蘋果
蘋果於本周四(10/24)公開邀請所有安全及隱私研究人員,或者是任何有興趣的人存取Private Cloud Compute(PCC),並將抓漏獎勵延伸到PCC,最高可獲得100萬美元的獎金。為了實現此一宣布,蘋果提供了PCC的安全指南,PCC的虛擬研究環境(Virtual Research Environment,VRE),以及PCC的某些關鍵原始碼。
Private Cloud Compute是蘋果AI服務Apple Intelligence的一環,使用者可於Mac、iPhone及iPad上直接執行AI任務,更複雜的任務便移至PCC執行。這也是蘋果第一次將裝置的安全及隱私能力擴展至雲端,以確保發送到PCC的個人資料無法被使用者之外的任何人存取,包括蘋果在內。蘋果還將PCC稱作是雲端大規模AI運算史上最先進的安全架構。
先前蘋果已開放第三方稽核人員及安全研究人員存取包括VRE在內的PCC資源,以驗證PCC的安全及隱私承諾,現在則開放所有人存取,包括PCC安全指南、VRE及PCC原始碼。
其中,PCC安全指南含有各種元件的技術資訊,以及這些元件如何協作以維護隱私與安全,例如PCC的認證機制是建立在硬體層級的安全性上,不容易被竄改;PCC如何驗證使用者請求,以及如何分發它們以避免使用者遭到鎖定;或是PCC的隱私及安全功能在不同攻擊場景中的表現。
蘋果首次替一個蘋果平臺建立的虛擬研究環境就是PCC VRE。該VRE是一套工具,讓研究人員得以在自己的Mac電腦上針對PCC進行安全分析。
此一VRE是在虛擬機器中執行PCC節點軟體;用戶空間的軟體執行方式與PCC節點完全相同,僅為了適應虛擬化而變更啟動過程與核心;它包含一個虛擬的安全隔離處理器,以供研究人員探查此一元件;還可利用macOS內建的半虛擬化繪圖支援來實現推論功能。
研究人員可利用VRE來列出及檢查PCC的軟體版本,驗證透明度日誌的一致性,下載每個版本對應的二進位檔,於虛擬化環境中啟動一個版本,針對示範模型執行推論,修改或調試PCC軟體以展開更深入的調查。
執行VRE的系統需求為蘋果晶片、16GB或以上的記憶體,以及macOS Sequoia 15.1 開發者預覽版。
至於透過GitHub釋出的PCC原始碼則有負責建構與驗證PCC節點的CloudAttestation專案;於用戶裝置上執行守護程序,以確保所有雲端AI運算安全性的Thimble專案;防止資料意外洩露的splunkloggingd守護程式;以及可在虛擬環境中研究與分析PCC系統的srd_tools專案。
在透過VRE開放了PCC之後,蘋果也將PCC納入Apple Security Bounty抓漏專案中,獎金從5萬美元至100萬美元不等,找到因部署或配置不當而造成的資料外洩漏洞即可獲得5萬美元的獎金,若是找到能夠執行任意程式碼並完全控制系統的遠端攻擊漏洞,便能得到100萬美元的抓漏獎金。
熱門新聞
2024-10-24
2024-10-22
2024-10-21
2024-10-23
2024-10-23