تكامل وحدة أمن العتاد لإدارة مفاتيح نماذج الذكاء الاصطناعي

عُنقود ذكاء اصطناعي سيادي بلا وحدة أمن عتاد هو خزانة ملفات باهظة الثمن مع ملصق لافت. أوزان النموذج، ومحوّلات LoRA، وحزمة النشر، كلّها ملفات على شبكة تخزين يستطيع أيّ مهندس مميّز نسخها. وحدات أمن العتاد (HSM) تسدّ هذه الفجوة بحفظ المفاتيح التي توقّع وتشفّر وتوثّق هذه الأصول داخل سيليكون مقاوم للعبث. تتناول هذه المقالة الأسئلة الأربعة العملية التي تتكرّر في كلّ نشر لـحصن، ما الذي تفعله الوحدة فعلياً للذكاء الاصطناعي، وما المستوى المطلوب من FIPS، وكيف تتكامل PKCS#11 مع vLLM وTGI، وما الأجهزة التي تشحن داخل بيئة معزولة.

ما الذي تفعله وحدة أمن العتاد، ولماذا يحتاجها نشر الذكاء الاصطناعي

وحدة أمن العتاد جهاز مقاوم للعبث يولّد ويحفظ ويستخدم المفاتيح التشفيرية دون أن تنكشف مادّة المفتاح لنظام التشغيل المضيف. ثلاث مهام محدّدة للذكاء الاصطناعي تبرّر تكلفتها في كلّ نشر سيادي:

• توقيع حزم النماذج. كلّ نقطة تفتيش Gemma أو Qwen أو Falcon Arabic تصل إلى داخل الحصن هي حزمة tar تحتوي أوزاناً ومرمّزاً وملفّ تهيئة وملفّات محوّلات. مفتاح التوقيع داخل الوحدة ينتج توقيعاً منفصلاً يتحقّق منه محمّل العنقود قبل أن يلامس الملفّ محرّك الاستدلال. عبث ببايت واحد، يفشل التحميل.
• تشفير الأوزان أثناء السكون. تغلّف الوحدة مفتاح AES-256 لكلّ نموذج، ولا تستطيع عقدة الاستدلال طلب فكّ التغليف إلّا بعد تقديم قياس إقلاع موثّق. قرص NVMe مسروق هو طوبة مسروقة.
• توثيق سلالة الضبط الدقيق. كلّ تشغيل ضبط دقيق ينتج بياناً يضمّ بصمة النموذج الأساس، وبصمة مجموعة البيانات، والمعاملات، وتوثيق المضيف. توقّع الوحدة هذا البيان. عندها يحصل المدقّقون على سلسلة قابلة لإعادة التشغيل ضدّ أيّ دمج RLHF أو LoRA، لا ملفّ CSV يستطيع أيّ صاحب صلاحية كتابة إعادة كتابته.

المنطق الأعمق يعيش في المقالة الأم حول HSM AI key management: العزل الفيزيائي ضروريّ لكنّه غير كافٍ. حالما يدخل مشغّل مميّز الغرفة، لا يوقف خروجه بالنموذج إلّا مادّة مفاتيح في عتاد مقاوم للعبث.

مستويات FIPS 140-2/3 والمطلوب من المشتري السيادي

FIPS 140 هو المعيار الفيدرالي الأمريكي الذي يصنّف وحدات التشفير. الجيل الحالي هو 140-3، الذي حلّ محلّ 140-2 ويجب أن تطلبه المشتريات الجديدة. أربعة مستويات قائمة، اثنان فقط منهما يعنيان البنية التحتية للذكاء الاصطناعي:

• المستوى الثاني. طلاءات تكشف العبث، ومصادقة قائمة على الأدوار. مقبول لجهاز طرفي في فرع مضبوط فيزيائياً.
• المستوى الثالث. غلاف مقاوم للعبث مع تصفير نشط، مصادقة قائمة على الهوية، وفصل بين واجهتي الإدارة والتشفير. هذا هو الحدّ الأدنى للوزارات والمنظمين والمصارف والجهات الدفاعية.

تطوّر مشهد الموردين أسرع من المتوقّع. كانت Thales Luna 7 أوّل عائلة وحدات أمن عتاد شبكية تحصل على اعتماد FIPS 140-3 المستوى الثالث، تلتها وحدة Luna Backup HSM في 2025. ووحدة Entrust nShield 5 حصلت على اعتماد FIPS 140-3 وأصبحت من المجموعات القليلة المؤهّلة لأشدّ النشرات الحكومية والمالية صرامة.

للمشتريات السيادية العُمانية، تكتب فقرة المواصفات: «وحدة معتمدة FIPS 140-3 المستوى الثالث، حالية على القائمة النشطة لـNIST CMVP، مع خارطة طريق موثّقة لخوارزميات ما بعد الكمّ تشمل ML-KEM وML-DSA». هذه الجملة تستبعد 90٪ من السوق المرشّح، وتترك أربعة موردين جدّيين هم من ينبغي للمشتري الجادّ التفاوض معهم أصلاً.

أنماط تكامل PKCS#11 مع vLLM وTGI

PKCS#11 هي واجهة C الموحّدة بين الموردين التي تتحدّثها كلّ وحدة أمن عتاد جدّية. محرّكات الاستدلال مثل vLLM وTGI لا تستدعي PKCS#11 مباشرة، ولا ينبغي لها. التكامل يعيش طبقة أعلى، في المحمّل الذي يجهّز النموذج قبل تسليمه للمحرّك.

النمط الذي يعمل على رفوف حصن:

1. تصل حزمة نموذج موقّعة (حزمة tar مع توقيع PKCS#7 منفصل) إلى العنقود عبر صمّام أحادي الاتجاه.
2. عملية محمّل تفتح مكتبة موفّر PKCS#11، وتجد مفتاح التوقيع باسمه، وتتحقّق من التوقيع.
3. إذا كانت الحزمة مشفّرة، يطلب المحمّل من الوحدة فكّ تغليف مفتاح ملفّ AES-256. يحدث الفكّ داخل الجهاز. ولا يعود المفتاح المفكوك إلّا داخل فضاء عنوان المحمّل.
4. يفكّ المحمّل تشفير الأوزان إلى قرصٍ في الذاكرة tmpfs، ثمّ ينفّذ vLLM أو TGI مع وسيطة مسار تشير إلى الدليل المفكوك.
5. يُصفَّر مفتاح فكّ التشفير في ذاكرة العملية قبل أن يبدأ المحرّك الخدمة. عند الإطفاء، يتبخّر tmpfs.

هذا النمط يبقي vLLM وTGI دون تعديل. يخدمان نفس واجهة OpenAI المتوافقة المعتادة. يعيش الحدّ التشفيري في محمّل من 200 سطر، صغير بما يكفي لقراءته من البداية إلى النهاية وتدقيقه سنوياً.

وحدات متوافقة مع البيئة المعزولة: Thales، Entrust، Utimaco، YubiHSM

ليست كلّ وحدات أمن العتاد ودودة مع البيئة المعزولة. بعضها يفترض ترخيصاً سحابياً، وبعضها يحتاج إرسال قياسات للمورّد، وبعضها يأتي خدمةً مُدارة فقط. أربع عائلات أثبتت نفسها ميدانياً في النشرات السيادية دون اتصال:

• Thales Luna 7 Network HSM. جهاز 1U، إدارة شخصين عبر PED، اعتماد FIPS 140-3 المستوى الثالث، تشغيل كامل دون اتصال. الخيار المرجعي حين يسمح الميزانية. مكدّس PKCS#11 قويّ ونموذج تقسيم مجرّب يخرّط مفاتيح التوقيع لكلّ نموذج بنظافة.
• Entrust nShield 5 (Solo XC، Connect XC). بطاقة أو جهاز. اعتماد FIPS 140-3 المستوى الثالث عبر المجموعة. نموذج Security World مفيد حين يجب أن تنجو المفاتيح من استبدال وحدة. شائع في مصارف الخليج المركزية.
• Utimaco SecurityServer / CryptoServer Se-Series. هندسة ألمانية، تدعم eIDAS وVS-NfD وFIPS بالتوازي. ملاءمة قوية للمؤسّسات التي تعمل أيضاً مزوّد توقيع مؤهّل تحت eIDAS.
• YubiHSM 2 FIPS. رمز USB-A، بحجم الكفّ، يدعم PKCS#11. ليس بديلاً عن وحدة شبكية في رفّ، لكنّه الأداة المناسبة لنشر برج في فرع، أو محطّة عمل بحثية لمستخدم واحد، أو محطّة توقيع تشريفية تعيش في خزينة ولا تخرج إلّا لمباركة حزمة نموذج جديدة.

ملاحظة أخيرة: كلّ وحدة معزولة تحتاج ساعة، وتصدير سجلّ تدقيق، وتحديثات برامج ثابتة. خطّط لهذه المسارات منذ اليوم الأوّل. محاولة إضافتها بعد ختم جهاز المستوى الثالث داخل SCIF صداع فصليّ.

خاتمة

وحدات أمن العتاد تحوّل العزل من محيطٍ إلى خزينة. حزمة النموذج التي تشحن إلى داخل الحصن تحمل توقيعاً يستطيع أيّ مشغّل التحقّق منه ولا يستطيع أيّ مشغّل تزويره. الأوزان على وحدة التخزين عديمة الفائدة بدون مفتاح التغليف. وبيان الضبط الدقيق سلالة موقّعة، لا ملاحظة أمنيّة. لا شيء من هذا غريب، كلّه هندسة تشفير قياسية لحقت بها أدوات الذكاء الاصطناعي أخيراً.

إذا كانت مؤسّستك تحجم نشراً سيادياً للذكاء الاصطناعي وتودّ مناقشة اختيار وحدة أمن العتاد، وأدلّة FIPS، ونمط محمّل PKCS#11، راسلنا على [email protected] لجلسة إحاطة بساعة واحدة. نأتي بفقرات المواصفات، وهيكل شفرة التكامل، ومقارنة الموردين الأربعة.