Red Hat e Duality Technologies hanno presentato un'architettura congiunta che promette di risolvere uno dei nodi più delicati nell'adozione dell'intelligenza artificiale da parte di settori altamente regolamentati: come addestrare ed eseguire grandi modelli linguistici su dati estremamente sensibili senza doverli mai spostare, duplicare o esporre a terzi, nemmeno al fornitore del cloud su cui i calcoli vengono eseguiti. La partnership, descritta in un post tecnico firmato da Ariel Adam di Red Hat e Adi Hirschstein, VP Product di Duality, punta dritta ai casi d'uso più critici: difesa, sanità, intelligence e collaborazione tra agenzie governative.
Il problema che le due aziende cercano di affrontare è noto a chiunque si occupi di sicurezza informatica da tempo. Si è imparato a proteggere i dati quando sono fermi, archiviati su un disco, e quando viaggiano, criptati lungo una connessione di rete. Ma esiste una terza fase, quella in cui i dati vengono effettivamente elaborati dalla CPU e risiedono temporaneamente nella memoria di sistema, che è rimasta per anni il punto debole della catena. È proprio in quel momento, durante l'uso effettivo, che un'informazione sanitaria, un dato di intelligence o un fascicolo riservato di un'amministrazione pubblica diventa vulnerabile.
La risposta tecnica si chiama confidential computing, una famiglia di tecnologie che si basa su Trusted Execution Environment, ambienti hardware isolati e "attestati" che proteggono contemporaneamente la riservatezza dei dati, la loro integrità e quella del codice che li elabora. Red Hat fornisce l'infrastruttura di base attraverso i confidential containers di OpenShift, mentre Duality costruisce sopra questa fondazione una piattaforma di collaborazione pensata per gestire l'intero ciclo di vita di un progetto AI: dalla definizione delle policy di accesso fino all'auditing finale.
La piattaforma di Duality si articola su tre livelli. Il primo riguarda la gestione della collaborazione, con strumenti per definire chi può accedere a quali dati, con quali regole e a quale frequenza. Il secondo è il livello computazionale, capace di eseguire training, inferenza, fine-tuning di modelli e analisi su larga scala. Il terzo, probabilmente il più interessante dal punto di vista tecnico, combina diverse tecnologie di tutela della privacy: crittografia omomorfica completa, privacy differenziale, apprendimento federato e, appunto, gli ambienti di esecuzione fidati. La possibilità di combinare questi approcci permette, ad esempio, in uno scenario di federated learning, di mantenere il calcolo vicino alla fonte del dato mentre i pesi intermedi che vengono inviati a un server centrale restano protetti dentro l'enclave sicura, al riparo persino da chi gestisce quel server.
Uno degli aspetti più concreti dell'annuncio riguarda un caso d'uso dimostrativo di inferenza protetta in cloud. Un utente che lavora on-premise genera un prompt; questo viene criptato lato cliente con AES, mentre la chiave stessa viene cifrata usando una chiave pubblica generata all'interno dell'ambiente di confidential computing. Prompt e chiave criptati viaggiano fino al nodo Duality che opera in cloud dentro il container confidenziale, dove il prompt viene eseguito; il risultato torna criptato all'utente, che lo decifra. In questo modo, il fornitore del servizio cloud non ha mai accesso in chiaro né all'input né all'output del modello.
Dietro le quinte, la gestione delle chiavi si appoggia al Key Broker Service di Red Hat all'interno del framework Trustee, e segue un protocollo di attestazione preciso: la macchina virtuale confidenziale dimostra crittograficamente la propria integrità, il proprietario del dato verifica questa prova, dopo di che avviene uno scambio di chiavi basato su crittografia post-quantistica, e solo a quel punto i dati sensibili vengono effettivamente trasmessi. Da segnalare un dettaglio non banale: nell'attuale versione del sistema è sufficiente che una sola parte completi il processo di attestazione, ma Duality sta già lavorando a un'estensione multiparty che permetterà a ciascun proprietario di asset di eseguire autonomamente la propria verifica.
Sul fronte della governance, il sistema adotta un principio di security by design piuttosto rigoroso: per impostazione predefinita, ogni accesso ai dati è negato, e un'analisi può essere eseguita solo se esiste una policy che la autorizza esplicitamente. A questo si aggiunge una funzione di "workload signing" che verifica come il calcolo effettivamente eseguito in un determinato momento corrisponda esattamente a quello approvato in precedenza dal proprietario dei dati, impedendo manomissioni anche minime del codice. Tutto questo è accompagnato da un sistema di logging integrato, basato sullo stack ELK, che registra ogni operazione per finalità di audit e compliance, con la possibilità per le aziende di collegare i log al proprio Elasticsearch esistente.
Un elemento che merita attenzione per chi segue l'evoluzione dell'AI agentica è l'apertura della piattaforma al Model Context Protocol, lo standard che permette ad agenti AI e modelli linguistici di interagire direttamente con sistemi esterni. Duality offre infatti interfacce multiple, dall'interfaccia utente pensata per amministratori e utenti business, fino ad API e SDK per data scientist, passando appunto per il supporto MCP, pensato esplicitamente per abilitare in futuro flussi di lavoro autonomi di sovereign AI gestiti da agenti.
L'accordo si inserisce in una strategia più ampia di Red Hat sul tema della sovranità digitale, che negli ultimi mesi ha visto l'azienda rafforzare partnership simili anche con Intel e Nvidia sul fronte del confidential computing, e lanciare programmi di supporto dedicati a clienti governativi e a settori ad alta regolamentazione. Il filo conduttore è sempre lo stesso: permettere a enti pubblici, ospedali, banche e organizzazioni della difesa di sfruttare la potenza dei modelli linguistici di ultima generazione senza dover rinunciare al controllo pieno sui propri dati più sensibili, né dipendere ciecamente dall'infrastruttura di un singolo fornitore cloud.