Apple Private Cloud Compute - uma nova fronteira para a privacidade da IA na nuvem

• Private Cloud Compute (PCC) é um sistema de processamento de IA em nuvem desenvolvido pela Apple, projetado com uma arquitetura centrada em privacidade para que dados pessoais sejam processados em um estado ao qual nem a própria Apple pode acessar
• Com base em Apple Silicon e em um sistema operacional reforçado, implementa uma estrutura de computação sem estado (stateless) em que os dados do usuário são apagados imediatamente após o processamento da solicitação e não permanecem nem em logs nem em dados de depuração
• Remove shell remoto, ferramentas de depuração e sistemas gerais de log para bloquear na origem o acesso administrativo durante a operação, permitindo executar apenas código previamente aprovado
• Garante não direcionabilidade (non-targetability) para impedir ataques voltados a usuários específicos por meio de verificação da cadeia de suprimentos de hardware, relay OHTTP e autenticação baseada em RSA Blind Signature
• Publica todas as imagens de software e medições do PCC e fornece logs de transparência e um ambiente virtual de pesquisa para que pesquisadores possam verificá-los, garantindo transparência verificável (verifiable transparency)

Visão geral do Private Cloud Compute

• O PCC é um sistema de IA em nuvem projetado para dar suporte a recursos avançados do Apple Intelligence, possibilitando computação de IA em larga escala com a proteção de dados pessoais como premissa
• É a primeira tentativa de estender para a nuvem o modelo de segurança e privacidade no nível dos dispositivos Apple, e nem a própria Apple consegue acessar os dados do usuário
• É composto por hardware de servidor baseado em Apple Silicon e por um sistema operacional que reorganiza as tecnologias de segurança do iOS e do macOS, utilizando Code Signing, sandboxing e Secure Enclave

Limitações da IA em nuvem tradicional

• A IA em nuvem convencional exige acesso a dados do usuário não criptografados, o que torna impossível a criptografia de ponta a ponta
• Há problemas como dificuldade de verificação de segurança e privacidade, acesso privilegiado de administradores durante a operação e falta de transparência de software
• Para superar essas limitações, o PCC adota como princípio central de projeto garantias de segurança tecnicamente aplicáveis (enforceable guarantees)

Requisitos centrais de projeto

• Processamento de dados sem estado: os dados do usuário são apagados imediatamente após o processamento da solicitação e não permanecem em logs nem em dados de depuração
• Aplicação técnica obrigatória: sem depender de componentes externos, as garantias de segurança devem poder ser totalmente verificadas dentro do próprio sistema
• Proibição de acesso privilegiado durante a operação: administradores ou engenheiros não podem acessar dados do usuário nem mesmo em caso de falha do sistema
• Não direcionabilidade (non-targetability): projetado para tornar impossíveis ataques voltados a usuários específicos
• Transparência verificável: pesquisadores devem poder comparar e verificar o software realmente em execução com as imagens públicas

Estrutura dos nós do PCC

• Hardware de servidor personalizado baseado em Apple Silicon forma a base de confiança e inclui as tecnologias Secure Boot e Secure Enclave do iPhone
• O sistema operacional é uma versão reduzida e reforçada do núcleo do iOS e do macOS, otimizada para workloads de inferência de LLM
• Usa uma stack de machine learning baseada em Swift on Server para executar o Apple Foundation Model na nuvem

Computação sem estado e garantias de segurança

• O dispositivo do usuário criptografa a solicitação com a chave pública do nó PCC antes do envio, e componentes intermediários não podem descriptografá-la
• Apenas código aprovado pode ser executado com Secure Boot e Code Signing, com bloqueio de inserção de código JIT
• O Secure Enclave protege as chaves de descriptografia, e a aleatorização das chaves de criptografia na reinicialização evita a persistência de dados
• Pointer Authentication Codes, sandboxing e garantia de segurança de memória minimizam a superfície de ataque

Bloqueio de acesso privilegiado

• Shell remoto, ferramentas de depuração e modo de desenvolvedor foram completamente removidos
• Não inclui sistema geral de logs, e apenas logs de auditoria estruturados e predefinidos podem ser enviados externamente
• Esse projeto estabelece uma estrutura em que o vazamento de dados do usuário é impossível mesmo durante a operação

Não direcionabilidade (Non-targetability)

• Para impedir que atacantes mirem usuários específicos, aplica verificação da cadeia de suprimentos de hardware e dispersão de solicitações (target diffusion)
  • Na etapa de fabricação, realiza inspeção por imagem em alta resolução e lacração, além de verificação por observadores terceirizados
  • Os metadados das solicitações não incluem informações de identificação pessoal, e a autenticação é feita com RSA Blind Signature
  • Usa relay OHTTP para anonimizar endereços IP
• O load balancer é projetado para não conhecer informações do usuário, evitando roteamento enviesado para nós específicos

Transparência verificável (Verifiable Transparency)

• Publica as imagens de software e medições de todos os builds operacionais do PCC
• Qualquer pessoa pode verificar as medições de código registradas no log de transparência
• Fornece ferramentas para pesquisadores e um ambiente virtual de pesquisa (PCC Virtual Research Environment)
• Parte do código-fonte crítico de segurança é publicada, e os bootloaders sepOS e iBoot são fornecidos em texto legível
• O programa Apple Security Bounty recompensa relatos de vulnerabilidades

Planos futuros

• O PCC é apresentado como um novo padrão para a arquitetura de segurança de IA em nuvem
• Após a divulgação da versão beta, estão previstos análises técnicas aprofundadas e ampliação da participação de pesquisadores de segurança
• Com o PCC, a Apple busca estabelecer uma infraestrutura de IA centrada na privacidade do usuário