却始终不知道你的原始数字是3和5。
这正是Nesa的等变加密(EE)所实现的。数据在传输前经过数学转换,AI模型对转换后的数据进行计算。
用户再应用逆向转换,得到的结果与使用原始数据完全相同。在数学上,这种特性叫做等变性:无论先转换后计算,还是先计算后转换,最终结果都一致。
实际操作中,转换远比简单乘法复杂得多——它是根据AI模型的内部计算结构专门定制的。正因为转换与模型的处理流程完美对齐,准确性才不会受到任何影响。
回到医院场景。对医生而言,整个流程没有任何变化——上传影像、接收结果,一切如常。改变的是:中间环节的任何节点都无法看到患者的原始MRI。
Nesa还更进一步。单凭EE就能防止节点查看原始数据,但转换后的数据仍完整存在于单个服务器上。
HSS-EE(加密嵌入上的同态秘密共享)则进一步分割了转换后的数据。
继续前面的比方。EE相当于在发送试卷前应用乘法规则;HSS-EE则是把转换后的试卷撕成两半——第一部分发给节点A,第二部分发给节点B。
每个节点只能解答自己的片段,都看不到完整题目。只有当两个部分答案合并时,才能得出完整结果——而且只有原始发送者能完成这个合并操作。
简而言之:EE转换数据,让原始内容无法被看见;HSS-EE进一步分割转换后的数据,使其永远不会完整出现在任何一处。隐私保护实现了双重加固。
4. 隐私保护会拖慢性能吗?
更强的隐私往往意味着更慢的性能——这是密码学领域长期以来的铁律。最广为人知的全同态加密(FHE)比标准计算慢10,000到1,000,000倍,根本无法应用于实时AI服务。
Nesa的等变加密(EE)采用了不同路径。回到数学类比:发送前乘以2、接收后除以2的成本微乎其微。
与FHE将整个问题转换为完全不同的数学系统不同,EE只是在现有计算基础上添加了轻量级转换层。
性能基准数据:
- EE :在LLaMA-8B上延迟增加不到9%,准确率与原始模型匹配,超过99.99%
- HSS-EE :在LLaMA-2 7B上每次推理耗时700至850毫秒
此外, MetaInf 元学习调度器进一步优化了全网效率。它会评估模型大小、GPU规格和输入特征,自动选择最快的推理方法。
MetaInf实现了89.8%的选择准确率,速度比传统ML选择器快1.55倍。该成果已在COLM 2025主会议发表,获得学术界认可。
以上数据来自受控测试环境。但更重要的是,Nesa的推理基础设施已在实际企业环境中部署运行,验证了生产级性能表现。
5. 谁在用?怎么用?
访问Nesa有三种方式。
第一种是Playground 。用户可以直接在网页上选择和测试模型,无需任何开发背景。你可以实际体验输入数据、查看各模型输出结果的完整流程。
这是最快了解去中心化AI推理实际运作方式的途径。
第二种是Pro订阅 。每月8美元,包含无限访问、每月1,000个快速推理积分、自定义模型定价控制,以及模型特色页面展示。
这一档位专为希望部署和变现自有模型的个人开发者或小团队设计。
第三种是Enterprise企业版 。这不是公开定价方案,而是定制化合同。包含SSO/SAML支持、可选数据存储区域、审计日志、细粒度访问控制和年度合约计费。
起步价为每用户每月20美元,但实际条款需根据规模协商。它专为将Nesa集成到内部AI流程的组织打造,通过独立协议提供API访问和组织级管理功能。
总结:Playground用于探索体验,Pro适合个人或小团队开发,Enterprise面向组织级部署。
6. 为什么需要代币?
去中心化网络没有中央管理者。运行服务器和验证结果的实体分布在全球各地。这自然引出一个问题:为什么有人愿意让自己的GPU持续运转,为他人处理AI推理?
答案是经济激励。在Nesa网络中,这个激励就是$NES代币。
来源:Nesa
机制非常直接。当用户发起AI推理请求时,需要支付费用。Nesa称之为 PayForQuery ,由每笔交易的固定费用加上与数据量成正比的可变费用构成。
费用越高,处理优先级越高——这与区块链上的gas费原理相同。
这些费用的接收者是矿工。要参与网络,矿工必须质押一定数量的$NES——在被分配任务前,他们要先将自己的代币置于风险之中。
如果矿工返回错误结果或无法响应,将从质押中扣除罚金;如果处理准确迅速,则获得更高奖励。
$NES同时也是治理工具。代币持有者可以提交提案,对费用结构、奖励比例等核心网络参数进行投票。
总而言之,$NES发挥三重作用:推理请求的支付手段、矿工的抵押品和奖励、网络治理的参与凭证。没有代币,节点不会运行;没有节点,隐私AI就无从谈起。
值得注意的是:代币经济的运转依赖于一定的前提条件。
推理需求必须足够充分,矿工奖励才有意义;奖励有意义,矿工才会留存;矿工数量充足,网络质量才能维持。
这是一个需求驱动供给、供给维持需求的良性循环——但启动这个循环恰恰是最困难的阶段。
宝洁等企业客户已经在生产环境中使用该网络,这是个积极信号。但随着网络规模扩张,代币价值与挖矿奖励之间的平衡能否维持,仍有待观察。
7. 隐私AI的必要性
Nesa试图解决的问题很明确:改变用户在使用AI时数据暴露给第三方的结构性困境。
技术基础扎实可靠。其核心加密技术—— 等变加密(EE)和HSS-EE 源自学术研究。推理优化调度器 MetaInf 已在COLM 2025主会议发表。
这不是简单引用论文那么简单。研究团队直接设计了协议,并将其实现在了网络中。
在去中心化AI项目中,能够在学术层面验证自有加密原语,并将其部署到实际运行的基础设施上的项目屈指可数。宝洁等大型企业已经在这套基础设施上运行推理任务——对于早期项目而言,这是个颇具分量的信号。
话虽如此,局限性同样清晰可见:
- 市场范围 :机构客户优先;普通用户暂时不太可能为隐私付费
- 产品体验 :Playground更像Web3/投资工具界面,而非日常AI应用
- 规模验证 :受控基准测试≠数千并发节点的生产环境
- 市场时机 :隐私AI的需求是真实存在的,但去中心化隐私AI的需求尚未得到验证;企业仍习惯于中央化API
大多数企业仍习惯使用中央化API,采用基于区块链的基础设施门槛依然不低。
我们身处这样一个时代:连美国网络安全负责人都会将机密文件上传给AI。对隐私AI的需求已然存在,且只会持续增长。
Nesa拥有经过学术验证的技术和实际运行的基础设施来满足这种需求。尽管存在局限性,但它的起点已经领先于其他项目。
当隐私AI市场真正打开时,Nesa必将是最先被提及的名字之一。
