【蘋果私有AI戰略關鍵2】用5大安全設計落實隱私3準則，打造高度私有的雲地混合架構

圖片來源:

蘋果

「了解個人脈絡資訊是AI真正有用的關鍵，但要用正確的方式來取得，用戶不應交出種種生活細節，就為了存到業者AI雲上來分析。」蘋果軟體工程資深副總裁Craig Federighi在WWDC產品發表，點出了現今雲端GAI應用最大的兩難。

GAI模型需要個人化的資訊，才能提供更準確的建議或行動，但是越強大的LLM越需要算力來推論，只能上雲。這就導致，使用者得提供種種個人化的資訊，上傳到公雲上的GAI服務，可是，又無法確保，GAI業者會如承諾地，不將這些個人私密資料用來訓練模型，甚至有些業者乾脆調整使用條款，如Meta，宣布日後上傳到臉書的公開貼文，將成為模型訓練的素材。

如何以「正確的方式」取得，讓用戶保有最大的隱私自主權，這是蘋果AI戰略實現「私有化」最關鍵的一步。蘋果不只承諾，從來不會使用用戶資料來訓練模型，更採取了雲地混合架構的AI運算，優先採用裝置端AI，當地端模型不敷使用時，改由一個「私有雲端運算」（Private Cloud Compute，簡稱PCC）上的模型來接手推論。

蘋果甚至強調，PCC創造了一個全新的雲端AI隱私標準。這個隱私標準包括了三項準則，包括了「你的資料永不保留」、「只用於你請求的用途」以及「可驗證的隱私承諾」。蘋果強調，「私有雲端算力」服務，將會遵守這三項要求，會開放第三方來查驗。

為了落實這三大隱私準則，來打造高度私有的雲端運算環境，蘋果採取了5個PCC安全設計原則。一是採取無態運算來處理個人資料，避免資料留存在PCC上遭追蹤。其次是用技術確保隱私承諾能做到最強，像是避免靠外部機制或元件來確保安全。第三個原則是禁止任何runtime執行階段的特權存取，像是移除特權存取功能，就能徹底杜絕管理者繞過隱私控制機制。第四要避免遭攻擊鎖定的能力，要想辦法特定節點遭入侵，導致特定使用者的資料被竊取。最後一項原則也是業界少有人做到的是可驗證的透明度，開放給第三方資安研究人員，來驗證自己的安全性保證。

蘋果在PCC上，如何實踐上述五項安全設計，可以分三個層次，從硬體安全、軟體安全和安全驗證來說明。

從硬體安全、軟體安全和安全驗證來看PCC隱私實踐

先從底層硬體安全開始，PCC的運算節點採用的是蘋果晶片的伺服器，蘋果自製的系統單晶片，包括了手機、平板和筆電用的M系列或是伺服器用的M2/M3 Ultra系列等，除了內建CPU、GPU和AI運算用的NPU之外，最大特色是內建了一個安全隔離區（Secure Enclave），內有一個開機ROM、AES加密引擎以及產生密鑰需要的資料，可以用來處理作業系統上的任何加密、解密需求。

當用戶的AI推論請求，從蘋果裝置傳送到雲端的PCC節點，在雲端進行推論計算，再將結果回傳到裝置上，都可以使用裝置或雲端PCC上的晶片硬體加密引擎來提供端到端的加密保護，這也正是蘋果採用自家晶片伺服器來打造PCC的原因之一，可以採用同一套硬體晶片加密技術來確保安全，也能用晶片製造時就內建的ROM來確保開機安全。這是蘋果PCC運算環境的信任基礎。

在PCC軟體架構層的安全上，PCC的軟體架構包括了4層，最底層的私有雲軟體OS，維運需要的私有雲外掛程式，提供給SRE用工具就屬於這類外掛，第三層則是Swift語言打造的ML軟體架構層，最上一層則是蘋果各種伺服器端執行的大型模型。

進一步來說，PCC節點伺服器底層所用的作業系統，是一個客製化版本。蘋果以iOS和macOS為基礎，改造出了一款特殊修改過的新版作業系統，保留了執行LLM推論需要的相關元件，來減少軟體的攻擊面，降低資安風險，也引進了iOS的安全機制，例如程式碼簽署和安全沙盒，只有經過授權和加密測量的程式碼才能在節點上執行。

尤其，這款新OS更移除了傳統資料中心管理者慣用的通用管理工具，例如移除了SSH和遠端shell工具，改為只提供SRE人員需要的特定用途可觀察性工具。並且採用了Swift語言，打造了一套Swift on Server機器學習軟體架構，來執行雲端基礎模型的推論運算。

使用者上傳的資料，只會在處理請求的PCC節點上進行推論計算，完成請求後就會刪除，不會用任何形式保留，例如像是不會保留在Log或除錯訊息中。因為每一次重新啟動時，就會隨機產生新的加密金鑰，也會用加密方式擦除資料也只有獲得授權的PCC節點內部的程式，才有權解開端到端全程加密的資料，就連蘋果任何員工，都無法解開、看到這些使用者的資料，已無法透過特權工具或機制，來存取得這些節點內的資料。

PCC節點提供給SRE所用的可觀測性數據，也經過隱私考量設計，不提供通用性日誌記錄，而只提供預先設計、結構化和經過跨團隊層層審查的Log和指標資訊，才能離開PCC節點，來確保使用者資料在系統管理過程中不會外流到節點外。

透過這一套專為AI推論量身打造的軟體技術架構，搭配蘋果自製硬體晶片，就可以滿足三大AI隱私標準的前兩項，至於第三項「可驗證的隱私承諾」，蘋果的作法更是獨樹一格。

蘋果智慧採取了一套「私有」的雲地混合雲架構，使用者有最大的資料自主性，連蘋果都無法偷看。自製晶片上的安全隔離區（Secure Enclave）是最關鍵的信任基礎，更釋出雲端執行環境的映像檔和安全相關程式碼，來獲取全世界的擔保。圖片來源／蘋果

蘋果獨創的隱私承諾驗證新作法

蘋果直接釋出了正式版本的雲端執行環境軟體映像檔，釋出給第三方驗證，來審視，蘋果自己實際在雲端節點所執行的環境，確實做到如他們所承諾的安全保證那樣。這個軟體映像檔包括了PCC私有雲軟體OS、私有雲端外掛程式，以及ML軟體架構層，等於是執行大型語言模型需要的所有軟體，都在這個映像檔中，只有上面的大型語言模型參數和ML程式碼沒有釋出。

釋出自家軟體映像檔，提供給第三方查驗安全性，不是蘋果獨創的作法，有不少軟體業者也願意或公開自家軟體程式碼或映像檔，來證明和擔保自家軟體的安全性，但多數軟體業者釋出的版本，雖然也是正式版本，但不一定是實際真正執行的版本，實際在雲端主機上執行的，可能是更新更多功能的新版本，或是經過優化、微調後的版本。蘋果不只釋出實際使用的正式版本，還有一套方法向外界證明。

蘋果在年底PCC對外啟用後，會發布一個採取了加密防篡設計的公開日誌，只能新增紀錄不能刪除，上面會釋出，PCC節點上所有程式碼執行的量測數據。另外，也會釋出相關軟體二進位映像檔，供研究人員與日誌上的Log紀錄比對。蘋果也會提供一套官方工具，讓資安研究人員分析PCC節點上的軟體，最後是透過蘋果資安漏洞獎勵計畫，來獎勵那些發現新漏洞的研究人員。

每一個使用者的裝置要將資料上傳到PCC節點上進行AI推論時，會比對PCC節點上軟體的公開金鑰，是否符合公開日誌上正式版本的軟體，而節點上的所有程式碼，也同樣透過程式碼簽署技術，來確保屬於公開日誌上紀錄的版本。換句話說，蘋果智慧要將資料傳到PCC上進行推論時，只能傳送到使用了第三方驗證軟體的PCC節點。蘋果透過這個方式，由第三方來查驗和擔保，PCC雲端AI推論主機所用的軟體，都是符合蘋果對外隱私和安全保證的版本。

蘋果還提供了一套PCC虛擬研究環境，可以在本地端Mac上模擬出一個PCC節點，來查驗上面軟體的功能。不只是釋出PCC節點的映像檔，甚至，蘋果承諾會定期釋出資安相關的PCC原始碼，提供資安人員檢查。

為了證明，自家雲端AI是一個高度保護使用者隱私的環境，連蘋果自己都無法濫用、偷用的環境，蘋果大膽採取了開放完整映像檔和關鍵程式碼的作法，更是借力使力，讓全世界的資安人才都來幫自己強化安全的高招。

不只如此，自製晶片上的安全隔離區，正是蘋果這套私有「雲地混合」架構最重要的信任基礎，也是最大的差異化特色。透過原廠晶片上的硬體建立信任基礎，來確保整個架構的安全，這是其他單靠自家軟體，搭配第三方硬體晶片，所難以實現的安全完整性。隨著科技巨頭爭相自行打造晶片，內建硬體安全也將成為新的晶片標準配備。

「你的資料，就是你的資料」這是科技巨頭常標榜的顧客「資料自主性」承諾，相當於是蘋果「你的資料永不保留」和「只用於你請求的用途」這兩項AI隱私原則的要求，但蘋果以獨創的作法，實踐了「可供第三方驗證」原則，再一度創造了雲端AI隱私的新標準。

熱門新聞