苹果公司公布了加强云安全和隐私的最新举措,邀请安全研究人员仔细审查并验证其私有云计算 (PCC) 系统的完整性。
该公告推出了新的资源,包括全面的安全指南、独特的虚拟研究环境 (VRE) 以及扩大的 Apple Security Bounty 奖励,旨在促进对 PCC 的安全和隐私保护进行独立验证。
公告链接:
https://security.apple.com/blog/pcc-security-research/
这是促进透明度的重要举措,因为 Apple 现已公开发布以前仅供部分安全研究人员和审计人员使用的资源。这包括访问 VRE,它复制了 PCC 节点环境,允许研究人员通过运行推理模型和检查核心软件组件来评估其隐私声明。
除此之外,苹果还扩大了其安全赏金计划,以激励漏洞报告,为危及 PCC 完整性的严重安全漏洞提供高达 100 万美元的奖励。
了解私有云计算(PCC)
PCC 是 Apple Intelligence 服务的重要组成部分,它以强大的隐私措施处理计算要求高的 AI 任务。它反映了 Apple 的设备级安全模型,确保即使在云端,用户数据也受到高度保护。
Apple 的私有云计算安全指南提供了有关这些保护措施如何运作的深入技术文档。本指南详细介绍了 PCC 如何使用基于硬件的证明来维护不可变且可验证的安全基础,防止有针对性的攻击并通过一致的日志记录确保透明度。
该指南的一个重点是 PCC 如何确保用户请求的非针对性和隐私性。该架构允许用户检查在 Apple 数据中心内运行的软件,从而为 AI 处理提供前所未有的透明度。
虚拟研究环境:Apple的首创
VRE 标志着 Apple 首次为其平台提供此类工具。它使研究人员能够直接从 Mac 检查 PCC 的安全机制,只需对虚拟化进行最小程度的调整即可复制 PCC 节点的条件。
值得注意的是,VRE 包含一个虚拟化的安全区域处理器 (SEP),这是 Apple 安全基础设施的核心组件,让研究人员有机会亲身测试该系统的稳健性。
VRE 可供在具有至少 16GB 统一内存的 Apple Silicon Mac 上使用 macOS Sequoia 15.1 的开发人员使用。
利用此工具,研究人员可以:
-
在虚拟机中启动PCC软件
-
通过透明度日志验证软件完整性
-
检查并修改PCC软件
-
针对 AI 模型进行推理以验证安全声明
源代码和扩展的漏洞赏金
为了进一步强调透明度,Apple 已根据有限使用许可发布了关键 PCC 组件的源代码。这包括 CloudAttestation 和 Thimble 等项目,它们处理节点证明和日志过滤等核心安全流程,以及 VRE 背后的工具 srd_tools。
代码可在 GitHub 上获取,研究人员可以更深入地研究这些元素如何确保 PCC 中的隐私和安全。
除了这些资源外,Apple 还显著增强了针对 PCC 的安全悬赏计划。新的悬赏类别与 PCC 的首要安全优先事项相一致,例如:
-
对请求数据的远程攻击:为任意代码执行漏洞悬赏高达 100 万美元。
-
数据泄露风险:访问信任边界之外的用户请求数据的风险最高可达 25 万美元。
-
基于网络的攻击:利用特权网络访问的漏洞最高可获得 150,000 美元。
其他类别,例如未经授权的代码执行和意外数据泄露,也有资格获得 50,000 至 100,000 美元的奖励。
Apple 承诺将根据对用户隐私的影响和漏洞演示的质量来评估每一份报告,即使这些漏洞并不完全符合预定义的类别。
Apple 与 PCC 的目标是为云 AI 服务提供业界领先的隐私和安全,同时保持高度透明度。通过向更广泛的安全社区开放其系统,Apple 希望促进信任和协作,最终提高其 AI 基础设施的整体安全性。
对于那些感兴趣的人,Apple 鼓励研究人员首先探索最新 macOS 开发者预览版中的私有云计算安全指南和虚拟研究环境,并通过其扩展的赏金计划提交任何漏洞。
原文始发于微信公众号(网络研究观):苹果公司以数百万美元的赏金邀请研究人员审查人工智能服务
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论