圖片來源: 

蘋果

「了解個人脈絡資訊是AI真正有用的關鍵,但要用正確的方式來取得,用戶不應交出種種生活細節,就為了存到業者AI雲上來分析。」蘋果軟體工程資深副總裁Craig Federighi在WWDC產品發表,點出了現今雲端GAI應用最大的兩難。

GAI模型需要個人化的資訊,才能提供更準確的建議或行動,但是越強大的LLM越需要算力來推論,只能上雲。這就導致,使用者得提供種種個人化的資訊,上傳到公雲上的GAI服務,可是,又無法確保,GAI業者會如承諾地,不將這些個人私密資料用來訓練模型,甚至有些業者乾脆調整使用條款,如Meta,宣布日後上傳到臉書的公開貼文,將成為模型訓練的素材。

如何以「正確的方式」取得,讓用戶保有最大的隱私自主權,這是蘋果AI戰略實現「私有化」最關鍵的一步。蘋果不只承諾,從來不會使用用戶資料來訓練模型,更採取了雲地混合架構的AI運算,優先採用裝置端AI,當地端模型不敷使用時,改由一個「私有雲端運算」(Private Cloud Compute,簡稱PCC)上的模型來接手推論。

蘋果甚至強調,PCC創造了一個全新的雲端AI隱私標準。這個隱私標準包括了三項準則,包括了「你的資料永不保留」、「只用於你請求的用途」以及「可驗證的隱私承諾」。蘋果強調,「私有雲端算力」服務,將會遵守這三項要求,會開放第三方來查驗。

為了落實這三大隱私準則,來打造高度私有的雲端運算環境,蘋果採取了5個PCC安全設計原則。一是採取無態運算來處理個人資料,避免資料留存在PCC上遭追蹤。其次是用技術確保隱私承諾能做到最強,像是避免靠外部機制或元件來確保安全。第三個原則是禁止任何runtime執行階段的特權存取,像是移除特權存取功能,就能徹底杜絕管理者繞過隱私控制機制。第四要避免遭攻擊鎖定的能力,要想辦法特定節點遭入侵,導致特定使用者的資料被竊取。最後一項原則也是業界少有人做到的是可驗證的透明度,開放給第三方資安研究人員,來驗證自己的安全性保證。

蘋果在PCC上,如何實踐上述五項安全設計,可以分三個層次,從硬體安全、軟體安全和安全驗證來說明。

從硬體安全、軟體安全和安全驗證來看PCC隱私實踐

先從底層硬體安全開始,PCC的運算節點採用的是蘋果晶片的伺服器,蘋果自製的系統單晶片,包括了手機、平板和筆電用的M系列或是伺服器用的M2/M3 Ultra系列等,除了內建CPU、GPU和AI運算用的NPU之外,最大特色是內建了一個安全隔離區(Secure Enclave),內有一個開機ROM、AES加密引擎以及產生密鑰需要的資料,可以用來處理作業系統上的任何加密、解密需求。

當用戶的AI推論請求,從蘋果裝置傳送到雲端的PCC節點,在雲端進行推論計算,再將結果回傳到裝置上,都可以使用裝置或雲端PCC上的晶片硬體加密引擎來提供端到端的加密保護,這也正是蘋果採用自家晶片伺服器來打造PCC的原因之一,可以採用同一套硬體晶片加密技術來確保安全,也能用晶片製造時就內建的ROM來確保開機安全。這是蘋果PCC運算環境的信任基礎。

在PCC軟體架構層的安全上,PCC的軟體架構包括了4層,最底層的私有雲軟體OS,維運需要的私有雲外掛程式,提供給SRE用工具就屬於這類外掛,第三層則是Swift語言打造的ML軟體架構層,最上一層則是蘋果各種伺服器端執行的大型模型。

進一步來說,PCC節點伺服器底層所用的作業系統,是一個客製化版本。蘋果以iOS和macOS為基礎,改造出了一款特殊修改過的新版作業系統,保留了執行LLM推論需要的相關元件,來減少軟體的攻擊面,降低資安風險,也引進了iOS的安全機制,例如程式碼簽署和安全沙盒,只有經過授權和加密測量的程式碼才能在節點上執行。

尤其,這款新OS更移除了傳統資料中心管理者慣用的通用管理工具,例如移除了SSH和遠端shell工具,改為只提供SRE人員需要的特定用途可觀察性工具。並且採用了Swift語言,打造了一套Swift on Server機器學習軟體架構,來執行雲端基礎模型的推論運算。

使用者上傳的資料,只會在處理請求的PCC節點上進行推論計算,完成請求後就會刪除,不會用任何形式保留,例如像是不會保留在Log或除錯訊息中。因為每一次重新啟動時,就會隨機產生新的加密金鑰,也會用加密方式擦除資料也只有獲得授權的PCC節點內部的程式,才有權解開端到端全程加密的資料,就連蘋果任何員工,都無法解開、看到這些使用者的資料,已無法透過特權工具或機制,來存取得這些節點內的資料。

PCC節點提供給SRE所用的可觀測性數據,也經過隱私考量設計,不提供通用性日誌記錄,而只提供預先設計、結構化和經過跨團隊層層審查的Log和指標資訊,才能離開PCC節點,來確保使用者資料在系統管理過程中不會外流到節點外。

透過這一套專為AI推論量身打造的軟體技術架構,搭配蘋果自製硬體晶片,就可以滿足三大AI隱私標準的前兩項,至於第三項「可驗證的隱私承諾」,蘋果的作法更是獨樹一格。

蘋果智慧採取了一套「私有」的雲地混合雲架構,使用者有最大的資料自主性,連蘋果都無法偷看。 自製晶片上的安全隔離區(Secure Enclave)是最關鍵的信任基礎,更釋出雲端執行環境的映像檔和安全相關程式碼,來獲取全世界的擔保。圖片來源/蘋果

蘋果獨創的隱私承諾驗證新作法

蘋果直接釋出了正式版本的雲端執行環境軟體映像檔,釋出給第三方驗證,來審視,蘋果自己實際在雲端節點所執行的環境,確實做到如他們所承諾的安全保證那樣。這個軟體映像檔包括了PCC私有雲軟體OS、私有雲端外掛程式,以及ML軟體架構層,等於是執行大型語言模型需要的所有軟體,都在這個映像檔中,只有上面的大型語言模型參數和ML程式碼沒有釋出。

釋出自家軟體映像檔,提供給第三方查驗安全性,不是蘋果獨創的作法,有不少軟體業者也願意或公開自家軟體程式碼或映像檔,來證明和擔保自家軟體的安全性,但多數軟體業者釋出的版本,雖然也是正式版本,但不一定是實際真正執行的版本,實際在雲端主機上執行的,可能是更新更多功能的新版本,或是經過優化、微調後的版本。蘋果不只釋出實際使用的正式版本,還有一套方法向外界證明。

蘋果在年底PCC對外啟用後,會發布一個採取了加密防篡設計的公開日誌,只能新增紀錄不能刪除,上面會釋出,PCC節點上所有程式碼執行的量測數據。另外,也會釋出相關軟體二進位映像檔,供研究人員與日誌上的Log紀錄比對。蘋果也會提供一套官方工具,讓資安研究人員分析PCC節點上的軟體,最後是透過蘋果資安漏洞獎勵計畫,來獎勵那些發現新漏洞的研究人員。

每一個使用者的裝置要將資料上傳到PCC節點上進行AI推論時,會比對PCC節點上軟體的公開金鑰,是否符合公開日誌上正式版本的軟體,而節點上的所有程式碼,也同樣透過程式碼簽署技術,來確保屬於公開日誌上紀錄的版本。換句話說,蘋果智慧要將資料傳到PCC上進行推論時,只能傳送到使用了第三方驗證軟體的PCC節點。蘋果透過這個方式,由第三方來查驗和擔保,PCC雲端AI推論主機所用的軟體,都是符合蘋果對外隱私和安全保證的版本。

蘋果還提供了一套PCC虛擬研究環境,可以在本地端Mac上模擬出一個PCC節點,來查驗上面軟體的功能。不只是釋出PCC節點的映像檔,甚至,蘋果承諾會定期釋出資安相關的PCC原始碼,提供資安人員檢查。

為了證明,自家雲端AI是一個高度保護使用者隱私的環境,連蘋果自己都無法濫用、偷用的環境,蘋果大膽採取了開放完整映像檔和關鍵程式碼的作法,更是借力使力,讓全世界的資安人才都來幫自己強化安全的高招。

不只如此,自製晶片上的安全隔離區,正是蘋果這套私有「雲地混合」架構最重要的信任基礎,也是最大的差異化特色。透過原廠晶片上的硬體建立信任基礎,來確保整個架構的安全,這是其他單靠自家軟體,搭配第三方硬體晶片,所難以實現的安全完整性。隨著科技巨頭爭相自行打造晶片,內建硬體安全也將成為新的晶片標準配備。

「你的資料,就是你的資料」這是科技巨頭常標榜的顧客「資料自主性」承諾,相當於是蘋果「你的資料永不保留」和「只用於你請求的用途」這兩項AI隱私原則的要求,但蘋果以獨創的作法,實踐了「可供第三方驗證」原則,再一度創造了雲端AI隱私的新標準。

 相關報導 【蘋果私有AI戰略關鍵1】靠LoRA架構裝置端GAI擁有專門能力,為超強AI代理打基礎

熱門新聞

Advertisement