01fine-tune · live
健康科技 · 医疗聊天
HIPAA 级 · 13B QLoRA
“在 TDX + H200 中进行患者对话微调。权重从不接触我们的云或他们的云——封装到配方中,KMS 仅在经过证明的 CVM 内重新生成。”
medical-chat v3
TDX + H200 · 权重已封存
Every phase of your training stack — sealed.
SFT, DPO, RLHF, LoRA / QLoRA / PEFT, continued pre-training, and multimodal extension. Run the pipeline you already use with TRL, Unsloth, and HuggingFace — on data that never leaves the silo.
training pipelines · single-tenant
fork · register · seal
phase
pipeline
base · method
hardware
status
SFT
Instruction-tuned assistant
Llama 3.1 8B
TRL · full SFT
TRL · full SFT
H200 ×1
ready
DPO
Helpfulness preference align
Llama 3.1 8B-SFT
TRL DPOTrainer
TRL DPOTrainer
H200 ×1
ready
RLHF
Safety reward + PPO
Mistral 7B-SFT
reward model + PPO
reward model + PPO
H200 ×2
busy
LoRA
Domain coding copilot
Qwen2.5-Coder 14B
PEFT · LoRA r=32
PEFT · LoRA r=32
H200 ×2
ready
QLoRA
Medical chat (memory-fit)
Llama 3.1 70B
QLoRA 4-bit
QLoRA 4-bit
H200 ×4
busy
Continued PT
Legal corpus adapter
Llama 3.1 8B
unsloth · 1.2B tokens
unsloth · 1.2B tokens
H100 ×4
ready
SFT
Domain RAG embedder
BGE-m3
contrastive · in-batch
contrastive · in-batch
H100 ×1
ready
Multimodal
Vision-language adapter
Llama 3.2 11B-V
projector + SFT
projector + SFT
H200 ×2
forming
cross-silo consortia · multi-party
multi-sig · k-of-n unwrap
consortium
records
training method
status
Cardio-renal cohort
4 hospitals · EU + US
1.6M rows
SFT · risk classifier
live
Cross-bank fraud signals
6 banks · US + UK + SG
78M tx
RLHF preference · joint
live
Rare-disease genomics
3 research consortiums
54k samples
continued PT · embedder
live
Supply-chain risk benchmark
8 vendors · global
12M records
DPO · ranked outcomes
forming
工作原理
完整演示一次封存的训练运行。
关闭 dstack,查看每一步具体失去哪项保障。
在 TEE-GPU 集群上进行封装训练
SFT · DPO · RLHF · PEFT · 持续预训练 — 已认证 H200 节点上的加密梯度,签名清单输出
活跃边缘未激活步骤中新增
步骤 1 of 5 · 随滚动响应1
步骤 1 / 5所有者封存数据集 · Compose-Hash 已注册
每个数据所有者都会在本地派生一个封装密钥:HKDF(kms_root_pubkey, training_app_id, training_compose_hash, owner_id),对其分片加密并发布密文。training compose-hash 锁定框架、训练脚本和超参数文件(TRL · Unsloth · HF Trainer)。授权通过拥有 DstackApp.sol 的多签在链上共同注册。
With dstack: 所有者只会释放针对未来已审阅的证明构建进行封存的密文。
每个训练阶段一个流水线。沿用你现有的同一套技术栈。
监督微调
TRL SFTTrainer 或 Unsloth。unwrap_dataset() 通过 dstack-guest-agent 拉取每个所有者的密钥——你的训练循环无需修改。输出:一个封存的 checkpoint 和一份签名清单。
SFT
from trl import SFTTrainerds = unwrap_dataset("sealed/sft.tar")tr = SFTTrainer(model, tokenizer,train_dataset=ds, ...)tr.train()phala.sign_manifest(tr.state)
DPO · RLHF
from trl import DPOTrainerprefs = unwrap_dataset("sealed/prefs")tr = DPOTrainer(policy, ref,beta=0.1, train=prefs)tr.train()# → aligned policy + manifest
偏好 / RL 对齐
用于偏好对优化的 DPOTrainer / IPOTrainer,或结合 reward model + PPO 的完整 RLHF。封存提示词、封存偏好数据、受认证的 reward model。
PEFT · LoRA / QLoRA
HuggingFace PEFT。对冻结的基础模型训练低秩适配器;LoRA 权重封存到 compose-hash,并在受认证的重新派生后合并。适用于内存受限运行的 4-bit QLoRA。
LoRA · QLoRA
from peft import LoraConfigcfg = LoraConfig(r=32,target_modules="q,k,v,o")model = get_peft_model(base, cfg)trainer.train()# sealed adapters · 0.4% params
CONTINUED PT
$ phala deploy \-c docker-compose.yml \-n llama-cpt \-t h200.small --kms phala→ stream-unwrap in TDX memory✓ manifest · token-hashes signed
持续预训练
在封存的 token 语料上对基础模型进行领域适配。流式 dataloader 在 TDX 内存中解封分片;运行结束后输出一份签名清单,覆盖 token 哈希、超参数和最终 checkpoint。
sealed dataset · cohort-A.tar
1.6M rows
ownerhospital-Aanalysis-app-id0x4f6a…91c0analysis-compose-hash0xa42b…d1f3wrap-keyHKDF(kms, app, compose, owner)algoAES-256-GCM
SealedHIPAAGDPRnever-exits-silorecipe-bound
在源头封存 · 按所有者分配 HKDF
每个所有者的封装密钥都是 HKDF(kms_root, app_id, compose_hash, owner_id)。更改配方 → 密钥随之变化,旧密文将被永久锁定。封装密钥仅在 compose-hash 匹配的受认证 CVM 内重新派生。
training manifest · sign-rpc
signedmodelllama-3.1-8b · LoRA r=16datasets2 sealed · 1.23M rowsdataset_hashes0xab12…d5, 0x4ef3…21compose_hash0xa1b2…d1f3model_checksum0x9c1a…f7e2sigchains TDX root + on-chain
verify offlineregulator-grade artifact
已签名的训练清单 = 审计凭证
每次运行都会生成一份 Sign-RPC 清单,将代码、数据集、超参数和模型校验和绑定到链上 compose-hash。把清单交给监管方,而不是模型文件。
已在生产环境中使用
封存训练,投入生产。
按配方绑定的微调,交付封装模型。跨孤岛训练中,合规标识物是清单,而不是模型文件。
02multi-party · live
心肾队列研究
4 家医院 · 欧盟 + 美国 + 瑞士
“每家医院封存自己的数据集;KMS 只会为已批准的 compose 解锁。最终输出:一份签名清单,绑定代码、数据集和模型校验和。”
1.6M records
多签 DstackApp · DP-aggregate out
03multi-party · live
跨银行欺诈信号
6 家银行 · 全球
“在没有任何银行看到其他银行账本的情况下训练联合 AML 模型。把清单而不是模型文件交给监管机构。”
78M tx records
k-of-n quorum · sign-rpc manifest
符合 HIPAA 级别
患者数据已封存
GDPR / UK GDPR
保留数据驻留
PCI / FFIEC
受限的跨银行联合
SOC 2 Type II
已证明运行历史
AI 解决方案路径
在 AI 触及密钥时使用隐私模型。
隐私模型端点是第一个入口点。同样的隐私原语也适用于代理、数据工作流和训练。
LLM API
隐私 AI 推理
提供 OpenAI 兼容的模型调用,提示词、输出和客户上下文都需要在使用中加密保护。
DeepSeek V3.1
128K
$0.27/M input
Qwen3 Coder
256K
$0.40/M input
Llama 3.3 70B
128K
$0.15/M input
GPT OSS 120B
128K
$0.10/M input
Claude Sonnet 4.5
200K
$3.00/M input
Gemini 2.5 Pro
1M
$1.25/M input
Agents
隐私 AI 代理
在可验证的运行时中运行代理的密钥、工具、记忆和操作,而不是放在可见的自动化云中。
Data
隐私 AI 数据
将模型移动到敏感记录旁,在不向模型运营方暴露原始数据的情况下返回已批准的输出。
source
EHR data
source
Customer records
source
Internal docs
TEE clean room
query without raw access
approved output
aggregate only
no row exportproof linked
Deploy private training
在密封数据上训练。把清单交给监管方。
可为单个客户微调,或跨数据孤岛联合训练。按所有者 HKDF、DstackApp 多签门控、签名清单绑定代码、数据集和模型。TDX + H100/H200。
- 01LoRA / QLoRA via Unsloth
- 02Owner-side HKDF dataset sealing
- 03Multi-sig DstackApp co-approval
- 04Sign-RPC training manifest
- 05On-chain compose-hash revocation
- 06Combined CPU + GPU TEE attestation
