安全 · ArcaKey Private AI

面向受监管专业人士的 AI
—— 不以 隐私 为代价。

本站每一项可辩护的主张都与支撑它的工件配对。下载已签名的证明样本、阅读白皮书、检查威胁模型。如果某一工件尚不存在,我们会在标签中注明——而非隐藏。

安全姿态

ArcaKey 保护那些不能被暴露的工作。我们的方法是承诺一个可验证的架构标准,而非一个仅以政策方式承诺的标准。

下面是我们安全计划的当前状态:原语与架构、证明工件、当前合规姿态与披露政策。本页每一主张都与一份成熟买家、记者或律师监管者可阅读的工件配对。

如果您正在为组织部署评估 ArcaKey,本页底部的评估包汇集了完整的文档集合。Sovereign 申请者会在请求时获得相同的包,以及额外的技术简报。

密码学原语

对称(静态)
AES-256-GCM。
密钥交换
ML-KEM-768(CRYSTALS-Kyber, NIST FIPS 203),与 X25519 混合。
认证
Executive 及以上使用 FIDO2;以 Argon2id 派生的口令作为后备。
审计日志签名
Ed25519,按用户哈希链式。
响应分块
ML-DSA-65(CRYSTALS-Dilithium, NIST FIPS 204)。
推理飞地
GCP A3 Confidential VM 上的 NVIDIA H100 Confidential Computing;AMD SEV-SNP 内存加密。
证明
NVIDIA Remote Attestation Service(NRAS),按会话,可经 nvtrust SDK 由租户验证。

后量子范围

ArcaKey 的应用层浏览器到 CVM 封套(ML-KEM-768)今天处于活动状态,并在已证明的 CVM enclave 内终止 Tab 1 和 Tab 2 流量。Vercel 转发 KEM 密文但无法解封装。边缘 TLS 混合后量子 KEM(X25519MLKEM768)是 TLS 终止层的*额外*防御;它仍受提供商门控,并跟随 Vercel 和 Cloudflare 的边缘推出。在边缘 TLS PQ KEM 上线之前,传输层密钥交换是带经典 ECDHE 的 TLS 1.3 — 但内部应用封套已是 PQ-安全的。这防御了"现在收割,以后解密"对未来量子对手的威胁:即使捕获的会话 TLS 在 50 年后被破解,内部 ML-KEM-768 封套仍然 FIPS 203-安全。

子处理者

ArcaKey 通过一小组命名的子处理者路由推理与支持工作负载。下面每个条目描述其结构性角色及其合规 / 数据处理姿态。Confidential AI 与 Private AI 级别的流量流向两个已证明 TEE 后端之一 — Phala 用于 Qwen 3.5 27B 与 Qwen 2.5 7B 配置,Tinfoil 用于这两个级别的所有其他模型。Best in Class AI 级别的流量在每个提供商各自合同下直接流向前沿提供商(Anthropic、OpenAI,或 AWS Bedrock 用于 Mistral Large 3)。平台与基础设施子处理者列于下方。

TEE backends (Confidential AI / Private AI)

PhalaTEE 后端 — Qwen 3.5 27B + Qwen 2.5 7B
SOC 2 Type I + HIPAA 范围具体限于 Phala 上的 Qwen 2.5 / Qwen 3.5 配置 — 不是 Phala-as-platform 认证。Phala 今天的角色限于这两个 Qwen 模型;所有其他 Confidential AI / Private AI 推理通过 Tinfoil 流转。加密姿态:Intel TDX + NVIDIA Confidential Computing。ArcaKey ↔ Phala BAA:未请求;ArcaKey 依赖 Phala 公开记录的姿态而非合同 BAA。
TinfoilTEE 后端 — Phala 的 Qwen 模型之外的所有 Confidential AI / Private AI 推理
按模型 TEE 已证明(Intel TDX + NVIDIA Confidential Computing)。平台级 SOC 2 Type II。在持久路由 — 非 scale-to-zero — 上托管推荐的 Pro / Pro Suite 默认值(Llama 3.3 70B),消除冷启动延迟。ArcaKey ↔ Tinfoil BAA:不可用 — Tinfoil 不向任何客户提供 BAA。TEE 证明链是此提供商的实质性操作员盲性保证;SOC 2 / HIPAA 相关声明来自 Tinfoil 的公开姿态而非 BAA。

Platform & infrastructure

Vercel应用托管 + 边缘
SOC 2 Type II(可在 Vercel Trust Center 公开核实)。托管营销和 vault 应用面。终止来自客户浏览器的入站 TLS 连接;对于 Tab 1 与 Tab 2,客户提示明文从未到达 Vercel — 它在浏览器内用每会话密钥加密并作为密文转发。
CloudflareCDN + DNS
平台级 SOC 2 Type II、ISO 27001、FedRAMP Moderate。提供静态资源和 DNS。不查看推理流量。
Supabase数据库 + 对象存储
SOC 2 Type II。托管静态加密的 vault 记忆存储、审计日志和结构化账户数据。所有 blob 内容在写入之前由客户端或 CVM 内部加密;Supabase 仅看到密文。
Clerk身份 / 认证
SOC 2 Type II。处理认证;从不接触 vault 内容或推理流量。
Upstash每会话 Redis 封套
SOC 2 Type II。保存每会话封套(TTL 限定)。会话 MEK 仅在 Tab 1 / Tab 2 的 CVM 内存活;对于 Vercel-direct 会话,封套在 Upstash 上用平台密钥封装存储。
AWS (KMS)Executive opt-in 的租户 CMK
SOC 2 Type II、FIPS 140-2 二级(KMS);FIPS 140-2 三级可通过 CloudHSM 获得(在合同 L3 要求下 JIT 激活)。当 Executive 客户选择启用时用于按块 DEK 的租户范围客户主密钥包裹。标准 AWS DPA + 在 AWS BAA 下符合 HIPAA。客户在自己的 AWS 账户中控制密钥;ArcaKey 运行时 IAM 角色仅被授予 Encrypt / Decrypt。
Stripe计费
SOC 2 Type II、PCI-DSS 一级。仅处理支付;从不接触 vault 内容或推理流量。
Brave Search网络搜索索引(按轮 opt-in)
已签约的搜索索引。对于 Tab 1 与 Tab 2,Brave 查询从已证明 CVM 内发出;查询明文从未到达 Vercel。对于 Tab 3,查询从 Vercel 运行时发出。无论哪种情况 Brave 都看到查询明文 — ArcaKey 不声称端到端加密搜索。

Frontier model providers (Best in Class AI)

Anthropic前沿模型提供商 — Claude 家族
SOC 2 Type II;供应商 BAA 计划可用。ArcaKey ↔ Anthropic BAA + ZDR 均于 2026-05-24 在 ArcaKey AI, LLC 名下请求;等待对方签署。在 Pro Suite 及以上可达;两个合同对方签署后,HIPAA 覆盖访问随之激活。
OpenAI前沿模型提供商 — GPT 家族
SOC 2 Type II;供应商 BAA 计划可用。ArcaKey ↔ OpenAI BAA 于 2026-05-24 在 ArcaKey AI, LLC 名下生效。当前未单独签订 ZDR — 适用 OpenAI 默认 API 保留条款。在所有付费等级可达(按模型门控)。
AWS Bedrock (Mistral Large 3)前沿模型提供商 — us-east-2 的 Mistral Large 3
SOC 2 Type II、ISO 27001、FIPS 140-2 二级(KMS)。AWS 账户级 BAA 于 2026-05-11 在 ArcaKey AI, LLC 名下生效 — 与覆盖我们租户 CMK KMS 基础设施的相同 BAA 总伞。Mistral Large 3 仅通过 Bedrock 提供;不使用 Mistral La Plateforme 的直接 API(仅 DPA,无供应商 BAA 计划)。在 Executive 及以上可达。

HIPAA / PHI 处理 — 三个独立的层

审查 ArcaKey HIPAA 故事的买家应区分三个独立的层,每层今天都有自己的状态。买家常见的混淆是把它们等同 — "Anthropic 有 BAA,所以我的数据被覆盖"是层 1 的陈述,不是层 3 的陈述,二者之间的差距是合同性的,不是加密性的。

  1. 供应商级 BAA 计划

    Anthropic 和 OpenAI 在供应商层级提供 BAA 计划(Tab 3 面上的"BAA AVAILABLE"徽章的来源)。Google Vertex AI BAA 待定。Mistral 没有自己的供应商 BAA 计划,但 ArcaKey 仅通过 AWS Bedrock 在 AWS 账户级 BAA 之下路由 Mistral(2026-05-11 生效),因此 Mistral 推理与 Tab 3 的其余部分携带相同的 HIPAA 合规姿态——通过不同的合同机制。这些是供应商和基础设施能力,独立于 ArcaKey 签署的任何合同。

  2. ArcaKey ↔ 供应商 BAA 执行

    ArcaKey 是否对每个上游 BAA 进行反签在活的 BAA 子处理者矩阵中跟踪;今天并非所有门都已关闭。JIT 行"受 HIPAA 覆盖的产品化处理"跟踪剩余门加 Vercel BAA 反签的关闭。可通过尽职调查评审者的评估包获得。

  3. ArcaKey ↔ 客户 BAA

    ArcaKey 今天没有任何直接受 HIPAA 覆盖的客户合同。第一个签约的需要受覆盖处理的客户参与触发 JIT 触发器;在那之前,加密姿态(Phala TEE 在 Tab 1 上,范围限于 Qwen 2.5 / 3.5;ZDR + 符合供应商 BAA 资格的提供商在 Tab 3 上)独立于客户端 BAA 执行而存在。

链接的工件

评审就绪检查: /security-review

实时证明

每一经 TEE 路由的会话都会生成一份您可以下载并离线校验的签名证明工件。下方的样本在每次请求时都会被新近签名——它是真实工件,而非静态文件。

下载签名样本已发布的公钥如何校验

发布前注释:在 GCP A3 Confidential VM 容量启用之前,NRAS 证据层为占位来源。今天 ArcaKey 对该工件的绑定签名是真实且可校验的。在容量切换时会自动过渡到实时 NRAS——工件结构不会变化。请参见 TEE 证明参考的第 6 节。

可辩护主张清单

主张由谁验证
端到端加密白皮书第 4 节
后量子加密(ML-KEM-768 / ML-DSA-65)白皮书第 3 节
硬件隔离推理(TEE)TEE 证明参考 + 签名样本
不在您的数据上训练威胁模型第 3 节(A4)
用户持有密钥(Permanent / Sovereign)白皮书第 7 节
按需零保留(Ghost Mode)白皮书第 4 节 + 威胁模型 A4
ArcaKey 无法读取 Sovereign 内容(Phase 2)Phase 2 架构
响应防篡改白皮书第 4 节 + 威胁模型 A6

披露政策

ArcaKey 欢迎安全问题的报告。我们承诺:

  • · 1 个工作日 内确认收到报告。
  • · 5 个工作日 内提供分诊评估。
  • · 对在善意行事、不导出客户数据,且在公开披露前给我们合理时间修复的研究人员,不采取法律行动。
  • · 对希望具名的报告者,在 致谢 中公开致谢。

请发邮件至 security@arcakey.ai。PGP 公钥位于 /docs/arcakey-security-pgp.txt(待发布)。

Need a written assessment?

The ArcaKey Defensibility Audit is a 30-day advisory engagement that produces a founder-signed, independently reviewed memo mapping your AI workflows against Title 21, NIST post-quantum, and AI RMF standards. Suitable for inclusion in your AI governance file, sponsor due-diligence packet, or regulatory submission appendix.

See the Defensibility Audit

评估包

符合条件的组织可申请 ArcaKey 评估包——架构白皮书、威胁模型、独立渗透测试执行摘要(完成后)、HIPAA BAA 模板、SOC 2 观察函,以及与创始人的 30 分钟技术简报。

申请评估包面向组织

致谢

尚无已发布的报告——本节将在报告分诊与修复后列出研究人员。