Cuanto más mapeaba la canalización de entrada del navegador, menos sentido tenía el límite de confianza. Nada exótico. Simplemente un cliente del navegador que alimenta eventos a una canalización cifrada vinculada a OpenGradient.
Sobre el papel, todo estaba en orden.
Se suponía que las pulsaciones se abstraerían antes de salir del límite. Pasarían por un flujo de atestación respaldado por un TEE. Sanitizado en el borde de la confianza.
Pero el modelo de ejecución cuenta otra historia.
El navegador no estaba esperando al enclave.
Estaba transmitiendo eventos de entrada sin procesar hacia arriba antes de que pudiera formarse cualquier sello de atestación.
Estoy viendo el mismo patrón de filtración previa a la ejecución en todo el stack de IA y criptografía.
Emite señales en tiempo real: pulsaciones, actualizaciones de composición, deriva del cursor.
Cada una se convierte en un flujo de señales explotable mucho antes de que la atestación se ejecute.
Texto en claro, moviéndose más rápido que el protocolo de enlace de atestación que supuestamente debe protegerlo.
Lo rastreé dos veces porque no me lo creí la primera.
La canalización no estaba rota.
Estaba implementada correctamente.
Ese era el problema.
Habíamos trazado el límite en el lugar equivocado.
El navegador nunca estuvo dentro de ese grafo. Está fuera del límite de confianza por diseño.
La atestación TEE protege la computación.
Pero la entrada ya es historial cuando comienza la computación.
La discrepancia viene de la arquitectura:
La atestación verifica lo que se ejecutó
pero el navegador expone lo que se está formando
Ese hueco es donde el texto en claro sobrevive como un artefacto de diseño.
Dejé de pensar en ejecución segura y empecé a pensar en capas de observabilidad prematura.
Este es un fallo de clase: filtración de señales antes de la atestación a través del plano de entrada del navegador.
Importa ahora porque estos sistemas están pasando de la ejecución a la captura continua de datos.
Eso cambia la pregunta.
Si la intención ya es visible antes de la ejecución, ¿estamos asegurando la computación, o solo certificando una etapa después de que la filtración real ya haya ocurrido?
#opg $OPG @OpenGradient
Sobre el papel, todo estaba en orden.
Se suponía que las pulsaciones se abstraerían antes de salir del límite. Pasarían por un flujo de atestación respaldado por un TEE. Sanitizado en el borde de la confianza.
Pero el modelo de ejecución cuenta otra historia.
El navegador no estaba esperando al enclave.
Estaba transmitiendo eventos de entrada sin procesar hacia arriba antes de que pudiera formarse cualquier sello de atestación.
Estoy viendo el mismo patrón de filtración previa a la ejecución en todo el stack de IA y criptografía.
Emite señales en tiempo real: pulsaciones, actualizaciones de composición, deriva del cursor.
Cada una se convierte en un flujo de señales explotable mucho antes de que la atestación se ejecute.
Texto en claro, moviéndose más rápido que el protocolo de enlace de atestación que supuestamente debe protegerlo.
Lo rastreé dos veces porque no me lo creí la primera.
La canalización no estaba rota.
Estaba implementada correctamente.
Ese era el problema.
Habíamos trazado el límite en el lugar equivocado.
El navegador nunca estuvo dentro de ese grafo. Está fuera del límite de confianza por diseño.
La atestación TEE protege la computación.
Pero la entrada ya es historial cuando comienza la computación.
La discrepancia viene de la arquitectura:
La atestación verifica lo que se ejecutó
pero el navegador expone lo que se está formando
Ese hueco es donde el texto en claro sobrevive como un artefacto de diseño.
Dejé de pensar en ejecución segura y empecé a pensar en capas de observabilidad prematura.
Este es un fallo de clase: filtración de señales antes de la atestación a través del plano de entrada del navegador.
Importa ahora porque estos sistemas están pasando de la ejecución a la captura continua de datos.
Eso cambia la pregunta.
Si la intención ya es visible antes de la ejecución, ¿estamos asegurando la computación, o solo certificando una etapa después de que la filtración real ya haya ocurrido?
#opg $OPG @OpenGradient