AWS viser kryptert AI-inferens uten å lese dataene

AWS tar et viktig steg mot en mer realistisk modell for AI i regulerte virksomheter. I en ny teknisk gjennomgang viser selskapet hvordan Amazon SageMaker AI kan brukes sammen med fully homomorphic encryption, FHE, slik at en modell kan gjøre inferens på data som aldri dekrypteres i skyen.

Poenget er enkelt å forstå, men krevende å gjennomføre: Kunden krypterer spørringen lokalt. Modellen i skyen behandler den krypterte spørringen. Resultatet kommer tilbake kryptert. Først hos kunden dekrypteres svaret. Ifølge AWS er både input, output og mellomverdier designet for å være uleselige for observatører, inkludert SageMaker AI selv.

Det er ikke en ny chatbot-funksjon. Det er mer interessant enn som så. Dette handler om hvor langt de store skyleverandørene må gå for å gjøre AI-infrastruktur brukbar for helse, finans, energi, forsvarsnære miljøer og andre virksomheter som ikke kan sende sensitive data inn i en vanlig modellpipeline og håpe at kontrakten, loggingen og tilgangsstyringen holder.

FHE er en kryptografisk metode som lar beregninger gjøres på krypterte data. I en AI-sammenheng betyr det at modellen kan produsere en prediksjon uten å se de faktiske dataene. AWS bruker eksempler fra helse, energi og telekom: medisinske vurderinger basert på pasientdata, analyse av satellittbilder fra sensitive lokasjoner og spam- eller phishingdeteksjon på kundemeldinger. Fellesnevneren er at dataene har verdi nettopp fordi de er vanskelige å dele.

Det viktige for CIOer og CISOer er at AWS ikke selger dette som magi. Selskapet er tydelig på at løsningen har alvorlige ytelseskostnader. I gjennomgangen viser AWS til at FHE kan gi tregere inferens med opptil 100 000 ganger sammenlignet med plaintext-inferens. Med kvantisering og større instanser reduserte de overhead i eksempelet til 2 800 ganger, og videre til rundt 500 ganger på en større instans. Det er fortsatt langt unna interaktive brukeropplevelser.

Dermed er ikke dette svaret for sanntidsassistenter, kundechat eller agentarbeid der hvert sekund teller. Det passer bedre for asynkrone eller batch-orienterte prosesser der personvern, konfidensialitet eller suverenitetskrav veier tyngre enn latency. For norske virksomheter er det likevel relevant nå. Mange AI-prosjekter stopper ikke fordi modellene er for svake, men fordi dataene ikke kan flyttes, logges eller eksponeres på en måte risikoeier kan leve med.

AWS skiller også FHE fra confidential computing, som Nitro Enclaves. I et enclave-oppsett dekrypteres data og behandles i klartekst inne i et isolert, herdet miljø. Med FHE forblir dataene kryptert under selve beregningen. Det betyr at tillitsmodellen flyttes fra maskinvare- og programvareisolasjon til matematisk beskyttelse. I praksis vil mange virksomheter ende med en kombinasjon, men forskjellen er viktig i risikovurderingen.

Den tekniske arkitekturen AWS beskriver er ikke lettvekts. Kundeklienten må hente modellspesifikk informasjon, generere kryptografiske nøkler, sende evalueringsnøkler og krypterte spørringer via Amazon S3, og bruke SageMaker-mekanismer for asynkron inferens fordi både ciphertext-størrelse og kjøretid kan sprenge vanlige grenser. Modellen bygges med concrete-ml fra Zama, en høyere-nivåpakke for FHE-basert maskinlæring som blant annet støtter scikit-learn-lignende APIer.

Dette er derfor ikke en funksjon en data science-avdeling bør rulle ut på fredag ettermiddag. Det er en arkitektur som krever nøkkelhåndtering, IAM-design, S3-kontroller, containerstyring, kostmodellering og tydelige beslutninger om hvilke arbeidslaster som faktisk fortjener kryptografisk inferens. AWS minner også om at concrete-ml på publiseringstidspunktet er tilgjengelig for prototyping og ikke-kommersiell bruk uten betalt lisens, men at kommersiell bruk kan kreve lisens. Den detaljen hører hjemme i anskaffelsesløpet, ikke etter pilot.

Strategisk er retningen likevel klar. AI-leverandørene er i ferd med å bygge svar på en innvending som har ligget under nesten alle seriøse enterprise-prosjekter: Hvordan bruker vi modeller uten å gi leverandøren mer innsyn enn nødvendig? Først kom private endepunkter, databehandleravtaler, regionvalg, audit logs og tilgangsstyring. Nå kommer mer kryptografisk tung infrastruktur som forsøker å redusere selve eksponeringen av data under beregning.

For styre og ledelse betyr det at diskusjonen bør bli mer presis. Spørsmålet er ikke lenger bare om en AI-tjeneste er «i skyen» eller «på egne servere». Spørsmålet er hvilke data modellen faktisk ser, hvor nøklene ligger, om beregningen skjer i klartekst, hvilke metadata som oppstår, og om ytelses- og kostnadsbildet passer for arbeidslasten.

Det mest sannsynlige bruksområdet de neste 12-18 månedene er ikke brede kontoragenter. Det er smale, høyrisiko arbeidsflyter med lavere hastighetskrav: dokumentklassifisering, risikoscoring, batchanalyse, modelltesting på sensitive datasett og sektorer der dataresidens og konfidensialitet blokkerer vanlige AI-løp. Der kan FHE bli et styringsvalg, ikke en laboratoriedetalj.

AWS sin gjennomgang er fortsatt en teknisk oppskrift, ikke et ferdig massemarkedstilbud. Men den viser hvor konkurransen i enterprise AI er på vei. De neste vinnerne blir ikke bare de som har raskest modell eller lavest tokenpris. De blir de som kan gi virksomheter nok kontroll til at de tør å bruke modellene på dataene som faktisk betyr noe.

Kilder og medier

Primærkilde: AWS Machine Learning Blog, «End-to-end encrypted ML inference with Amazon SageMaker AI and FHE», publisert 8. juni 2026. https://aws.amazon.com/blogs/machine-learning/end-to-end-encrypted-ml-inference-with-amazon-sagemaker-ai-and-fhe/

Thumbnail: OpenAI Image 2 / hogby.ai