导读:当地时间6月11日,苹果公司宣布发布Apple Intelligence,将AI技术集成到iOS、iPadOS等系统中,为iPhone 15 Pro及以上设备用户、以及搭载M1及更高配置芯片的iPad和Mac用户提供免费服务。
其后,特斯拉CEO马斯克在社交媒体狂喷潜在隐私问题,称:“如果苹果在操作系统层面整合OpenAI,那么苹果设备将被我的公司禁止使用。这是不可接受的安全违规行为。”
马斯克还发了下图,表达其忧虑。
![苹果私有云计算——兼顾AI应用与隐私保护]( "苹果私有云计算——兼顾AI应用与隐私保护")
而保护隐私向来是苹果产品的卖点,苹果在其官网发布“Private Cloud Compute: A new frontier for AI privacy in the cloud”,介绍私有云计算如何在为用户提供更强大的人工智能服务,同时坚守其对用户隐私的承诺。
笔者引导Kimi对该文主要内容梳理如下,全文可见“阅读原文”或网址:https://security.apple.com/blog/private-cloud-compute/。
1.1 Apple Intelligence的隐私承诺
Apple Intelligence的核心是其对用户隐私的坚定承诺。苹果在设备上实现智能功能的同时,确保用户数据安全,避免数据泄露风险。这种承诺不仅体现在产品设计上,更通过软件和服务的每一个层面,确保用户数据的安全和私密性得到尊重和保护。
1.2 私有云计算的创新
私有云计算(Private Cloud Compute, PCC)是苹果在云服务领域的重大创新。它专为私人AI处理设计,通过定制的硬件和操作系统,将苹果在设备端的安全和隐私优势扩展到云端。PCC的诞生标志着苹果在保护用户隐私方面迈出了重要的一步,为用户提供了一个前所未有的安全云平台。
2.1 设备端处理的优势
设备端处理利用本地资源,减少了数据在网络中的传输,从而降低了数据泄露的风险。苹果通过这种方式,确保了用户数据的安全性和私密性,同时也提供了快速响应的用户体验。这种处理方式的优势在于,它允许用户对自己的数据拥有完全的控制权。
2.2 云端处理的安全性问题
云端处理虽然提供了强大的计算能力和存储空间,但也带来了新的安全挑战。数据在云端的集中存储增加了被攻击的风险。如何在不牺牲用户体验的前提下,保护用户数据,是苹果需要解决的问题。这包括确保数据在传输和存储过程中的安全性,以及防止未授权访问。
2.3 传统云安全方法的局限性
传统云服务的安全措施往往难以适应快速变化的网络环境和日益复杂的安全威胁。这些措施在数据加密、访问控制和透明度方面存在局限性,无法完全满足现代用户对隐私保护的需求。苹果认识到这一点,并致力于开发更为先进的安全技术,以应对这些挑战。
私有云计算必须专门使用其接收到的个人用户数据来满足用户请求。这些数据在任何时候,包括在活跃处理期间,都不应提供给除用户之外的任何人,甚至苹果公司的员工也不能访问。此外,在将响应返回给用户后,这些数据不应被保留,包括通过记录或调试。换句话说,我们希望实现一种强大的无状态数据处理形式,其中个人数据在PCC系统中不留任何痕迹。
3.2 可执行的保证
当安全和隐私保证完全技术上可执行时,它们是最强大的,这意味着必须能够限制和分析所有关键贡献于整体私有云计算系统保证的组件。以我们之前的例子为例,很难理解一个TLS终止负载均衡器在调试会话期间可能对用户数据做什么。因此,PCC不能依赖于这类外部组件来实现其核心安全和隐私保证。同样,收集服务器指标和错误日志等操作要求必须有不破坏隐私保护的机制支持。
3.3 无特权运行时访问
私有云计算不应包含允许苹果的站点可靠性人员绕过PCC隐私保证的特权接口,即使在努力解决中断或其他严重事件时也是如此。这也意味着PCC不应支持在运行时扩大特权访问范围的机制,例如通过加载额外的软件。
3.4不可针对性
攻击者不应能够尝试破坏属于特定、针对性的私有云计算用户的个人数据,而不需要尝试广泛破坏整个PCC系统。即使对于能够尝试对PCC节点进行物理攻击或尝试获得对PCC数据中心恶意访问的异常复杂的攻击者,这也必须成立。换句话说,有限的PCC妥协不应允许攻击者将请求从特定用户引导到受损节点;针对用户应该需要一个很可能会被发现的广泛攻击。为了更直观地理解这一点,可以将其与传统云服务设计进行对比,其中每个应用服务器都配备了整个应用数据库的数据库凭据,因此,单一应用服务器的妥协就足以访问任何用户的数据,即使该用户没有与受损应用服务器的任何活动会话。
3.5 可验证的透明度
安全研究人员需要能够以高度信心验证我们对私有云计算的隐私和安全保证与我们的公开承诺相匹配。我们已经有一个早期要求,即我们的保证必须是可执行的。假设如此,如果安全研究人员有足够的系统访问权限,他们将能够验证这些保证。但最后一个要求,即可验证的透明度,更进一步,消除了假设:安全研究人员必须能够验证私有云计算的安全和隐私保证,并且他们必须能够验证在PCC生产环境中运行的软件与他们验证保证时检查的软件相同。
4.1 硬件:定制的苹果硅芯片
定制的苹果硅芯片为PCC提供了强大的计算能力和硬件级的安全保护。这些芯片集成了多种安全功能,如安全飞地和安全启动,为PCC的安全性提供了坚实的基础。苹果硅芯片的定制化设计,确保了PCC在处理用户数据时的高效性和安全性。
4.2 操作系统:为隐私加固
PCC的操作系统是专为隐私保护而设计和加固的。它限制了系统组件和功能,以减少潜在的安全风险,并支持大型语言模型的推理工作负载。这种操作系统的设计,确保了PCC在执行任务时的安全性和稳定性。
4.3 安全技术:安全启动和代码签名
PCC节点的安全启动和代码签名技术确保了只有经过苹果认证的软件才能运行。这些技术防止了恶意软件的加载和执行,确保了系统的安全性和可靠性。通过这些措施,PCC能够抵御各种潜在的软件攻击,保护用户数据不受威胁。
4.4 管理工具
苹果构建了一套以隐私为核心的自定义云扩展,排除了传统上对数据中心管理至关重要的组件,例如远程shell和系统内省及可观察性工具。而是用专为确定性提供给SRE人员只有一小套、受限的操作指标的组件替换了这些通用软件组件。苹果还使用服务器端的Swift构建了一个新的机器学习堆栈,专门用于托管基于云的基础模型。
-无状态数据处理:私有云计算在处理用户请求时,必须确保用户数据仅用于完成该请求,并且在处理周期结束后不能保留任何用户数据。
-端到端加密:尽管PCC需要访问用户请求中的数据,但它不能采用完整的端到端加密。PCC计算节点必须在技术上强制执行用户数据隐私保护,并在完成处理后不能保留用户数据。
-数据使用限制:PCC仅使用用户发送的数据来执行用户请求的操作,并且在响应返回后立即删除这些数据,确保苹果公司及其员工无法访问这些数据。
-请求加密:当苹果智能需要使用PCC时,它会构建一个包含提示、所需模型和推理参数的请求,该请求将直接加密到用户设备已验证并确认有效的PCC节点的公钥上。
-节点完整性保护:PCC使用安全启动和代码签名来保证只有经过授权和密码学验证的代码才能在节点上执行,确保了节点使用的密钥不会被篡改或提取。
-软件栈设计:PCC软件栈旨在确保用户数据不会在信任边界外泄露或在请求完成后保留,即使存在实现错误。
-内存安全和隔离:PCC使用Swift编写推理控制和调度层,确保内存安全,并通过使用单独的地址空间来隔离请求的初始处理,从而减少攻击面并限制攻击者在节点内的横向移动。
-保护措施:为了使保证具有实际意义,PCC还采用了指针认证代码和沙箱等技术来防止绕过这些保证的利用。
-无远程shell和交互式调试:私有云计算节点故意不包含远程shell或交互式调试机制。这种设计避免了开放性的访问,这种访问可能会成为攻击者破坏系统安全或隐私的广泛攻击面。PCC节点不允许开启开发者模式,也不包含调试工作流程所需的工具,从而进一步限制了潜在的未授权访问。
-代码签名机制:通过代码签名机制,PCC阻止了未授权的代码加载,确保只有经过苹果认证的代码才能在节点上执行。这一机制是保护系统免受恶意软件侵害的关键,确保了系统的完整性和信任度。
-系统可观察性和管理工具的隐私保护:PCC的系统可观察性和管理工具被构建时,内置了隐私保护措施,以防止用户数据被泄露。系统不包含通用的日志记录机制,而是只允许预先指定、结构化并经过审计的日志和指标离开节点。
-多层审查机制:为了增强数据保护,PCC实施了多层独立的审查机制。这些审查层帮助确保在通过管理工具进行操作时,用户数据不会被意外暴露,从而增加了数据安全的保障。
-限定的代码访问权限:这些技术共同提供了可执行的保证,确保只有明确指定的代码才能访问用户数据。这种限定的访问权限机制防止了在系统管理过程中用户数据的泄露。
-防止数据泄露的系统设计:PCC的设计确保了用户数据在系统管理期间不会从PCC节点泄露到外部。这种设计减少了数据在传输或存储过程中被未授权访问的风险,增强了用户数据的保密性。
-多层次的威胁模型:PCC的设计考虑到了具有物理访问权限和高度复杂性的攻击者,这些攻击者拥有足够的资源和专业知识来破坏系统的硬件安全特性,并可能提取正在处理中的数据。
-加固的供应链保护:为了抵御硬件层面的攻击,PCC通过加固的供应链来补充苹果硅片的内置保护,使得大规模硬件攻击成本高昂且容易被发现。
-限制小规模攻击的影响:PCC确保即使是小规模的攻击也无法用于针对性地获取特定用户的数据,从而减少了攻击对系统安全性的影响。
-从制造开始的硬件安全:PCC硬件的安全性从制造环节开始,包括对PCC节点组件的库存管理、高分辨率成像,以及在服务器密封和激活篡改开关前的操作。
-到货后的广泛重新验证:到达数据中心后,PCC服务器在被允许配置为PCC之前,会经过广泛的重新验证,涉及多个苹果团队和独立来源数据的交叉检查。
-第三方监督和证书颁发:验证过程由与苹果无关的第三方观察员进一步监控,确保了过程的公正性。每个PCC节点的Secure Enclave UID根密钥会颁发证书,用户设备在无法验证证书的情况下不会发送数据至PCC节点。
-目标扩散技术:为了防止基于用户或内容的请求被路由到特定节点,PCC采用了目标扩散方法,确保请求元数据不包含任何个人识别信息。
-请求元数据的设计:请求元数据仅包含必要的上下文数据以实现正确路由,且不与特定用户关联,使用了基于RSA盲签名的一次性凭据来授权请求。
-第三方中继的使用:PCC请求通过第三方运营的OHTTP中继,隐藏设备源IP地址,增加了攻击者识别请求或与个体关联的难度。
-用户设备请求加密:用户设备仅对PCC节点的子集进行加密请求,而非整个PCC服务,确保了即使单一节点被破坏,也无法解密大量请求。
-负载均衡器的统计审计:负载均衡器选择处理用户推理请求的PCC节点子集的过程是可统计审计的,以防范攻击者同时破坏PCC节点和负载均衡器的复杂攻击。
-可验证透明度的重要性:苹果认为允许安全研究人员验证私有云计算的端到端安全和隐私保证是赢得公众持续信任的关键。与不公开生产软件镜像的传统云服务不同,PCC承诺公开软件镜像,以便研究人员进行安全研究。
-生产软件镜像的公开:苹果将在PCC发布时采取非常措施,公开每个生产构建的PCC软件镜像,以供安全研究。用户设备将只向能够证明运行公开列出软件的PCC节点发送数据。
-透明度日志的加密防篡改:苹果将发布PCC所有运行代码的测量值,在一个只能追加且密码学上不可篡改的透明度日志中,供隐私和安全专家公开检查和验证。
-研究工具的官方支持:苹果将发布并维护一套官方工具,帮助研究人员分析PCC节点软件,并通过苹果安全赏金计划奖励重要的研究发现。
-软件镜像的独立二进制检查:每个生产PCC软件镜像,包括操作系统、应用程序和所有相关可执行文件,都将发布供独立二进制检查,研究人员可以将其与透明度日志中的测量值进行核对。
-软件发布和更新的透明度:软件将在包含在日志中后的90天内发布,或在相关软件更新可用后发布,以先到者为准。一旦版本被签署到日志中,它就不能在不被检测到的情况下被删除。
-用户设备的通信验证:用户设备将确保它们只与运行授权和可验证软件镜像的PCC节点通信,通过将请求有效载荷密钥只包装到那些在公共透明度日志中匹配软件发布的PCC节点的公钥。
-PCC软件的日志记录和可检查性:通过这种方式使PCC软件被记录和可检查,是苹果致力于促进平台独立研究的有力证明。
-虚拟研究环境的发布:苹果将发布PCC虚拟研究环境,包括一套工具和镜像,模拟带有苹果硅片的Mac上的PCC节点,并可启动为成功虚拟化而最小修改的PCC软件版本。
-安全关键源代码的定期发布:除了发布每个生产PCC构建的二进制镜像外,苹果还将定期发布一部分安全关键的PCC源代码,以进一步帮助研究。
-关键组件的源代码透明度:PCC镜像将首次包含sepOS固件和iBoot引导程序的明文,使研究人员更容易研究这些关键组件。
-安全赏金计划的激励:苹果安全赏金计划将奖励PCC软件堆栈中的研究发现,特别是对任何破坏隐私声明的问题提供重大的奖金。
私有云计算延续了苹果对用户隐私的深刻承诺。凭借复杂的技术满足苹果对无状态计算、可执行保证、无特权访问、不可针对性和可验证透明度的要求,苹果相信私有云计算无疑是世界上领先的云AI计算安全架构。
苹果期待分享更多关于PCC的技术细节,包括每个核心要求背后的实现和行为。苹果很快邀请安全研究人员首次体验私有云计算软件和PCC虚拟研究环境。
原文始发于微信公众号(数据何规):苹果私有云计算——兼顾AI应用与隐私保护
评论