苹果AI背后的秘密大招，为每个人定制“隐私保安”，《连线》深度拆解苹果私密云计算技术PCC

智东西
编译 尹明顺 林锦蓥
编辑 漠影

但这项服务也可能对手机用户隐私保护提出了更高的要求，由于AI服务需要大量网络数据来训练机器学习模型，这可能导致用户个人信息被收集、分析和利用，进而出现泄露隐私的风险。

换句话说，AI要服务你，首先要弄懂你，就不可避免地随时在“监控”你使用手机的一举一动。为此，苹果也在发布中专门强调了一个解决AI手机隐私保护问题的利器私密云计算（Private Cloud Compute，简称PCC），字面上和传统云计算行业的“私有云”很像，但完全不是一回事，目前苹果官方还没有专门的中文叫法。

▲私密云计算服务图示（图源：Apple官网）

《连线》杂志今日对苹果推出的私密云计算技术进行了详细解读。从它背后使用的专用服务器和操作系统，以及处理数据信息的流程、专门设计的数据传输机制、如何防范第三方访问等方面进行了深入解读。

苹果公司高层也表示，该技术对于云服务保护来说是一个很大的突破，为行业提供了一个云端数据处理机制的全新标准，下面是详细解读:

一、私密云计算究竟是什么？如何帮你保障隐私安全？

当用户的本地设备无法直接处理某些事务时，数据会传送至云端进行处理，其中私密云计算技术不仅可以帮助完成这些计算任务，而且整个过程中还会严格保护用户隐私数据，规避数据泄露和滥用的风险。

苹果通过他们的私密云计算技术，开发了很多保护云安全的新方法，这对云服务来说是一个很大的突破。

苹果为私密云计算创建了专用服务器，并开发了定制化的操作系统，传承了过去20年间为Mac与iPhone开发的软硬件安全保障功能。苹果称，已经完全用私密云计算设计的服务器管理工具替换了其常规的服务器管理工具。

“从一开始，我们就设定了一个目标，那就是将iPhone上处理数据时建立的隐私保障体系，扩展到云端，这也是我们的使命宣言。”Apple 软件工程高级副总裁克雷格·费德里吉（Craig Federighi）向《连线》杂志这样说。

他还称：“这需要我们在各个层面都取得突破，但我们已经实现了这个目标。这也为行业中的云端处理设定了一个新的标准。”

为了消除云计算可能引入的许多潜在攻击点和陷阱，苹果的开发人员们贯彻了这样一个理念：“当隐私安全完全可以通过技术手段强制保障时，才是最有力的。”

二、提供专用服务器与操作系统，数据信息“算后即焚”

与消费类设备不同，私密云计算服务器的配置很精简。例如，它们不包括“持久性存储”，这意味着它们没有可以长期保存数据的硬盘驱动器。但它们确实集成了苹果专用的硬件加密密钥管理器，并在每次启动时都会为每个文件系统设定随机的加密密钥。

这意味着一旦私密云计算服务器重新启动，就不会保留任何数据。作为额外的预防措施，整个系统卷都将无法通过加密方式恢复。在这一点上，服务器所能做的就是使用新的加密密钥重新开始工作。

私密云计算服务器还可以使用苹果的Secure Boot来验证操作系统的完整性，并可使用iOS 17首次推出的代码验证功能，即可信执行监视器（Trusted Execution Monitor）。然而，与通常用于监督的可信执行监视器不同，私密云计算服务器会以更加严格的模式运行。

一旦服务器重启并完成启动序列，系统就会被锁定，无法加载任何新代码。服务器运行所需的所有软件都会进行检查和验证，然后在用户请求和数据开始处理之前，这些软件会被封装到一个密封的环境中。

苹果称，已采用私密云计算设计的服务器管理工具替换了其常规的服务器管理工具。

尽管大多数云平台都有防止未经授权访问的策略和控制措施。但它们还构建了“紧急情况下可中断”的选项，以便在出现错误或故障时，高度可信的系统管理员帐户可以快速采取行动。与苹果注重技术上可执行的保证一致，私密云计算不允许特权访问，并大幅限制了远程管理选项。

三、专为云端AI设计传输机制，集群内处理数据以防“第三方”访问

苹果近年推出了一项重要的安全措施，向用户提供iCloud备份的端到端加密，即公司只在其云基础设施中保存用户数据，但没有技术能力解密或读取这些数据。

然而，现有技术使得这种方案无法应用于生成式AI，因为系统需要处理输入以生成输出。例如，如果你想让Apple Intelligence给你总结过去三小时内收到的所有短信和电子邮件，系统就需要访问这些信息，而端到端加密将使这种访问变得几乎不可能。

费德里吉对于云端大模型推理的缺陷进行了分析，他称：“在云端进行大语言模型推理的独特问题在于，服务器在某种程度上需要能够读取数据才能执行推理。而我们还需要确保这种处理完全封闭在与用户手机相关联的隐私保护气泡（privacy bubble）内。”

他补充：“因此，我们不得不提出一种新的解决方案来实现类似于端到端加密的安全性。在这个场景中，服务器对数据一无所知的技术方案并不可行。”

据苹果介绍，他们会努力让Apple Intelligence的处理尽可能多地在设备上进行。比如，配备A18芯片的全新iPhone 16将比搭载A16芯片的iPhone 15能够在本地执行更多的AI处理。

然而，现实情况是，苹果仍然需要在云端进行大量的Apple Intelligence处理——因此，它开发了私密云计算。

对于私密云计算端到端的传输机制，苹果也给出了详细介绍：用户设备与验证后的私密云计算节点之间的通信是端到端加密的，以确保在传输过程中请求不会被这些高度保护的私密云计算节点外的任何东西访问。

系统架构可以确保Apple Intelligence数据对数据中心的标准服务（如负载均衡器和日志设备）而言是加密不可用的。在私密云计算集群内部，数据会被解密并处理。

苹果补充道，一旦响应被加密并发送给用户，数据不会被保留或记录，苹果及其员工也无法访问这些数据。

四、服务器构建必须经过记录与验证，外部人员可对运转过程进行

据苹果介绍，私密云计算设计的总体目标是：攻击者必须破坏整个系统，才能针对特定用户的个人数据发起攻击。而破坏整个系统本身就是一件非常困难的事情，更不用说在不被发现的情况下。

即便攻击者能够物理破坏某个活跃的私密云计算节点，系统设计中有匿名中继功能，使任何一个节点上的查询和数据都无法与具体用户关联。

苹果意识到，尽管这些措施听起来很不错，但作为一向保持神秘的公司，光靠宣称和承诺无法完全令人信服，最终还是需要证据和透明性。

因此，私密云计算设计了一个外部审计机制。苹果公开了每个生产环境中的私密云计算服务器构建，供外部人员检查，以验证私密云计算是否按照苹果所宣称的那样运作、一切是否正常运转。所有私密云计算服务器镜像都记录在一个加密认证日志中，这是一个不可篡改的签名声明记录。每个条目都包括一个URL链接，用户可以通过链接下载该服务器构建。

除了外部审计机制之外，私密云计算还设计了安全和验证机制。该机制能确保所有服务器构建都是经过记录和验证的，防止未经授权的服务器投入使用。该机制还能防止恶意行为者设置非法的私密云计算节点并转移流量。如果服务器构建未被记录，iPhone将不会发送Apple Intelligence查询请求或数据到该服务器。

“开发从未在数据中心使用过的Apple Silicon服务器，并为其定制操作系统，这是一项巨大的挑战。”费德里吉谈道，“此外，我们建立了一个创新的信任模型，该模型确保设备仅在服务器运行的软件签名被记录并发布到一个透明日志之后，才会向服务器发送请求。这一机制是解决方案中最为独特的方面之一，对于构建信任模型至关重要。”

私密云计算还是苹果漏洞奖励计划的一部分，研究人员发现的漏洞或错误配置有可能获得现金奖励。不过，据苹果透露，自从7月下旬iOS 18.1测试版上线以来，还没有人发现私密云计算的任何漏洞。苹果也承认，目前只有少数研究人员能够使用评估私密云计算的工具。

多名安全研究人员和密码学家告诉《连线》杂志，私密云计算看起来很有前景，但他们还没有花太多时间深入研究它。

结语：向中国提供私密云计算仍悬而未决

苹果除了在美国的英语版上线外，Apple Intelligence将在12月进入澳大利亚、加拿大、新西兰、南非和英国；明年将增加包括中文、法语、日语和西班牙语在内的语言支持。

然而，Apple Intelligence是否会在欧盟的AI法案框架下获得批准，以及苹果是否能够在中国以当前形式提供私密云计算，仍然是悬而未决的问题。

费德里吉谈道：“我们的目标是尽可能地为客户提供最好的功能。”他还说：“但我们确实必须遵守法规。在某些环境中存在不确定性，我们正在努力解决这些问题，以便尽快为我们的客户提供这些功能。”

来源：《连线》杂志