Autor: Jeff @IOSG
Por qué se necesita IA privada
El 1 de julio, Alex Karp, CEO de Palantir, protagonizó en CNBC una entrevista de 20 minutos que algunos medios calificaron de "colapso mental". Según Karp, las empresas están pagando una prima por token a los laboratorios punteros, mientras ven cómo su IP fluye hacia los proveedores de modelos. Califica esta filtración como una transferencia de alfa, y esta transferencia está ocurriendo en la capa de arquitectura: cada solicitud enviada a un modelo de código cerrado llega en texto plano a los servidores del proveedor. Solo unos días antes de la emisión del programa, Palantir había anunciado una colaboración con NVIDIA para ejecutar el modelo abierto Nemotron en entornos controlados por los clientes, junto con una declaración de nueve puntos sobre soberanía de IA. Tras la emisión del programa, las acciones de PLTR subieron un 8%.

En las últimas dos décadas, las empresas adoptaron software en la nube confiando en los protocolos, y funcionó. Cada proveedor de SaaS veía solo una porción de los datos empresariales, y la mayoría no tenía muchos incentivos para utilizar esos datos de clientes en su producto principal. Salesforce veía los canales de ventas, Workday veía el personal, Jira veía el desarrollo, y AWS proporcionaba la infraestructura de almacenamiento y computación. Sin embargo, los flujos de trabajo de IA actuales proponen subir toda la información de una vez, junto con el contexto estructurado que conecta a los departamentos, para maximizar la productividad. Independientemente de las buenas intenciones, los proveedores de servicios aguas arriba ahora pueden usar esos datos para crear nuevas funciones, en lugar de dejarlos inactivos en los servidores.
Nadie está desacelerando. Los ingresos anualizados de Anthropic alcanzaron los 470 mil millones de dólares en mayo, un gran salto desde los 90 mil millones de dólares a finales de 2025, mientras que OpenAI superó los 900 millones de usuarios activos semanales en febrero. Ambas compañías completaron nuevas rondas de financiación esta primavera, con valoraciones cercanas al billón de dólares, y se espera que hagan IPO a una capitalización de mercado aún mayor. Años de acusaciones sobre privacidad e IP no han hecho perder impulso a ninguna de las dos.
Algunas empresas ya actuaron. En febrero de 2023, menos de tres meses después del lanzamiento de ChatGPT, los principales bancos de Wall Street ya habían restringido su uso. En mayo de 2023, tras la filtración del código fuente de chips de Samsung en ChatGPT, la compañía prohibió la IA generativa en toda su red. Como respuesta, OpenAI lanzó ChatGPT Enterprise en agosto de ese año, prometiendo no usar datos comerciales para entrenar, además de un protocolo de retención cero de datos (ZDR), que luego se convirtió en un requisito estándar para las adquisiciones empresariales.
Pero los contratos solo bloquean la cuenta corporativa. IBM descubrió que, para 2025, la IA sombra (empleados que introducen datos corporativos en herramientas de IA no aprobadas mediante cuentas personales) ya estaba involucrada en una quinta parte de las filtraciones de datos, y el uso intensivo de IA sombra añadía en promedio 670,000 dólares al coste de una filtración. En una encuesta de 2025 de la empresa de formación en seguridad Anagram, el 40% de los empleados afirmó estar dispuesto a violar las políticas de uso de IA para completar tareas más rápido.
Las empresas al menos pueden comprar una salida: contratos ZDR, planes de servicio que no entrenan, y despliegue soberano si eres un gobierno o cliente de Palantir. Pero para usuarios comunes como tú y yo, aún se debate la importancia de la IA privada, hasta que llega una citación judicial.
En mayo de 2025, una orden judicial obligó a OpenAI a retener incluso los chats de nivel de consumo que los usuarios habían eliminado. En noviembre, un juez ordenó entregar 20 millones de esos chats a los abogados de *The New York Times* como material para la revelación de pruebas. Luego vinieron casos penales: los registros de ChatGPT del acusado en el caso de incendio provocado de Palisades se incluyeron como prueba; una declaración jurada en un doble asesinato en Florida citaba preguntas del sospechoso sobre cómo manejar cuerpos. Sam Altman también admitió en una entrevista en julio de 2025 que las conversaciones de ChatGPT no están protegidas por privilegio legal y que en litigios OpenAI "podría verse obligado a entregar" registros de chats de usuarios.
El punto no es que solo los criminales necesiten conversaciones privadas. Que las conversaciones de la gente con la IA sean archivadas y puedan ser citadas es una superficie de vigilancia que la mayoría de los usuarios desconoce. Una encuesta de Kolmogorov Law en octubre de 2025 a 1000 usuarios de IA en EE.UU. encontró que el 50% no sabía que estas conversaciones podían ser citadas, mientras que dos tercios creían que estos chats deberían tener la misma protección que una consulta con un abogado o un médico.
Los modelos de código abierto auto-alojados o ejecutados en entornos verificables están alcanzando rápidamente, pero los más potentes aún están unos 4 meses por detrás de los modelos de código cerrado punteros en capacidad general. Esto coloca a empresas e individuos obsesionados con los tokens en una encrucijada: renunciar a unos meses de calidad del modelo por esta privacidad, o seguir enviando material sensible a los servidores de Anthropic, porque así es como los competidores están ganando ventaja en productividad.

Actualmente no hay una solución perfecta en el mercado. Este informe analiza los intentos de varias partes para cerrar la brecha, observando cuánto falta para que la inteligencia de vanguardia con privacidad comprobable llegue a manos de empresas y usuarios comunes.
Cómo se implementa la privacidad actualmente
La IA privada no es una única ingeniería, pero cada mecanismo en el mercado actual aborda el mismo evento: un prompt sale de tu dispositivo, viaja por la red, llega a la máquina que ejecuta el modelo y devuelve una respuesta. La diferencia entre mecanismos radica en dónde existe el texto plano en esta ruta, quién puede leerlo allí y en qué se basa para verificar la privacidad de la respuesta.
Privacidad a nivel de protocolo
En esta capa, alguien más que tú lee tu prompt en texto plano. Lo que sucede después depende por completo de una promesa.

-
Retención Cero Contractual es la solución empresarial. El proveedor sabe quién eres, procesa tu prompt y promete no retenerlo. La ejecución depende del contrato y la reputación.
-
Proxy Anónimo borra quién eres, pero no cifra lo que dices. El proveedor de servicios aguas abajo aún procesa el texto plano según sus propias políticas. Los términos varían: proxies como Duck.ai (el producto chatbot de DuckDuckGo) negocian acuerdos de eliminación con los proveedores de modelos, mientras que Venice asume directamente que el proveedor guardará todo, pero en ambos casos no hay forma de verificar.
Cada tramo entre máquinas se ejecuta sobre TLS, que solo cifra el conducto; la parte receptora puede leer toda la información. Los relays suelen usar Oblivious HTTP (RFC 9458) para dividir este conocimiento, funcionando como pasar una nota a través de un amigo. El amigo sabe quién la pasó pero no puede leer el contenido; el destinatario puede leer el contenido pero no sabe quién lo escribió. OHTTP es un estándar IETF desde enero de 2024, y muchas compañías ya ejecutan tráfico de producción en relays OHTTP alquilados a Cloudflare y Fastly.
Este también es el límite máximo de privacidad que se puede obtener accediendo a modelos de código cerrado, debido a un problema aritmético. Un entrenamiento de primer nivel ahora cuesta miles de millones de dólares, y las valoraciones de casi un billón de dólares de estos laboratorios apuestan por la exclusividad de los pesos del modelo. Mientras dure la brecha de capacidad del modelo, durará la prima, por lo que los laboratorios guardan los archivos de pesos como secretos de estado.
Meta ya ha hecho este experimento de forma pasiva. LLaMA, lanzado en febrero de 2023, inicialmente solo estaba disponible para investigadores, pero en menos de una semana los pesos se filtraron a 4chan en forma de torrent. Una semana después, llama.cpp permitía que el modelo más pequeño, el 7B, respondiera localmente en un MacBook. Tres días después, Stanford fine-tuneó el asistente de chat Alpaca en el mismo modelo por menos de 600 dólares. Esta filtración redujo el coste de ejecución de Llama al de la electricidad; cualquiera con el archivo podía ejecutarlo en casa. En julio de 2023, Meta abrió oficialmente Llama 2 con una licencia comercial que excluía a entidades con más de 700 millones de usuarios activos mensuales. Los pesos se escaparon, y la prima también.
En teoría, los laboratorios punteros podrían hacer attestation (prueba remota) para la inferencia de modelos cerrados, pero la attestation solo puede demostrar qué código leyó el prompt, no qué hizo ese código con él. Para saber si el servidor retuvo datos, necesitaríamos auditar el código de servicio (servicio) y reconstruirlo hasta el hash reportado por el hardware. Pero una vez entregado el código de servicio, el laboratorio también entrega las técnicas de procesamiento por lotes y caché que sostienen su margen de beneficio, y estas técnicas migrarán a cada futura generación de modelos. Apple y Meta pueden hacer attestation remota para sus pilas de servicios detrás del iPhone y WhatsApp porque sus ganancias están en los dispositivos y la publicidad; revelar el código de servicio cuesta casi nada.
Esta es la razón por la que los pesos y el código de servicio de los modelos punteros no llegan a manos de operadores externos. Sin operadores externos, no hay attestation de terceros; sin attestation, la privacidad verificable solo existe en modelos de código abierto.
Privacidad a nivel estructural
Cada mecanismo en esta categoría reemplaza la confianza en una promesa con pruebas basadas en hardware, criptografía o física, pero cada uno paga un precio diferente por la mejora en privacidad, siendo el primero que solo pueden ejecutar modelos de código abierto.

-
Cómputo confidencial con TEE (Entorno de Ejecución Confiable) ejecuta la inferencia dentro de un enclave de hardware (un compartimento sellado en el chip que ni siquiera el operador de la máquina puede abrir). El chip firma una attestation que especifica exactamente qué modelo y qué código se ejecutó.
-
El prompt solo se sella en el destino. En la ruta intermediada por el proxy de la plataqueda, aún queda un rol que puede leer el texto plano, y lo único que impide al proxy registrar o filtrar el contenido en tránsito es el protocolo.
-
Cifrado de extremo a extremo (E2EE)elimina el relay legible. El dispositivo del usuario cifra el prompt con la clave del enclave; cada salto intermedio lleva un sobre sellado que solo el enclave puede abrir.
-
La confianza recae en el cliente. El código responsable de cifrar el prompt y verificar la attestation también tiene la capacidad de revocar esta garantía. Por lo tanto, el E2EE verificable necesita tanto un enclave probado como un código de cliente abierto y reproducible.
-
Comparado con la simplicidad del TEE, el coste del E2EE es la carga de ingeniería, lo que también ralentiza la integración de funciones. El E2EE convierte al proxy en un mensajero ciego, por lo que todas las funciones que dependen de leer texto plano deben reconstruirse alrededor de la clave del cliente o solo dentro del enclave.
-
FHE (Cifrado Homomórfico Completo, y variantes MPC)simplemente eliminan la parte confiable. El servidor realiza cálculos sobre texto cifrado en una caja cerrada que nunca puede abrir; la llave solo está en tus manos. MPC (Cómputo Seguro Multiparte) divide el prompt en participaciones secretas distribuidas entre múltiples partes; a menos que todas coludan, el efecto es el mismo.
-
El coste es la velocidad. El FHE nativo solo realiza sumas y multiplicaciones, por lo que los pasos no lineales necesarios para que funcione el transformer deben reconstruirse a un coste elevado. La inferencia sobre texto cifrado cuesta entre 10,000 y 100,000 veces más que en texto plano; incluso en modelos pequeños, cada token tarda segundos o minutos, mientras que sin cifrado son milisegundos.
-
Los chips personalizados para operaciones cifradas podrían reducir la brecha, pero el primer prototipo se demostró a principios de 2026, y las versiones comerciales tardarán algunos años más.
-
Inferencia local elimina directamente esta ruta. El modelo se ejecuta en tu propio hardware; no hay relays, ni servidores, ni proveedores de servicio, ni necesidad de verificación.
-
El coste obvio es el económico y la capacidad del modelo. gpt-oss-120b tiene una puntuación en el índice de Artificial Analysis de aproximadamente la mitad de GLM-5.2, pero ocupa 65GB, más que la memoria combinada de dos tarjetas gráficas insignia en el mercado. Y GLM-5.2 en precisión completa solo puede ejecutarse en un nodo de centro de datos con 8 GPUs, solo las GPUs cuestan más de 300,000 dólares.
Sin embargo, más allá de estas limitaciones estructurales, el coste de poner la inferencia en un enclave se está reduciendo. En inferencia con una sola GPU, las pruebas de referencia del proveedor de servicios en la nube Phala muestran que la pérdida de rendimiento en modo enclave para una H100 es en promedio inferior al 7%, y cercana a cero en modelos grandes, porque el coste principal está en mover datos al chip, no en calcular dentro. En inferencia multi-GPU, la nueva GPU Blackwell de NVIDIA ya admite cifrado directo del tráfico entre chips, mientras que la antigua H100 solo podía lograr un efecto similar a una séptima parte del ancho de banda pasando por la CPU host. Las pruebas de referencia de NVIDIA en Blackwell muestran una pérdida de rendimiento inferior al 8% para un modelo de 397B en modo enclave. Con estos avances, el coste de rendimiento de la inferencia privada en sí ya no es una restricción determinante.
De hecho, el enclave en sí apenas añade costes operativos adicionales al operador. Cada H100 desde 2023 tiene modo enclave integrado; el coste adicional es la pérdida de rendimiento por el cifrado, no chips extra. Actualmente, la SKU confidencial H100 en Azure se alquila a 8.90 dólares por hora, mientras que sin enclave es 6.98 dólares, un recargo del 27% sobre la infraestructura en la nube tradicional. Por otro lado, en operadores especializados en enclaves como Phala, las H100 en modo confidencial se alquilan desde 3.80 dólares por hora, por debajo del rango de 3.99 a 4.29 dólares de las tarjetas SXM normales en Lambda. En soluciones de API gestionadas, NEAR AI ofrece endpoints con attestation para gpt-oss-120b a 0.15 dólares por millón de tokens de entrada y 0.55 dólares de salida, en línea con Amazon Bedrock, Together y Groq en la ruta de texto plano. Incluso para modelos que necesitan múltiples chips en paralelo, NEAR AI tiene el mismo precio que Fireworks en GLM 5.2, y es un 15% más barato en entrada y un 4% en salida en el Kimi K2.6 más grande.
Aunque estos nuevos proveedores de inferencia privada puedan estar quemando beneficios para ganar cuota (algo que se aplica a cualquier empresa que quiera crecer en el mercado), la tendencia estructural es que el coste de la privacidad está bajando tanto para consumidores como para operadores.
¿Cómo ganan los modelos de código abierto?
Aunque se está comprimiendo la sobrecarga de rendimiento, aún hay una brecha visible entre los modelos punteros y los modelos de código abierto de vanguardia (SOTA). Un agente que busque maximizar la productividad aún debe confiar en que los laboratorios punteros no roben su IP.
La brecha persiste, pero AIA Labs de Bridgewater y Thinking Machines presentaron un caso el 30 de junio: un modelo abierto fine-tuneado con anotaciones de expertos superó a los modelos punteros tanto en precisión como en coste.
En el estudio, el equipo fine-tuneó Qwen3-235B en Tinker (el servicio de API de fine-tuning gestionado de Thinking Machines). Primero compraron anotaciones de proveedores, entrenaron una primera ronda con esos datos, y luego enviaron muestras conflictivas al personal de inversión de la compañía para reanotar. El entrenamiento utilizó aprendizaje por refuerzo (GRPO), con tres modificaciones: round-robin batching (cada tarea aporta un lote por turnos), pérdida CISPO (límite superior de cuánto puede influir una sola respuesta en el modelo) y destilación on-policy (anclando el checkpoint óptimo actual, asegurando que el modelo no aprenda de copias más débiles).
Las tareas se tomaron de los flujos de trabajo diarios del personal de inversión: si una noticia es importante para profesionales de inversión de nivel C-suite, si un documento de banco central sugiere un cambio futuro en las tasas de interés, dónde comienza el texto genérico en un documento o correo electrónico. La puntuación provenía de un conjunto de prueba independiente. Los modelos punteros promediaron alrededor del 50% con prompts simples, y solo alcanzaron el 78.2% con prompts de expertos, por debajo del umbral del 80% establecido por el personal de inversión. El Qwen fine-tuneado obtuvo un 84.7%; según el texto, esto equivale a cometer un 29.8% menos de errores que el modelo puntero óptimo, con un coste de inferencia 13.8 veces menor.

https://thinkingmachines.ai/news/learning-to-replicate-expert-judgment-in-financial-tasks/
Este caso prueba que los modelos de código abierto pueden ganar en precisión y coste, pero el proceso de entrenamiento aún no es privado. Las anotaciones de expertos utilizadas son datos privados de Bridgewater, que pasan por el servicio de terceros Tinker, cayendo en el mismo nivel de confianza que los acuerdos ZDR. El fondo también alquiló potencia de cálculo; todo el entrenamiento se ejecutó en máquinas que nunca controló. Los compradores que quieran esta receta sin asumir supuestos de confianza tienen pocas opciones hoy. Alquilar un clúster de GPU bare-metal hace que el proceso de entrenamiento sea legible para el operador de la nube. Comprar el clúster resuelve el problema de la custodia de datos, pero los costes se disparan.
Las rutas con attestation acaban de llegar. En marzo, Workshop Labs y Tinfoil lanzaron Silo, una pila de post-entrenamiento que se ejecuta en un enclave Tinfoil en un único nodo de 8 GPUs, con las claves controladas únicamente por el cliente. El artículo indica que el coste del enclave añade 11 minutos a un entrenamiento de dos horas, y que esta pila, al congelar los pesos de la base y entrenar solo pequeños adaptadores sobre ella, puede albergar un modelo de un billón de parámetros (Kimi K2 Thinking). La dificultad radica en que el aprendizaje por refuerzo requiere mover datos entre componentes, y mover datos es precisamente donde está el coste del enclave.
Menos de un mes después del lanzamiento de Silo, Workshop Labs fue adquirida por Thinking Machines. Los componentes necesarios para ejecutar el siguiente ciclo de aprendizaje por refuerzo al estilo Bridgewater dentro de un enclave ahora están bajo una misma empresa.
Privacidad en la capa de 'Harness'
Hay otro problema fuera de todos los mecanismos de inferencia privada. Estos mecanismos gestionan la ruta del prompt al modelo, pero cada llamada a una herramienta externa iniciada por un agente abre una ruta que la capa de inferencia no toca. La reciente tendencia de la ingeniería de 'harness' amplifica exponencialmente el problema: cada herramienta, base de memoria y fuente de datos conectada alrededor del modelo es otro destino que lee su propia porción del flujo de trabajo en texto plano. El servidor de calendario ve la agenda, el servidor de base de datos ve la consulta. Un agente completamente local, si quiere algo fuera de su conjunto de entrenamiento, aún necesita enviar los términos de búsqueda en texto plano al motor de búsqueda; si el servidor no puede leer el texto plano, no puede responder.
La solución principal sigue cayendo en la capa de protocolo. Compañías como Runlayer y MintMCP utilizan una puerta de enlace central para gestionar todo el tráfico de herramientas, enmascarando la información de identificación personal (PII) antes de que las solicitudes salgan. La puerta de enlace también decide qué servidores reciben tráfico, bloqueando los no autorizados, y registra el destino y contenido de cada llamada para fines forenses. Incluso con auditorías independientes (SOC 2), el servidor de herramientas aún debe leer la consulta en texto plano para responder; si guarda una copia depende de sus propios términos de retención, multiplicado por cada herramienta en el harness. Además, la puerta de enlace en sí es una parte adicional en la ruta que depende de la confianza, no de la verificación.
Las soluciones a nivel estructural abordan esa capa intermedia. Por ejemplo, Phala aloja directamente servidores MCP en TEE, con un directorio que cubre billeteras, ejecución de código y fuentes de datos; los usuarios pueden verificar las declaraciones de privacidad con una attestation, en lugar de confiar en el operador. Sin embargo, las herramientas alojadas en TEE finalmente aún deben entregar la consulta en texto plano al proveedor de servicios; el enclave sella solo al mensajero, no al destino.

Solo unos pocos destinos han aprendido a responder sin leer, pero solo para consultas estructuradas. Apple proporciona recuperación privada de información para el iPhone, permitiendo comparar números de llamadas con una base de datos de spam sin exponer el número; Microsoft usa el mismo esquema para contraseñas en el navegador Edge. Queryable Encryption de MongoDB permite al cliente cifrar campos antes de que salgan del dispositivo; el servidor puede realizar coincidencias de igualdad y rango solo con el texto cifrado.
Pero para búsquedas abiertas, la mejor respuesta hoy se detiene en la confianza; la búsqueda cifrada verificable aún no ha salido del laboratorio. Brave promete retención cero de datos en su propio índice de 40 mil millones de páginas (no el de Google), pero aún cae en la capa de protocolo. Exa construyó un índice neuronal que incrusta las palabras clave del usuario en semántica y clasifica los resultados por coincidencia semántica, pero el paso de incrustación aún se calcula a partir de texto plano en los servidores de Exa. El artículo Tiptoe del MIT de 2023 clasificó 360 millones de páginas web sin exponer la consulta, pero cada búsqueda consume una gran cantidad de potencia de cálculo del servidor, y la calidad de la clasificación tiene una brecha con la búsqueda sin cifrar. El artículo Wally de Apple de 2024 reduce el coste de comunicación hasta 31 veces escondiendo consultas reales entre señuelos, pero esta matemática solo se vuelve barata con millones de consultas concurrentes, una escala que ningún sistema de búsqueda privada tiene hoy.
La búsqueda cifrada es posible, solo que el rendimiento y el precio aún no son comercialmente viables.
Perspectivas
La demanda de IA privada está creciendo. Venice AI superó recientemente los 3.5 millones de usuarios registrados y 1.3 billones de tokens mensuales de rendimiento, seguido de una nueva ronda de financiación Serie A con una valoración de 10 mil millones de dólares. Proton es su competidor directo; su producto de chat Lumo superó los 10 millones de usuarios en su primer año. En infraestructura, Phala actualmente procesa de 20 a 30 mil millones de tokens diarios en OpenRouter. Duck.ai enruta gpt-oss-120b y Gemma a enclaves Tinfoil, ofreciendo privacidad verificable más allá del proxy anónimo. Esto sin contar el auto-alojamiento, probablemente el canal más grande para inferencia privada, ya que el modelo se ejecuta en tu propio hardware, sin dejar rastro de uso.
Sin embargo, dentro de la gran ola principal de IA, la IA privada es solo una fracción minúscula, y esta brecha solo se cerrará si los laboratorios punteros deciden satisfacer esta demanda. En mayo, los productos de Google procesaron 3200 billones de tokens; según este cálculo, el rendimiento mensual de Venice equivale a unos 18 minutos de Google. En noviembre pasado, Google lanzó Private AI Compute (PAC), ejecutando algunas funciones impulsadas por Gemini en enclaves sellados de TPU aislados de la propia compañía, con un diseño auditado de forma independiente por NCC Group. Pero el problema es que PAC solo cubre funciones como recomendaciones personalizadas o resúmenes de grabaciones en Pixel, no la aplicación Gemini usada por cientos de millones. Google se atreve a entregar el diseño a los auditores porque estas funciones se monetizan mediante dispositivos y publicidad, no vendiendo tokens.
Las soluciones gestionadas actuales tampoco son perfectas. Los usuarios que buscan la máxima privacidad a través de E2EE deben esperar a que las nuevas funciones se reconstruyan donde el proveedor no pueda leer. Los harness privados aún dependen de protocolos a nivel de servicio. El post-entrenamiento a un precio razonable aún requiere confiar en proveedores externos para obtener los mejores resultados de fine-tuning. El auto-alojamiento elimina a todos los proveedores de una vez, pero ejecutar el modelo de código abierto más potente localmente puede costar más que la casa donde está instalado.
Defectos aparte, la IA privada ya es una opción real y asequible, y las brechas restantes se están cerrando. Para el consumidor común, los chats privados con modelos abiertos bajo promesa de no registro son gratuitos en Lumo y Venice; una suscripción de 18 a 20 dólares en Venice o Tinfoil coloca el mismo chat dentro de un enclave, sin ser más caro que una suscripción a ChatGPT. Para flujos de trabajo empresariales, los endpoints con attestation son ahora incluso más baratos que la ruta de texto plano. Endpoints como la API E2EE de NEAR ya pueden llevar contexto cifrado al enclave; memoria, carga de archivos e instrucciones personalizadas funcionan hoy sobre E2EE. En cuanto al post-entrenamiento con attestation, el próximo Vera Rubin NVL72 de NVIDIA extenderá el cómputo confidencial desde nodos de 8 GPUs de Blackwell a bastidores de 72 GPUs, haciendo que los ciclos de aprendizaje por refuerzo de vanguardia sean más factibles sin exponer IP.
Sin embargo, la captura de valor clave se encuentra fuera de estas capas de compresión de precios. La privacidad es casi gratuita donde ya existe, pero aún no cubre los flujos de trabajo de agentes principales. Los operadores que se centran en alquilar/vender enclaves controlan un interruptor en chips estándar, no una ventaja competitiva, mientras que las puertas de enlace a nivel de protocolo compiten en el mismo campo que el middleware tradicional. El territorio defendible es la mitad de este informe que aún no se ha resuelto: ciclos de entrenamiento encerrados en enclaves, llamadas a herramientas selladas de extremo a extremo, índices de búsqueda que no ven los términos. Quien logre primero una de estas cosas, venderá algo que ninguna guerra de precios puede convertir en una commodity. El capital que persigue la IA privada debería comprar las brechas, no el interruptor.
Entonces, ¿confianza o verificación? Para tareas de ejecución intensiva y agentes, elige confianza, porque cada llamada a una herramienta ya entrega texto plano a un destino que el enclave no puede sellar, y los modelos punteros en este tipo de ciclos valen su precio. En cuanto al pensamiento de alto orden que distingue a una empresa de su competencia, elige verificación. La estrategia, la planificación y el juicio refinado a partir de años de experiencia profesional son precisamente el alfa en disputa. El camino a seguir es usar estos conocimientos propietarios para fine-tunear modelos abiertos dentro del perímetro controlado por la empresa. En el dominio donde reside el alfa de una empresa, los modelos abiertos ajustados por expertos ya superan a los punteros tanto en precisión como en coste, y la infraestructura para construirlos en entornos privados está llegando, nodo a nodo.






