Theo nhiều cách, sự bùng nổ của AI tạo sinh đã phá vỡ quyền riêng tư cho đến nay, khi các dịch vụ thu thập dữ liệu web để đào tạo các mô hình học máy của họ và thông tin cá nhân của người dùng phải đối mặt với kỷ nguyên mới của các mối đe dọa và phơi bày tiềm ẩn . Với việc phát hành iOS 18 và macOS Sequoia của Apple trong tháng này, công ty đã tham gia vào cuộc chiến, ra mắt Apple Intelligence, mà công ty cho biết cuối cùng sẽ là dịch vụ nền tảng trong hệ sinh thái của mình. Nhưng Apple có uy tín cần duy trì vì ưu tiên quyền riêng tư và bảo mật, vì vậy công ty đã có một bước tiến lớn. Công ty đã phát triển cơ sở hạ tầng tùy chỉnh và các tính năng minh bạch rộng rãi, được gọi là Private Cloud Compute (PCC), cho các dịch vụ đám mây mà Apple Intelligence sử dụng khi hệ thống không thể thực hiện truy vấn cục bộ trên thiết bị của người dùng.
Điểm hấp dẫn của xử lý dữ liệu trên thiết bị hoặc xử lý "cục bộ" là nó hạn chế các con đường mà kẻ tấn công có thể thực hiện để đánh cắp dữ liệu của người dùng. Dữ liệu không bao giờ rời khỏi máy tính hoặc điện thoại, vì vậy đó là mục tiêu mà kẻ tấn công phải nhắm tới. Điều đó không có nghĩa là một cuộc tấn công sẽ không bao giờ thành công, nhưng chiến trường được xác định và hạn chế. Việc cung cấp dữ liệu cho một công ty để xử lý trên đám mây về cơ bản không phải là vấn đề bảo mật - một lượng dữ liệu không thể đo đếm được di chuyển qua cơ sở hạ tầng đám mây toàn cầu một cách an toàn mỗi ngày. Nhưng nó mở rộng chiến trường đó rất nhiều và cũng tạo ra nhiều cơ hội hơn cho các lỗi vô tình làm lộ dữ liệu. Vấn đề sau đặc biệt là với AI tạo ra do những cách không mong muốn mà một hệ thống được giao nhiệm vụ tạo nội dung có thể truy cập và chia sẻ thông tin.
Với Private Cloud Compute, Apple đã phát triển một loạt các công nghệ bảo mật đám mây sáng tạo. Nhưng dịch vụ này cũng có ý nghĩa quan trọng trong việc thúc đẩy giới hạn của đề xuất kinh doanh có thể chấp nhận được đối với dịch vụ đám mây, dường như ưu tiên kiến trúc an toàn hơn là những gì hiệu quả nhất về mặt kỹ thuật hoặc kinh tế.
Craig Federighi, phó chủ tịch cấp cao phụ trách kỹ thuật phần mềm tại Apple, chia sẻ với WIRED: “Chúng tôi đặt ra mục tiêu ngay từ đầu là làm thế nào để có thể mở rộng các loại bảo đảm quyền riêng tư mà chúng tôi đã thiết lập với việc xử lý trên thiết bị bằng iPhone lên đám mây—đó là tuyên bố sứ mệnh". “Chúng tôi đã có những bước đột phá ở mọi cấp độ để thực hiện được điều này, nhưng những gì chúng tôi đã làm được là đạt được mục tiêu của mình. Tôi nghĩ rằng điều này đặt ra một tiêu chuẩn mới cho việc xử lý trên đám mây trong ngành”.
Để loại bỏ nhiều điểm tấn công tiềm ẩn và cạm bẫy mà điện toán đám mây có thể gây ra, Apple cho biết các nhà phát triển của họ tập trung vào ý tưởng rằng "bảo mật và quyền riêng tư sẽ mạnh nhất khi chúng hoàn toàn có thể thực thi được về mặt kỹ thuật" thay vì được triển khai thông qua các chính sách.
Nói cách khác, bạn có thể đặt một đĩa bánh nướng xốp trên quầy và tự đặt ra chính sách là bạn sẽ không ăn bất kỳ chiếc nào. Hoặc bạn có thể đặt ra chính sách là bạn không bao giờ làm hoặc mua bánh nướng xốp. Nhưng cách tiếp cận của Private Cloud Compute sẽ là chuyển đến một thị trấn không có tiệm bánh, phá bỏ nhà bếp của bạn và đóng thẻ tín dụng để ngăn bạn mua Easy Bake Ovens. Theo cách đó, sẽ không có câu hỏi nào về việc bạn có thể tiếp cận bánh nướng xốp hay khả năng vô tình tích trữ bánh nướng xốp.
Apple đã tạo ra các máy chủ chuyên dụng chạy bộ xử lý Apple cho PCC và phát triển một hệ điều hành máy chủ PCC tùy chỉnh, là phiên bản lai ghép của iOS và macOS. Kế hoạch này kết hợp các tính năng bảo mật phần cứng và phần mềm mà công ty đã phát triển cho máy Mac và iPhone trong hai thập kỷ qua.
Tuy nhiên, không giống như các thiết bị tiêu dùng này, máy chủ PCC càng đơn giản càng tốt. Ví dụ, chúng không bao gồm "lưu trữ liên tục", nghĩa là chúng không có ổ cứng có thể lưu trữ dữ liệu đã xử lý trong thời gian dài. Chúng kết hợp trình quản lý khóa mã hóa phần cứng chuyên dụng của Apple được gọi là Secure Enclave và cũng ngẫu nhiên hóa khóa mã hóa của từng hệ thống tệp tại mỗi lần khởi động. Điều này có nghĩa là khi máy chủ PCC được khởi động lại, không có dữ liệu nào được giữ lại và, như một biện pháp phòng ngừa bổ sung, toàn bộ khối lượng giao dịch hệ thống sẽ không thể khôi phục được về mặt mật mã. Vào thời điểm đó, tất cả những gì máy chủ có thể làm là bắt đầu lại với khóa mã hóa mới.
Máy chủ PCC cũng sử dụng Secure Boot của Apple để xác thực tính toàn vẹn của hệ điều hành và sử dụng tính năng xác minh mã mà công ty đã ra mắt với iOS 17, được gọi là Trusted Execution Monitor. Tuy nhiên, thay vì sử dụng Trusted Execution Monitor theo cách thông thường để giám sát, PCC chạy nó ở chế độ nghiêm ngặt hơn nhiều, trong đó khi máy chủ khởi động lại và hoàn tất trình tự khởi động, hệ thống sẽ khóa lại và không thể tải bất kỳ mã mới nào. Về cơ bản, tất cả phần mềm mà máy chủ cần chạy đều được kiểm tra và xác thực, sau đó được đưa vào một phong bì được niêm phong trước khi yêu cầu của người dùng và dữ liệu có thể bắt đầu xử lý.
Nói rộng hơn, Apple cho biết họ đã thay thế hoàn toàn các công cụ quản lý máy chủ thông thường của mình cho PCC. Ví dụ, hầu hết các nền tảng đám mây đều có chính sách và biện pháp kiểm soát để ngăn chặn truy cập trái phép, nhưng họ cũng xây dựng các tùy chọn kiểu "ngắt trong trường hợp khẩn cấp" để các tài khoản quản trị viên hệ thống có độ tin cậy cao có thể thực hiện hành động nhanh chóng trong trường hợp có lỗi hoặc lỗi. Để phù hợp với trọng tâm của Apple về các đảm bảo có thể thực thi về mặt kỹ thuật so với các đảm bảo chính sách, PCC không cho phép truy cập đặc quyền và hạn chế đáng kể các tùy chọn quản lý từ xa.
Trong những năm gần đây, Apple đã thực hiện một bước tiến lớn về bảo mật bằng cách cung cấp cho người dùng mã hóa đầu cuối cho các bản sao lưu iCloud , trong đó công ty chỉ lưu trữ dữ liệu trong cơ sở hạ tầng đám mây của mình cho khách hàng và không có khả năng kỹ thuật để giải mã và đọc dữ liệu đó. Với công nghệ hiện tại, một chương trình như vậy là không thể triển khai cho AI tạo sinh vì hệ thống cần xử lý các đầu vào để đưa ra đầu ra. Ví dụ, nếu bạn muốn Apple Intelligence cung cấp cho bạn bản tóm tắt về tất cả các tin nhắn văn bản và email mà bạn đã nhận được trong ba giờ qua, hệ thống cần có quyền truy cập vào các tin nhắn đó. Mã hóa đầu cuối sẽ khiến việc truy cập đó trở nên hầu như không thể.
Apple cho biết họ vẫn cam kết thực hiện càng nhiều xử lý Apple Intelligence càng tốt trên thiết bị và một chiếc iPhone 16 hoàn toàn mới với chip A18, chẳng hạn, sẽ có thể thực hiện nhiều xử lý AI cục bộ hơn so với iPhone 15 với chip A16. Tuy nhiên, thực tế có vẻ như Apple sẽ cần thực hiện một lượng đáng kể xử lý Apple Intelligence trên đám mây—do đó cần đầu tư phát triển PCC. (Trong iOS 18.1, người dùng có thể vào Cài đặt > Quyền riêng tư & Bảo mật > Báo cáo Apple Intelligence để xem nhật ký về những yêu cầu nào được xử lý trên thiết bị so với trên đám mây.)
“Điều thực sự độc đáo về vấn đề thực hiện suy luận mô hình ngôn ngữ lớn trên đám mây là dữ liệu phải ở một mức độ nào đó có thể đọc được bởi máy chủ để có thể thực hiện suy luận. Tuy nhiên, chúng tôi cần đảm bảo rằng quá trình xử lý đó được niêm phong kín bên trong bong bóng riêng tư với điện thoại của bạn", Federighi nói. “Vì vậy, chúng tôi phải làm điều gì đó mới ở đó. Kỹ thuật mã hóa đầu cuối - nơi máy chủ không biết gì - là không khả thi ở đây, vì vậy chúng tôi phải đưa ra một giải pháp khác để đạt được mức độ bảo mật tương tự”.
Tuy nhiên, Apple cho biết họ cung cấp "mã hóa đầu cuối từ thiết bị của người dùng đến các nút PCC đã được xác thực, đảm bảo rằng yêu cầu không thể bị truy cập khi đang truyền tải bởi bất kỳ thứ gì bên ngoài các nút PCC được bảo vệ chặt chẽ đó". Hệ thống được thiết kế sao cho dữ liệu Apple Intelligence không thể được mã hóa đối với các dịch vụ trung tâm dữ liệu tiêu chuẩn như bộ cân bằng tải và thiết bị ghi nhật ký. Bên trong cụm PCC, dữ liệu được giải mã và xử lý, nhưng Apple nhấn mạnh rằng sau khi phản hồi được mã hóa và được gửi đi trong quá trình truyền tải đến người dùng, không có dữ liệu nào được lưu giữ hoặc ghi nhật ký và không có dữ liệu nào trong số đó có thể truy cập được đối với Apple hoặc từng nhân viên của Apple.
Apple cho biết tầm nhìn bao quát cho PCC là kẻ tấn công phải xâm phạm toàn bộ hệ thống—một điều khó có thể thực hiện mà không bị phát hiện—để nhắm mục tiêu vào dữ liệu cá nhân của một người dùng cụ thể. Ngay cả khi kẻ tấn công có thể xâm phạm vật lý một nút PCC trực tiếp riêng lẻ, hệ thống được thiết kế với tính năng chuyển tiếp ẩn danh để các truy vấn và dữ liệu trên bất kỳ nút nào không thể được kết nối với từng người dùng.
Tất cả nghe có vẻ khá hấp dẫn, nhưng công ty nổi tiếng bí mật này dường như nhận thức được rằng việc tuyên bố thực hiện tất cả những điều này và tuyên bố cung cấp các bảo đảm kỹ thuật cuối cùng chỉ có sức thuyết phục khi có bằng chứng và sự minh bạch. Vì vậy, PCC bao gồm một cơ chế kiểm toán bên ngoài phục vụ cho một mục đích kép quan trọng.
Apple đang công khai mọi bản dựng máy chủ PCC sản xuất để kiểm tra để những người không liên kết với Apple có thể xác minh rằng PCC đang làm (và không làm) những gì công ty tuyên bố và mọi thứ được triển khai chính xác. Tất cả các hình ảnh máy chủ PCC đều được ghi lại trong nhật ký chứng thực mật mã, về cơ bản là một bản ghi không thể xóa được về các yêu cầu đã ký và mỗi mục nhập bao gồm một URL để tải xuống bản dựng riêng lẻ đó. PCC được thiết kế để Apple không thể đưa máy chủ vào sản xuất mà không ghi nhật ký. Và ngoài việc cung cấp tính minh bạch, hệ thống còn hoạt động như một cơ chế thực thi quan trọng để ngăn chặn những kẻ xấu thiết lập các nút PCC độc hại và chuyển hướng lưu lượng truy cập. Nếu bản dựng máy chủ chưa được ghi nhật ký, iPhone sẽ không gửi truy vấn hoặc dữ liệu Apple Intelligence đến máy chủ đó.
PCC là một phần trong chương trình săn lỗi nhận tiền thưởng của Apple và các lỗ hổng hoặc cấu hình sai mà các nhà nghiên cứu tìm thấy có thể đủ điều kiện để nhận phần thưởng bằng tiền mặt. Tuy nhiên, Apple cho biết kể từ khi iOS 18.1 beta ra mắt vào cuối tháng 7, chưa có ai tìm thấy bất kỳ lỗi nào trong PCC cho đến nay. Công ty thừa nhận rằng cho đến nay họ chỉ cung cấp các công cụ để đánh giá PCC cho một nhóm các nhà nghiên cứu được chọn.
Nhiều nhà nghiên cứu bảo mật và mật mã học nói với WIRED rằng Private Cloud Compute có vẻ đầy hứa hẹn, nhưng họ vẫn chưa dành nhiều thời gian để tìm hiểu sâu về nó.
“Việc xây dựng các máy chủ silicon của Apple trong trung tâm dữ liệu khi chúng tôi chưa có bất kỳ máy chủ nào trước đây, việc xây dựng một hệ điều hành tùy chỉnh để chạy trong trung tâm dữ liệu là rất lớn”, Federighi nói. Ông nói thêm rằng “việc tạo ra mô hình tin cậy trong đó thiết bị của bạn sẽ từ chối gửi yêu cầu đến máy chủ trừ khi chữ ký của tất cả phần mềm mà máy chủ đang chạy đã được công bố vào nhật ký minh bạch chắc chắn là một trong những yếu tố độc đáo nhất của giải pháp—và hoàn toàn quan trọng đối với mô hình tin cậy”.
Đối với các câu hỏi về quan hệ đối tác của Apple với OpenAI và tích hợp ChatGPT , công ty nhấn mạnh rằng quan hệ đối tác không được PCC bảo vệ và hoạt động riêng biệt. ChatGPT và các tích hợp khác bị tắt theo mặc định và người dùng phải bật chúng theo cách thủ công. Sau đó, nếu Apple Intelligence xác định rằng một yêu cầu sẽ được ChatGPT hoặc nền tảng đối tác khác thực hiện tốt hơn, thì nó sẽ thông báo cho người dùng mỗi lần và hỏi xem có nên tiếp tục hay không. Ngoài ra, mọi người có thể sử dụng các tích hợp này khi đã đăng nhập vào tài khoản của họ cho một dịch vụ đối tác như ChatGPT hoặc có thể sử dụng chúng thông qua Apple mà không cần đăng nhập riêng. Vào tháng 6, Apple cho biết một tích hợp khác với Gemini của Google cũng đang được tiến hành.
Tuần này, Apple cho biết ngoài việc ra mắt bằng tiếng Anh Hoa Kỳ, Apple Intelligence sẽ có mặt tại Úc, Canada, New Zealand, Nam Phi và Vương quốc Anh vào tháng 12. Công ty cũng cho biết hỗ trợ ngôn ngữ bổ sung—bao gồm tiếng Trung, tiếng Pháp, tiếng Nhật và tiếng Tây Ban Nha—sẽ bị loại bỏ vào năm sau. Liệu điều đó có nghĩa là Apple Intelligence sẽ được phép theo Đạo luật AI của Liên minh Châu Âu hay không và liệu Apple có thể cung cấp PCC ở dạng hiện tại tại Trung Quốc hay không là một câu hỏi khác.
“Mục tiêu của chúng tôi là mang đến mọi thứ lý tưởng nhất có thể để cung cấp các khả năng tốt nhất cho khách hàng ở mọi nơi có thể,” Federighi nói. “Nhưng chúng tôi phải tuân thủ các quy định và có sự không chắc chắn trong một số môi trường nhất định mà chúng tôi đang cố gắng sắp xếp để có thể mang những tính năng này đến với khách hàng càng sớm càng tốt. Vì vậy, chúng tôi đang cố gắng.”
Ông nói thêm rằng khi công ty mở rộng khả năng thực hiện nhiều tính toán Apple Intelligence hơn trên thiết bị, họ có thể sử dụng giải pháp này như một giải pháp tạm thời ở một số thị trường.
Những người có quyền truy cập vào Apple Intelligence sẽ có khả năng làm được nhiều việc hơn so với các phiên bản iOS trước đây, từ công cụ viết cho đến phân tích ảnh. Federighi cho biết gia đình anh đã tổ chức sinh nhật gần đây cho chú chó của mình bằng GenMoji do Apple Intelligence tạo ra (được WIRED xem và xác nhận là rất dễ thương). Nhưng trong khi AI của Apple được cho là hữu ích và vô hình nhất có thể, thì rủi ro lại cực kỳ cao đối với tính bảo mật của cơ sở hạ tầng hỗ trợ nó. Vậy mọi thứ đang diễn ra như thế nào cho đến nay? Federighi tóm tắt mà không do dự: "Việc triển khai Private Cloud Compute diễn ra suôn sẻ một cách thú vị".
