Auteur : Jeff @IOSG
Pourquoi un AI privé est nécessaire
Le 1er juillet, Alex Karp, PDG de Palantir, a donné sur CNBC un entretien de 20 minutes que certains médias ont qualifié de « crise de nerfs ». Selon Karp, les entreprises paient une prime en tokens aux laboratoires de pointe tout en regardant leurs IP fuir vers les fournisseurs de modèles. Il appelle cette fuite un transfert d'alpha, qui se produit au niveau de l'architecture : chaque requête envoyée à un modèle propriétaire arrive en clair sur les serveurs du fournisseur. Peu avant la diffusion de l'émission, Palantir annonçait un partenariat avec NVIDIA pour exécuter le modèle ouvert Nemotron dans un environnement contrôlé par le client, accompagné d'une déclaration de souveraineté AI en neuf points. À la suite de l'émission de CNBC, PLTR a bondi de 8%.

Ces vingt dernières années, les entreprises ont adopté le cloud SaaS en faisant confiance aux protocoles, et ça a fonctionné. Chaque éditeur de SaaS ne voyait qu'une tranche des données de l'entreprise, et la plupart n'avaient guère d'intérêt à utiliser les données clients pour améliorer leur produit cœur. Salesforce voyait le pipeline de vente, Workday les ressources humaines, Jira le développement, AWS fournissait la base de stockage et de calcul. Mais les flux de travail AI d'aujourd'hui proposent de tout charger en une fois, y compris le contexte structuré reliant tous les services, pour maximiser la productivité. En dehors de la bonne volonté, les fournisseurs en amont peuvent désormais utiliser ces données pour créer de nouvelles fonctionnalités, plutôt que de les laisser dormir sur leurs serveurs.
Personne ne ralentit. Les revenus annualisés d'Anthropic ont atteint 470 milliards de dollars en mai, en forte hausse par rapport aux 90 milliards de fin 2025, tandis qu'OpenAI dépassait les 900 millions d'utilisateurs actifs hebdomadaires en février. Les deux sociétés ont levé de nouveaux fonds ce printemps, avec des valorisations proches du trillion de dollars, et prévoient une IPO à une valorisation encore plus élevée. Des années d'accusations sur la confidentialité et la propriété intellectuelle n'ont pas entamé leur élan.
Certaines entreprises avaient déjà agi. En février 2023, moins de trois mois après le lancement de ChatGPT, les principales banques de Wall Street en avaient limité l'usage. En mai 2023, après que des ingénieurs de Samsung eurent divulgué du code source de puce dans ChatGPT, l'entreprise a interdit l'AI générative sur tout son réseau. En réponse, OpenAI a lancé ChatGPT Enterprise en août de la même année, promettant de ne pas utiliser les données commerciales pour l'entraînement et un protocole de non-rétention des données (zero-data-retention, ZDR), devenu depuis une exigence standard pour les achats en entreprise.
Mais le contrat ne verrouille que les comptes de l'entreprise. IBM a constaté qu'en 2025, l'AI fantôme (des employés utilisant leurs comptes personnels pour envoyer des données de l'entreprise à des outils AI non approuvés) était impliquée dans un cinquième des violations de données, et qu'une utilisation intensive ajoutait en moyenne 670 000 $ aux coûts de fuite. Dans une enquête de 2025 de la société de formation à la sécurité Anagram, 40 % des employés déclaraient être prêts à enfreindre la politique d'usage de l'AI pour accomplir leurs tâches plus rapidement.
Les entreprises peuvent au moins acheter leur sortie : contrat ZDR, niveau de service sans entraînement, déploiement souverain si vous êtes un gouvernement ou un client de Palantir. Mais pour les utilisateurs lambda comme vous et moi, l'importance d'une AI privée fait encore débat, jusqu'à ce qu'une citation à comparaître arrive.
En mai 2025, une ordonnance judiciaire a forcé OpenAI à conserver même les conversations utilisateur déjà supprimées pour les consommateurs. En novembre, un juge a ordonné la remise de 20 millions d'entre elles aux avocats du New York Times comme éléments de preuve. Puis vinrent les affaires pénales : les enregistrements ChatGPT d'un accusé de l'incendie criminel de Palisades ont été versés au dossier, et une affidavit dans une double affaire de meurtre en Floride citait les questions du suspect sur la façon de se débarrasser des corps. Sam Altman a aussi reconnu en juillet 2025 dans un entretien que les conversations ChatGPT ne sont pas protégées par le secret professionnel, et qu'OpenAI « pourrait être contraint de remettre » les historiques de chat dans le cadre de poursuites judiciaires.
L'important n'est pas que seuls les criminels aient besoin de conversations privées. Le fait que nos conversations avec l'AI soient archivées et saisissables constitue une surface de surveillance que la plupart des utilisateurs ignorent. Une enquête de Kolmogorov Law en octobre 2025 auprès de 1000 utilisateurs américains d'AI a révélé que 50% ignoraient que ces conversations pouvaient être saisies, tandis que les deux tiers pensaient qu'elles devraient bénéficier d'une protection similaire à une consultation avec un avocat ou un médecin.
Les modèles open source auto-hébergés ou exécutés dans des environnements vérifiables rattrapent rapidement leur retard, mais les plus performants accusent encore un décalage d'environ 4 mois en capacité générale par rapport aux modèles propriétaires de pointe. Cela place les entreprises et les particuliers « tokenmaxxing » à un carrefour : soit renoncer à quelques mois de qualité de modèle pour préserver cette confidentialité, soit continuer à envoyer des documents sensibles sur les serveurs d'Anthropic, car c'est ce que font les concurrents pour gratter un avantage de productivité.

Aucune solution parfaite n'existe sur le marché. Ce rapport explore les tentatives pour combler cet écart et examine la distance qui sépare une intelligence de pointe avec confidentialité vérifiable de sa mise à disposition pour les entreprises et les utilisateurs lambda.
Comment la confidentialité est-elle mise en œuvre aujourd'hui ?
L'AI privée n'est pas un seul mécanisme, mais chaque mécanisme actuel traite du même événement : un prompt quitte votre appareil, traverse le réseau, arrive sur la machine qui exécute le modèle et retourne une réponse. La différence entre les mécanismes réside dans l'endroit où le texte en clair existe sur ce chemin, qui peut le lire là, et sur quoi repose la vérification du caractère privé de la réponse.
Confidentialité au niveau du protocole
À ce niveau, quelqu'un d'autre que vous lit votre prompt en clair. La suite repose sur une promesse.

-
Non-rétention contractuelle (ZDR) est la solution pour entreprises. Le fournisseur sait qui vous êtes, traite votre prompt et promet de ne rien conserver. L'exécution repose sur le contrat et la réputation.
-
Proxy anonymisant efface votre identité, mais n'encrypte pas ce que vous dites. Le fournisseur en aval traite toujours le texte en clair selon sa propre politique. Les termes varient : des proxys comme Duck.ai (le chatbot de DuckDuckGo) négocient des accords de suppression avec les fournisseurs de modèles, tandis que Venice demande à l'utilisateur de supposer que le fournisseur conserve tout. Dans les deux cas, aucune vérification n'est possible.
Chaque tronçon entre machines fonctionne sur TLS, qui ne crypte que le canal. Le destinataire peut lire toutes les informations. Les relais utilisent généralement Oblivious HTTP (RFC 9458) pour séparer ces droits d'accès, comme confier une note à un ami. L'ami sait qui l'envoie mais ne peut pas lire le contenu ; le destinataire peut lire le contenu mais ne sait pas qui l'a écrit. L'OHTTP est une norme IETF depuis janvier 2024, et de nombreuses entreprises exécutent déjà leur trafic de production sur des relais OHTTP loués auprès de Cloudflare et Fastly.
C'est aussi la limite de confidentialité atteignable pour accéder à un modèle propriétaire, en raison d'un calcul arithmétique. Un entraînement de modèle phare coûte aujourd'hui des milliards de dollars, et les valorisations de ces laboratoires, proches du trillion, reposent sur l'exclusivité des poids du modèle. La prime perdure aussi longtemps que l'écart de capacité, donc les laboratoires gardent les fichiers de poids comme des secrets d'État.
Meta en a fait l'expérience malgré elle. LLaMA, publié en février 2023, n'était initialement ouvert qu'aux chercheurs. En moins d'une semaine, les poids fuitèrent sur 4chan sous forme de torrent. Une semaine plus tard, llama.cpp faisait fonctionner le plus petit modèle, le 7B, localement sur un MacBook. Trois jours après, Stanford affinait un assistant de chat, Alpaca, sur le même modèle pour moins de 600 $. Cette fuite a réduit le coût d'exécution de Llama au prix de l'électricité, permettant à quiconque disposant du fichier de l'exécuter chez soi. En juillet 2023, Meta a officiellement open-sourcé Llama 2 sous une licence commerciale avec une clause d'exclusion de 700 millions d'utilisateurs actifs mensuels. Les poids fuient, la prime aussi.
Les laboratoires de pointe pourraient théoriquement faire de l'attestation à distance (remote attestation) pour l'inférence de modèles propriétaires, mais l'attestation ne peut prouver que quel code a lu le prompt, pas ce qu'il en a fait. Pour vérifier si le serveur a conservé des données, il faudrait auditer le code de service (serving code) et le reconstruire pour correspondre au hachage rapporté par le matériel. Mais une fois le code de service divulgué, le laboratoire révèle les techniques de traitement par lots et de mise en cache qui soutiennent sa marge, techniques qui se transféreront à toutes les futures générations de modèles. Apple et Meta peuvent faire de l'attestation à distance pour leurs piles de services derrière l'iPhone et WhatsApp parce que leurs profits proviennent des appareils et de la publicité, et que divulguer le code de service coûte peu.
C'est pourquoi les poids et le code de service des modèles phares n'arrivent pas entre les mains d'opérateurs externes. Sans opérateur externe, pas d'attestation tierce. Sans attestation, la confidentialité vérifiable n'existe que pour les modèles open source.
Confidentialité structurelle
Chaque mécanisme dans cette catégorie remplace une promesse de confiance par une preuve basée sur du matériel, de la cryptographie ou de la physique. Cependant, chacun paie un prix différent pour cette mise à niveau de confidentialité, le premier étant qu'ils ne peuvent exécuter que des modèles open source.

-
Calcul confidentiel avec TEE (Trusted Execution Environment) exécute l'inférence dans un enclave matériel (une chambre scellée sur la puce que même l'opérateur de la machine ne peut ouvrir). La puce signe une attestation précisant quel modèle et quel code ont été exécutés.
- Le prompt n'est scellé qu'à destination. Le chemin transitant par un proxy de plateforme laisse toujours un acteur qui peut lire le texte en clair. Seul le protocole empêche le proxy d'enregistrer ou de divulguer le contenu transitant.
-
Chiffrement de bout en bout (E2EE) supprime le relais lisible. L'appareil de l'utilisateur chiffre le prompt avec la clé de l'enclave. Chaque saut intermédiaire transporte une enveloppe scellée que seul l'enclave peut ouvrir.
- La confiance repose sur le client. Le code responsable du chiffrement du prompt et de la vérification de l'attestation a également la capacité de révoquer cette garantie. Un E2EE vérifiable nécessite donc à la fois un enclave attesté et un code client ouvert et reproductible.
- Contrairement à la simplicité du TEE, le coût de l'E2EE est une charge d'ingénierie qui ralentit l'intégration des fonctionnalités. L'E2EE transforme le proxy en un messager aveugle, donc toutes les fonctionnalités nécessitant la lecture du texte en clair doivent être reconstruites autour de la clé client ou uniquement à l'intérieur de l'enclave.
-
FHE (Chiffrement Homomorphe Complet, et variantes MPC) élimine carrément la partie de confiance. Le serveur effectue des calculs sur du texte chiffré dans une boîte verrouillée qu'il ne peut jamais ouvrir, la clé étant uniquement entre vos mains. Le MPC (Calcul Multipartite Sécurisé) divise le prompt en parts secrètes distribuées à plusieurs parties. À moins que toutes les parties ne conspirent, l'effet est équivalent.
- Le prix est la vitesse. Le FHE ne sait nativement effectuer que des additions et multiplications. Les étapes non linéaires requises par les transformers doivent donc être reconstruites à un coût élevé. L'inférence sur texte chiffré coûte entre 10 000 et 100 000 fois plus cher qu'en clair, prenant quelques secondes à minutes par token pour un petit modèle, contre des millisecondes sans chiffrement.
- Des puces conçues pour les opérations cryptographiques pourraient réduire l'écart, mais la première démo d'un prototype date de début 2026, et les versions commerciales prendront encore quelques années.
-
Inférence locale supprime simplement ce chemin. Le modèle s'exécute sur votre propre matériel. Pas de relais, pas de serveur, pas de fournisseur, pas besoin de vérification.
- Le coût évident est celui du matériel et des capacités du modèle. Le gpt-oss-120b obtient un score d'environ la moitié de GLM-5.2 sur l'index Artificial Analysis, mais pèse 65 Go, dépassant la mémoire combinée de deux cartes graphiques haut de gamme. Et GLM-5.2 en pleine précision ne peut tourner que sur un nœud de centre de données à 8 GPU, coûtant plus de 300 000 $ rien que pour les GPU.
Au-delà de ces limitations structurelles, le coût de l'inférence dans un enclave diminue. Pour l'inférence monocarte, des benchmarks de l'opérateur d'enclave Phala montrent une perte de débit moyenne inférieure à 7% en mode enclave sur H100, et proche de zéro pour les grands modèles, car le coût principal est le transfert des données vers la puce, pas le calcul à l'intérieur. Pour l'inférence multicarte, la nouvelle génération de GPU NVIDIA, Blackwell, prend déjà en charge le chiffrement direct du trafic entre puces, tandis que les anciens H100 ne pouvaient atteindre le même effet qu'en passant par le CPU hôte à un septième de la bande passante. Les propres benchmarks de NVIDIA sur Blackwell montrent une perte de débit inférieure à 8% pour un modèle 397B en mode enclave. Avec ces progrès, la pénalité de performance de l'inférence privée n'est plus une contrainte décisive.
En fait, l'enclave lui-même ajoute presque aucun coût d'exploitation supplémentaire. Chaque H100 depuis 2023 a un mode enclave intégré. Le coût supplémentaire est la perte de débit due au chiffrement, pas une puce supplémentaire. Actuellement, la location d'une SKU H100 confidentielle sur Azure coûte toujours 8,90 $ de l'heure, contre 6,98 $ sans enclave, soit une majoration de 27% par rapport à une infrastructure cloud traditionnelle. D'un autre côté, chez des opérateurs spécialisés comme Phala, le H100 en mode confidentiel se loue à partir de 3,80 $ de l'heure, moins que la fourchette de 3,99 $ à 4,29 $ pour les cartes SXM normales chez Lambda. Pour les offres API gérées, NEAR AI propose un point de terminaison avec attestation pour gpt-oss-120b à 0,15 $ par million de tokens en entrée et 0,55 $ en sortie, équivalent à des offres en texte clair comme Amazon Bedrock, Together et Groq. Même pour les modèles nécessitant une parallélisation multi-puces, NEAR AI propose GLM 5.2 au même prix que Fireworks, et est 15% moins cher en entrée et 4% en sortie pour le plus gros modèle Kimi K2.6.
Bien que ces nouveaux fournisseurs d'inférence privée puissent brûler des marges pour gagner des parts de marché (comme toute entreprise en croissance), la tendance structurelle est que le coût de la confidentialité diminue pour le consommateur et l'opérateur.
Comment les modèles open source peuvent-ils gagner ?
Malgré la compression des surcoûts de performance, un écart visible subsiste entre les modèles de pointe et les meilleurs modèles open source (SOTA). Un acteur cherchant à maximiser sa productivité doit encore faire confiance aux laboratoires de pointe pour ne pas voler son IP.
L'écart persiste, mais AIA Labs (filiale de Bridgewater) et Thinking Machines ont fourni un cas d'étude le 30 juin : un modèle ouvert affiné avec des annotations d'experts a surpassé les modèles de pointe à la fois en précision et en coût.
Dans l'étude, l'équipe a affiné Qwen3-235B sur Tinker (le service API d'affinage géré de Thinking Machines). Ils ont d'abord acheté des annotations auprès d'un fournisseur pour la première phase d'entraînement, puis ont fait ré-annoter les échantillons divergents par des professionnels de l'investissement de l'entreprise. L'entraînement utilisait l'apprentissage par renforcement (GRPO), avec trois modifications : round-robin batching (chaque tâche fournit tour à tour un lot), CISPO loss (limite supérieure de la distance qu'une seule réponse peut déplacer le modèle), et on-policy distillation (ancrage sur le checkpoint optimal actuel pour éviter que le modèle n'apprenne de versions plus faibles).
Les tâches provenaient toutes des flux de travail quotidiens des professionnels de l'investissement : déterminer si un article de presse est important pour un cadre dirigeant (C-suite) en investissement, si un document de banque centrale suggère un changement futur de taux d'intérêt, où commence la prose standardisée dans un document ou un e-mail. Les scores provenaient d'un ensemble de test indépendant. Les modèles de pointe obtenaient en moyenne environ 50% avec un prompt simple, et montaient à 78,2% avec un prompt expert, en deçà du seuil de 80% fixé par les investisseurs. Le Qwen affiné a obtenu 84,7%, ce qui, selon les termes de l'article, équivaut à 29,8% d'erreurs en moins que le meilleur modèle de pointe, pour un coût d'inférence 13,8 fois inférieur.

https://thinkingmachines.ai/news/learning-to-replicate-expert-judgment-in-financial-tasks/
Ce cas prouve que les modèles open source peuvent gagner en précision et en coût, mais le processus d'entraînement n'est pas encore privé. Les annotations d'experts utilisées sont des données privées de Bridgewater, transitant par le service tiers Tinker, relevant du même niveau de confiance qu'un protocole ZDR. Le fonds a également loué de la puissance de calcul, et tout l'entraînement s'est déroulé sur des machines qu'il ne contrôlait jamais. Aujourd'hui, les acheteurs voulant cette recette sans hypothèse de confiance ont peu de choix. Louer un cluster de GPU nu laisse le processus d'entraînement lisible pour l'opérateur cloud. Acheter le cluster résout le problème de l'hébergement des données, mais fait exploser les coûts.
Les solutions avec attestation viennent d'arriver. En mars, Workshop Labs et Tinfoil ont publié Silo, une pile de post-entraînement s'exécutant dans un enclave Tinfoil sur un nœud à 8 cartes, dont les clés sont uniquement contrôlées par le client. L'article indique un coût enclave de 11 minutes supplémentaires pour deux heures d'entraînement. Cette pile peut accueillir un modèle de mille milliards de paramètres (Kimi K2 Thinking) en gelant les poids de base et en n'entraînant qu'un petit adaptateur par-dessus. La difficulté réside dans le fait que l'apprentissage par renforcement nécessite de déplacer des données entre les composants, ce qui est précisément là où se situe le coût de l'enclave.
Moins d'un mois après la publication de Silo, Workshop Labs a été racheté par Thinking Machines. Les composants nécessaires pour exécuter une boucle RL de type Bridgewater dans un enclave appartiennent désormais à la même entreprise.
Confidentialité au niveau de l'harness (harnais)
Un problème persiste en dehors de tous les mécanismes d'inférence privée. Ces mécanismes gèrent le chemin du prompt au modèle, mais chaque appel à un outil externe lancé par un agent ouvre un nouveau chemin que la couche d'inférence ne peut atteindre. La récente mode de l'ingénierie de harness aggrave le problème. Chaque outil, base de mémoire ou source de données connectée autour du modèle est une autre destination qui lit sa propre tranche du flux de travail en texte clair. Le serveur de calendrier lit l'emploi du temps, le serveur de base de données lit la requête. Un agent entièrement local qui souhaite quoi que ce soit en dehors de son ensemble d'entraînement doit encore transmettre ses termes de recherche en texte clair à un moteur de recherche. Sans texte clair, le serveur ne peut pas répondre.
La solution principale reste au niveau du protocole. Des entreprises comme Runlayer et MintMCP utilisent une passerelle centrale pour contrôler tout le trafic des outils, en masquant les informations personnelles (PII) avant que la requête ne parte. La passerelle décide également quels serveurs peuvent recevoir le trafic, bloque ceux non approuvés et enregistre chaque appel, sa destination et son contenu à des fins de preuve. Même avec des audits indépendants (SOC 2), les serveurs d'outils doivent encore lire la requête en clair pour répondre, et leur conservation de copies dépend de leurs propres conditions, multipliée par chaque outil dans le harness. De plus, la passerelle elle-même est une partie supplémentaire sur le chemin qui doit être de confiance pour lire, pas un élément de vérification.
Les solutions structurelles visent la couche intermédiaire. Par exemple, Phala héberge directement des serveurs MCP dans un TEE, avec un répertoire couvrant portefeuilles, exécution de code et sources de données. Les utilisateurs peuvent vérifier la déclaration de confidentialité via une attestation, plutôt que de faire confiance à l'opérateur. Cependant, les outils hébergés dans un TEE finissent par transmettre la requête en texte clair au fournisseur de service. L'enclave ne scelle que le messager, pas la destination.

Seules quelques destinations ont appris à répondre sans lire, mais uniquement pour des requêtes structurées. Apple propose une recherche d'informations privée pour iPhone, permettant de vérifier un numéro d'appel contre une base de numéros de spam sans exposer le numéro. Microsoft utilise un schéma similaire pour les mots de passe dans Edge. Le Queryable Encryption de MongoDB chiffre les champs côté client avant qu'ils ne quittent l'appareil, permettant au serveur d'effectuer des correspondances d'égalité et de plage uniquement sur le texte chiffré.
Mais pour la recherche ouverte, la meilleure réponse actuelle s'arrête à la confiance. La recherche chiffrée vérifiable n'a pas encore quitté le laboratoire. Brave promet une non-rétention des données sur son propre index de 40 milliards de pages (et non celui de Google), mais cela reste au niveau du protocole. Exa a construit un index neuronal qui intègre les mots-clés de l'utilisateur en une représentation sémantique, classant les résultats par correspondance sémantique, mais l'étape d'intégration part toujours du texte clair sur les serveurs d'Exa. L'article Tiptoe du MIT en 2023 a effectué un classement sur 360 millions de pages web sans exposer la requête, mais chaque recherche consommait beaucoup de puissance de calcul serveur et la qualité du classement était inférieure à une recherche non chiffrée. L'article Wally d'Apple en 2024 réduisait les coûts de communication jusqu'à 31 fois en cachant la vraie requête parmi des leurres, mais ces calculs ne deviennent abordables qu'à l'échelle de millions de requêtes concurrentes, une échelle qu'aucun système de recherche privé n'atteint aujourd'hui.
La recherche chiffrée est possible, mais ses performances et son prix ne sont pas encore commercialement viables.
Perspectives
La demande pour une AI privée augmente. Venice AI a récemment dépassé 3,5 millions d'utilisateurs inscrits et 1,3 billion de tokens traités par mois, puis a levé un financement Series A à une valorisation de 10 milliards de dollars. Proton est un concurrent direct, dont le produit de chat Lumo a atteint 10 millions d'utilisateurs en un an. Au niveau des infrastructures, Phala traite actuellement 2 à 3 milliards de tokens par jour sur OpenRouter. Duck.ai achemine gpt-oss-120b et Gemma via les enclaves de Tinfoil, offrant une confidentialité vérifiable en plus de l'anonymisation par proxy. Sans compter l'auto-hébergement, probablement le canal le plus important pour l'inférence privée, car le modèle s'exécute sur votre propre matériel, ne laissant aucune trace d'utilisation.
Cependant, dans la grande vague de l'AI grand public, l'AI privée ne représente qu'une infime partie, et cet écart ne se comblera que si les laboratoires de pointe décident de répondre à cette demande. En mai, les produits de Google ont traité 3200 billions de tokens. Sur cette base, le débit mensuel de Venice équivaut à environ 18 minutes de Google. En novembre dernier, Google a lancé Private AI Compute (PAC), exécutant certaines fonctionnalités alimentées par Gemini dans des enclaves TPU isolés de l'entreprise elle-même, avec une conception audité indépendamment par NCC Group. Mais le problème est que PAC ne couvre que quelques fonctionnalités comme les recommandations personnalisées ou les résumés d'enregistrements sur Pixel, et non l'application Gemini utilisée par des centaines de millions de personnes. Google peut confier la conception à des auditeurs car ces fonctionnalités sont monétisées via les appareils et la publicité, pas par la vente de tokens.
Les solutions d'hébergement actuelles ne sont pas parfaites non plus. Pour obtenir la confidentialité maximale via E2EE, les utilisateurs doivent attendre que les nouvelles fonctionnalités soient reconstruites là où le fournisseur de service ne peut pas lire. Le harness privé dépend encore de protocoles au niveau des services. L'après-entraînement à prix abordable nécessite toujours de faire confiance à un fournisseur tiers pour obtenir les meilleurs résultats d'affinage. L'auto-hébergement élimine tous les fournisseurs d'un coup, mais exécuter le meilleur modèle open source localement peut coûter plus cher que la maison dans laquelle il se trouve.
Malgré ces défauts, l'AI privée est une option réelle et abordable, et les lacunes restantes se comblent. Pour le consommateur lambda, des discussions privées avec des modèles ouverts sous promesse de non-journalisation sont gratuites sur Lumo et Venice, tandis qu'un abonnement de 18 à 20 $ chez Venice ou Tinfoil place la même conversation dans un enclave, pour un prix similaire à un abonnement ChatGPT. Pour les flux de travail d'entreprise, les points de terminaison avec attestation sont aujourd'hui moins chers, voire égaux, aux offres en texte clair. Des points de terminaison comme l'API E2EE de NEAR peuvent déjà apporter un contexte chiffré dans l'enclave ; la mémoire, le téléchargement de fichiers, les instructions personnalisées fonctionnent déjà sur E2EE. Quant à l'après-entraînement avec attestation, le prochain Vera Rubin NVL72 de NVIDIA étendra le calcul confidentiel des nœuds 8 cartes de Blackwell à des baies de 72 cartes, rendant les boucles RL de pointe plus réalisables sans exposer l'IP.
Cependant, la capture de valeur clé se situe en dehors de ces couches où les prix baissent. La confidentialité est quasi-gratuite là où elle existe déjà, mais ne couvre pas encore les flux de travail agentiques grand public. Les opérateurs se concentrant sur la location/vente d'enclaves détiennent un interrupteur sur une puce standard, pas un avantage compétitif durable, tandis que les passerelles au niveau du protocole rivalisent avec les middleware traditionnels. Le terrain défendable est la moitié non résolue de ce rapport : les boucles d'entraînement enfermées dans des enclaves, les appels d'outils entièrement scellés de bout en bout, les index de recherche qui ne voient pas les termes. Celui qui réalisera l'une de ces choses vendra quelque chose qu'aucune guerre des prix ne pourra commoditiser. Le capital qui poursuit l'AI privée devrait acheter l'écart à combler, pas l'interrupteur.
Alors, confiance ou vérification ? Pour les tâches lourdes en exécution et agentiques, choisissez la confiance, car chaque appel d'outil transmet déjà du texte clair à des destinations que l'enclave ne peut sceller, et les modèles de pointe méritent leur prix dans ce type de boucle. Pour la réflexion de haut niveau qui distingue une entreprise de ses concurrents, choisissez la vérification. La stratégie, la planification et les jugements issus d'années d'expérience sont précisément cet alpha en jeu. La voie à suivre est d'affiner des modèles open source avec ces connaissances propriétaires au sein des limites contrôlées par l'entreprise. Dans les domaines où réside l'alpha d'une entreprise, des modèles ouverts affinés par des experts surpassent déjà les modèles de pointe à la fois en précision et en coût, et l'infrastructure pour les construire dans un environnement privé arrive, nœud par nœud.






