到目前为止,生成式人工智能的热潮在很多方面都对隐私构成了威胁,因为服务商会吸收网络数据来训练他们的机器学习模型,而用户的个人信息则面临着潜在威胁和暴露的新时代。随着苹果本月发布iOS 18和macOS Sequoia ,该公司也加入了竞争,推出了 Apple Intelligence,该公司表示,这最终将成为其生态系统的基础服务。但苹果素来以优先考虑隐私和安全而闻名,因此该公司采取了重大举措。它为 Apple Intelligence 在系统无法在用户设备上本地满足查询时使用的云服务开发了广泛的定制基础设施和透明功能,称为私有云计算(PCC)。
设备上数据处理或“本地”处理的优点在于,它限制了攻击者窃取用户数据的路径。数据永远不会离开计算机或手机,因此攻击者必须瞄准它们。这并不意味着攻击永远不会成功,但战场是明确且受限制的。将数据交给公司在云端处理本质上并不是一个安全问题——每天都有难以估量的数据安全地通过全球云基础设施。但它极大地扩展了战场,也为无意中暴露数据的错误创造了更多机会。后者尤其是生成 AI 的一个问题,因为负责生成内容的系统可能会以意想不到的方式访问和共享信息。
借助私有云计算,苹果开发了一系列创新的云安全技术。但这项服务还具有重要意义,因为它突破了云服务可接受的商业主张的极限,似乎优先考虑安全架构,而不是技术上最高效或最经济的架构。
苹果软件工程高级副总裁 Craig Federighi 向《连线》杂志表示:“我们从一开始就设定了一个目标,那就是如何将我们在 iPhone 设备上建立的隐私保障扩展到云端——这就是我们的使命宣言。虽然我们在各个层面都取得了突破,但我们实现了我们的目标。我认为这为行业在云端处理方面树立了新标准。”
苹果表示,为了消除云计算可能带来的许多潜在攻击点和陷阱,其开发人员专注于这样的理念:“当安全和隐私保障完全在技术上可执行时,它们是最强大的”,而不是通过政策来实现的。
换句话说,你可以在柜台上放一盘纸杯蛋糕,然后为自己制定一个政策,即你不会吃掉任何一个。或者你可以制定一个政策,即你永远不会制作或购买纸杯蛋糕。但私有云计算的方法是搬到一个没有面包店的城镇,拆掉你的厨房,并关闭你的信用卡,以防止自己购买简易烤箱。这样,你就不会对纸杯蛋糕的使用权产生疑问,也不会出现意外囤积纸杯蛋糕的可能性。
Apple 为 PCC 打造了运行 Apple 处理器的专用服务器,并开发了定制的 PCC 服务器操作系统,这是 iOS 和 macOS 的精简版混合版。该计划整合了该公司过去 20 年来为 Mac 和 iPhone 开发的硬件和软件安全功能。
不过,与这些消费设备不同的是,PCC 服务器尽可能地简陋。例如,它们不包括“持久存储”,这意味着它们没有可以长期保存处理数据的硬盘。它们确实集成了 Apple 的专用硬件加密密钥管理器(称为 Secure Enclave),并且在每次启动时都会随机化每个文件系统的加密密钥。这意味着一旦 PCC 服务器重新启动,就不会保留任何数据,并且作为额外的预防措施,整个系统卷在加密上是不可恢复的。此时,服务器所能做的就是使用新的加密密钥重新开始。
PCC 服务器还使用 Apple 的安全启动来验证操作系统的完整性,并使用该公司在 iOS 17 中推出的代码验证功能,即受信任执行监视器。不过,PCC 并没有以通常的方式使用受信任执行监视器进行监督,而是以更严格的模式运行它,一旦服务器重新启动并完成启动序列,系统就会锁定并且无法加载任何新代码。本质上,服务器需要运行的所有软件都会经过检查和验证,然后放入一个密封的信封中,然后用户请求和数据才能开始处理。
更广泛地说,苹果表示,它已用 PCC 完全取代了其常规的服务器管理工具。例如,大多数云平台都有防止未经授权访问的政策和控制措施,但它们也构建了“紧急情况下中断”类型的选项,以便高度可信的系统管理员帐户可以在出现错误或故障时快速采取行动。为了符合苹果对技术上可执行的保证而非政策保证的关注,PCC 不允许特权访问,并大幅限制远程管理选项。
近年来,苹果采取了重大安全措施,为用户提供iCloud 备份的端到端加密,即公司仅将客户的数据保存在其云基础设施中,而不具备Decrypt和读取这些数据的技术能力。以目前的技术,这种方案不可能在生成式人工智能中实现,因为系统需要处理输入才能给出输出。例如,如果你想让 Apple Intelligence 为你提供过去三个小时内收到的所有短信和电子邮件的摘要,系统需要访问这些消息。端到端加密将使这种访问几乎不可能。
苹果表示,它仍致力于在设备上进行尽可能多的 Apple Intelligence 处理,例如,搭载 A18 芯片的全新iPhone 16将能够在本地进行比搭载 A16 芯片的 iPhone 15 更多的 AI 处理。不过,现实情况似乎是,苹果需要在云端进行大量的 Apple Intelligence 处理——因此投资开发了 PCC。(在 iOS 18.1 中,用户可以前往“设置”>“隐私和安全”>“Apple Intelligence 报告”查看哪些请求是在设备上处理的日志,哪些是在云端处理的。)
“在云端进行大型语言模型推理的问题真正独特之处在于,数据必须在某种程度上可被服务器读取,这样它才能进行推理。然而,我们需要确保该处理过程与手机一起密封在隐私泡沫中,”Federighi 说。“所以我们必须在那里做一些新的事情。端到端加密技术(服务器一无所知)在这里是行不通的,所以我们必须想出另一种解决方案来实现类似的安全级别。”
不过,苹果表示,它提供“从用户设备到经过验证的 PCC 节点的端到端加密,确保请求在传输过程中不会被这些高度受保护的 PCC 节点之外的任何东西访问。”该系统的架构使得 Apple Intelligence 数据无法通过加密方式提供给标准数据中心服务,例如负载平衡器和日志记录设备。在 PCC 集群内部,数据会被解密和处理,但苹果强调,一旦响应被加密并发送给用户,就不会保留或记录任何数据,苹果或其员工也无法访问任何数据。
苹果表示,PCC 的总体愿景是,攻击者必须破坏整个系统(这是一件很难做到的事,更不用说不被发现了),才能锁定特定用户的个人数据。即使攻击者能够物理破坏单个实时 PCC 节点,该系统也设计有匿名中继功能,因此任何一个节点上的查询和数据都无法与单个用户联系起来。
这一切听起来都很棒,但这家以保密著称的公司似乎意识到,宣称自己做了所有这些事情并声称提供技术保证最终只有在有证据和透明度的情况下才具有说服力。因此,PCC 包含一个外部审计机制,它具有双重目的。
Apple 正在公开提供每个生产 PCC 服务器版本以供检查,以便与 Apple 无关的人员可以验证 PCC 是否按照公司声称的方式运行(以及是否没有运行),以及是否一切都正确实施。所有 PCC 服务器映像都记录在加密证明日志中,本质上是签名声明的不可磨灭记录,每个条目都包含一个 URL,用于下载该单个版本。PCC 的设计使得 Apple 无法在未记录的情况下将服务器投入生产。除了提供透明度之外,该系统还是一种重要的执行机制,可防止不良行为者设置恶意 PCC 节点并转移流量。如果服务器版本尚未记录,iPhone 将不会向其发送 Apple Intelligence 查询或数据。
PCC 是 Apple 漏洞赏金计划的一部分,研究人员发现的漏洞或错误配置可能有资格获得现金奖励。不过,Apple 表示,自 7 月底 iOS 18.1 测试版发布以来,到目前为止还没有人发现 PCC 存在任何漏洞。该公司承认,到目前为止,它只向一组选定的研究人员提供了评估 PCC 的工具。
多位安全研究人员和密码学家告诉《连线》杂志,私有云计算看起来很有前景,但他们还没有花费大量时间对其进行深入研究。
“在我们之前没有数据中心的情况下,在数据中心构建 Apple 芯片服务器,构建一个在数据中心运行的自定义操作系统是一项艰巨的任务,”Federighi 说道。他补充道,“创建信任模型,除非服务器正在运行的所有软件的签名已发布到透明日志中,否则您的设备将拒绝向服务器发出请求,这无疑是该解决方案最独特的元素之一,并且对信任模型至关重要。”
对于有关苹果与 OpenAI 的合作以及 ChatGPT 集成的问题,该公司强调,合作关系不属于 PCC 的覆盖范围,而是单独运作的。默认情况下,ChatGPT 和其他集成处于关闭状态,用户必须手动启用它们。然后,如果 Apple Intelligence 确定请求更适合由 ChatGPT 或其他合作伙伴平台来满足,它会每次都通知用户并询问是否继续。此外,人们可以在登录 ChatGPT 等合作伙伴服务的帐户时使用这些集成,也可以通过 Apple 使用它们而无需单独登录。苹果在 6 月份表示,与谷歌Gemini的另一项集成也在筹备中。
苹果本周表示,除了推出美国英语版本外,Apple Intelligence 还将于 12 月登陆澳大利亚、加拿大、新西兰、南非和英国。该公司还表示,明年将推出更多语言支持,包括中文、法语、日语和西班牙语。这是否意味着 Apple Intelligence 将获得欧盟《人工智能法案》的许可,以及苹果是否能够在中国以目前的形式提供 PCC 仍是另一个问题。
“我们的目标是尽我们所能,在任何地方为客户提供最好的功能,”Federighi 说道。“但我们必须遵守法规,而且我们正在努力解决某些环境中的不确定性,以便尽快将这些功能带给客户。所以,我们正在努力。”
他补充说,随着公司扩展其在设备上进行更多 Apple Intelligence 计算的能力,它也许能够在某些市场上使用此作为一种解决方法。
那些能够使用 Apple Intelligence 的用户将能够做比以前 iOS 版本更多的事情,从编写工具到照片分析。Federighi 说,他家最近用 Apple Intelligence 生成的GenMoji庆祝了他们家狗狗的生日(WIRED 看过后确认它非常可爱)。但是,尽管 Apple 的 AI 旨在尽可能地有用和隐身,但支撑它的基础设施的安全性却非常高。那么目前进展如何?Federighi 毫不犹豫地总结道:“私有云计算的推出非常顺利。”
