共计 4136 个字符,预计需要花费 11 分钟才能阅读完成。
生成式 AI 的繁荣在许多方面迄今为止已成为隐私的破坏者,因为服务大量吸收网络数据来训练其机器学习模型,用户的个人信息面临新时代的潜在威胁和暴露。随着本月苹果公司发布 iOS 18 和 macOS Sequoia,该公司也加入了这场竞争,推出了 Apple Intelligence,据称这将成为其生态系统中的基础服务。但苹果公司以其对隐私和安全的重视而闻名,因此该公司采取了大动作。它开发了广泛的定制基础设施和透明度功能,称为 Private Cloud Compute (PCC),用于当系统无法在用户设备上本地完成查询时,Apple Intelligence 使用的云服务。
设备上数据处理或“本地”处理的美妙之处在于,它限制了攻击者可以采取的路径来窃取用户数据。数据永远不会离开计算机或手机,因此攻击者只能针对这些设备。这并不意味着攻击永远不会成功,但战场是定义和受限的。将数据交给公司进行云端处理本身并不是一个安全问题——每天都有大量数据通过全球云基础设施安全传输。但它极大地扩展了战场,并创造了更多无意中暴露数据的机会。后者在生成式 AI 中尤其成为一个问题,因为系统在生成内容时可能会以意外的方式访问和共享信息。
通过 Private Cloud Compute,苹果公司开发了一系列创新的云安全技术。但该服务也因其推动了云服务的可接受业务命题的极限而显得重要,似乎优先考虑安全架构而非技术上最有效或经济的方案。
“我们从一开始就设定了一个目标,即如何将我们在 iPhone 上处理数据时建立的隐私保障扩展到云端——这是我们的使命宣言,”苹果公司软件工程高级副总裁 Craig Federighi 告诉 WIRED。“在各个层面上都需要突破才能实现这一目标,但我们已经做到了。我认为这为行业中的云端处理设定了新标准。”
为了消除云计算可能引入的许多潜在攻击点和陷阱,苹果公司表示其开发者专注于这一理念,即“当安全性和隐私保障完全通过技术手段强制执行时,它们是最强的”,而不是通过政策实施。
换句话说,你可以在柜台上放一盘纸杯蛋糕,并为自己制定一个政策,规定你不吃任何纸杯蛋糕。或者你可以制定一个政策,规定你从不制作或购买纸杯蛋糕。但 Private Cloud Compute 的方法是搬到一个没有面包店的小镇,拆除你的厨房,并关闭你的信用卡,以防止自己购买 Easy Bake 烤箱。这样,关于你是否有纸杯蛋糕的访问权或意外囤积纸杯蛋糕的可能性就不存在了。
苹果公司为 PCC 创建了运行苹果处理器的专用服务器,并开发了一个定制的 PCC 服务器操作系统,这是 iOS 和 macOS 的简化混合版本。该方案结合了公司过去二十年为 Mac 和 iPhone 开发的安全硬件和软件功能。
然而,与这些消费设备不同,PCC 服务器尽可能地简化。例如,它们不包括“持久存储”,这意味着它们没有可以长期保存处理数据的硬盘。它们确实集成了苹果公司专用的硬件加密密钥管理器,称为 Secure Enclave,并在每次启动时随机化每个文件系统的加密密钥。这意味着一旦 PCC 服务器重启,数据不会被保留,作为额外的预防措施,整个系统卷在加密上是不可恢复的。此时,服务器只能使用新的加密密钥重新开始。
PCC 服务器还使用苹果的 Secure Boot 来验证操作系统的完整性,并使用公司随 iOS 17 推出的代码验证功能,称为 Trusted Execution Monitor。与通常用于监督的 Trusted Execution Monitor 不同,PCC 在更严格的模式下运行它,一旦服务器重启并完成启动序列,系统就会锁定,无法加载任何新代码。本质上,服务器运行所需的所有软件都会经过检查和验证,然后在用户请求和数据开始处理之前被封装在一个密封的信封中。
更广泛地说,苹果公司表示它完全替换了 PCC 的正常服务器管理工具。例如,大多数云平台都有防止未经授权访问的政策和控制,但它们也构建了“紧急情况下打破”类型的选项,以便高度信任的系统管理员账户可以在出现错误或故障时迅速采取行动。在苹果公司专注于技术强制执行的保障而非政策保障的情况下,PCC 不允许特权访问,并大幅限制远程管理选项。
近年来,苹果公司通过为用户提供 iCloud 备份的端到端加密迈出了重大安全步骤,该公司仅在其云基础设施中为客户保存数据,并且没有技术能力解密和阅读这些数据。在当前技术下,这种方案对于生成式 AI 来说是不可行的,因为系统需要处理输入以给出输出。例如,如果你想让 Apple Intelligence 为你总结过去三小时内收到的所有短信和电子邮件,系统需要访问这些消息。端到端加密几乎不可能实现这种访问。
苹果公司表示,它仍然致力于尽可能在设备上进行 Apple Intelligence 处理,例如,全新的 iPhone 16 及其 A18 芯片将比配备 A16 芯片的 iPhone 15 进行更多的本地 AI 处理。然而,现实情况似乎是苹果公司需要在云端进行大量的 Apple Intelligence 处理——因此投资开发 PCC。(在 iOS 18.1 中,用户可以前往设置 > 隐私与安全 > Apple Intelligence 报告,查看哪些请求是在设备上处理,哪些是在云端处理。)
“在云端进行大规模语言模型推理的真正独特之处在于,数据必须在某种程度上可被服务器读取,以便它能够执行推理。然而,我们需要确保该处理在隐私气泡内被密封,”Federighi 说。“所以我们必须在那里做些新的事情。端到端加密的技术——服务器一无所知——在这里是不可能的,所以我们必须想出另一种解决方案来实现类似的安全级别。”
尽管如此,苹果公司表示它提供了“从用户设备到经过验证的 PCC 节点的端到端加密,确保请求在传输过程中无法被任何外部事物访问”。系统的架构使得 Apple Intelligence 数据在加密上对标准数据中心服务(如负载均衡器和日志设备)不可用。在 PCC 集群内部,数据被解密和处理,但苹果公司强调,一旦响应被加密并发送给用户,数据不会被保留或记录,也不会被苹果公司或其任何员工访问。
苹果公司表示,PCC 的总体愿景是,攻击者必须破坏整个系统——这是一件非常困难的事情,更不用说在没有被发现的情况下——才能针对特定用户的个人数据。即使攻击者能够物理破坏单个 PCC 节点,系统也设计有匿名中继功能,因此任何节点上的查询和数据都无法连接到个人用户。
这一切听起来很不错,但以保密著称的公司似乎意识到,宣称做所有这些事情并声称提供技术保障最终只有在有证据和透明度的情况下才有说服力。因此,PCC 包括一个外部审计机制,具有至关重要的双重目的。
苹果公司正在公开提供每个生产 PCC 服务器构建供检查,以便与苹果无关的人员可以验证 PCC 是否在做(或不做)公司声称的事情,并且一切都被正确实施。所有 PCC 服务器镜像都记录在加密证明日志中,本质上是一个不可磨灭的签名声明记录,每个条目都包含一个 URL,用于下载该单独构建。PCC 的设计使得苹果公司无法在不记录的情况下将服务器投入生产。此外,该系统作为一个关键的执行机制,防止不良行为者设置流氓 PCC 节点并转移流量。如果服务器构建未被记录,iPhone 将不会向其发送 Apple Intelligence 查询或数据。
PCC 是苹果公司漏洞赏金计划的一部分,研究人员发现的漏洞或错误配置可能有资格获得现金奖励。苹果公司表示,尽管自 iOS 18.1 测试版于 7 月底发布以来,还没有人发现 PCC 中的任何缺陷。但该公司承认,目前只向一小部分研究人员提供了评估 PCC 的工具。
多位安全研究人员和密码学家告诉 WIRED,Private Cloud Compute 看起来很有希望,但他们还没有花大量时间深入研究它。
“在我们之前没有任何数据中心的情况下,在数据中心构建苹果硅服务器,为数据中心构建定制操作系统是一个巨大的挑战,”Federighi 说。他补充说,“创建信任模型,使得设备只有在服务器运行的所有软件的签名已发布到透明日志中时才会向服务器发出请求,这无疑是解决方案中最独特的元素之一——并且对信任模型至关重要。”
对于苹果公司与 OpenAI 的合作以及 ChatGPT 的集成的问题,该公司强调,合作伙伴关系不受 PCC 覆盖,并独立运作。ChatGPT 和其他集成默认关闭,用户必须手动启用它们。然后,如果 Apple Intelligence 确定请求最好由 ChatGPT 或其他合作伙伴平台完成,它会每次通知用户并询问是否继续。此外,用户可以在登录合作伙伴服务(如 ChatGPT)的账户时使用这些集成,或者通过苹果公司使用它们而不需要单独登录。苹果公司在 6 月份表示,与谷歌 Gemini 的另一个集成也在进行中。
苹果公司本周表示,除了在美国英语中推出外,Apple Intelligence 将于 12 月在澳大利亚、加拿大、新西兰、南非和英国推出。该公司还表示,明年将增加对中文、法语、日语和西班牙语的支持。这是否意味着 Apple Intelligence 将符合欧盟的 AI 法案,以及苹果公司是否能够以当前形式在中国提供 PCC,则是另一个问题。
“我们的目标是尽可能将我们所能提供的最佳功能带给我们的客户,”Federighi 说。“但我们必须遵守法规,在某些环境中存在不确定性,我们正在努力解决这些问题,以便尽快将这些功能带给我们的客户。所以,我们正在努力。”
他补充说,随着公司扩展其在设备上进行更多 Apple Intelligence 计算的能力,这可能在一些市场中作为一种变通方法。
那些能够访问 Apple Intelligence 的用户将能够做比过去 iOS 版本更多的事情,从利用写作工具到照片分析。Federighi 表示,他的家人最近为他们的狗庆祝生日使用 Apple Intelligence 生成的 Image Playground 创作,该创作独家分享给 WIRED。尽管苹果的 AI 旨在尽可能有用且不可见,但支撑其基础设施的安全性至关重要。那么,到目前为止情况如何?Federighi 毫不犹豫地总结道:“Private Cloud Compute 的推出非常顺利。”
2024 年 9 月 11 日晚上 9 点(美国东部时间)更新:本文已更新,澄清了 Federighi 为其狗的生日创建的 Apple Intelligence 生成图像,并确认她是一只非常好的狗。