Apple Private Cloud Compute: ranh giới mới cho quyền riêng tư của AI trên đám mây
(security.apple.com)- Apple đã giới thiệu Private Cloud Compute (PCC) để giao các yêu cầu mà Apple Intelligence khó xử lý trên thiết bị cho các mô hình nền tảng lớn, đồng thời nhấn mạnh thiết kế giảm thiểu tối đa việc truy cập dữ liệu cá nhân ngay cả trên đám mây
- PCC kết hợp máy chủ Apple silicon tùy biến, Secure Enclave, Secure Boot, Code Signing và sandboxing để đưa mô hình bảo mật cấp thiết bị vào trung tâm dữ liệu
- Yêu cầu của người dùng được mã hóa trực tiếp bằng khóa công khai của nút PCC đã được xác minh, còn load balancer hay privacy gateway không có khóa để giải mã yêu cầu
- Để thuận tiện vận hành, hệ thống loại bỏ các cơ chế thường dùng như remote shell, gỡ lỗi tương tác và logging đa dụng, chỉ cho phép log đã được kiểm toán và các chỉ số giới hạn rời khỏi nút
- Apple có kế hoạch xây dựng AI đám mây có thể được xác minh từ bên ngoài thông qua image phần mềm production, transparency log, môi trường nghiên cứu và Apple Security Bounty
Vấn đề quyền riêng tư khi Apple Intelligence chuyển lên đám mây
- Apple Intelligence là hệ thống cung cấp các tính năng trí tuệ cá nhân dựa trên mô hình sinh cho iPhone, iPad và Mac
- Các tính năng nâng cao cần suy luận trên dữ liệu phức tạp hơn đòi hỏi mô hình nền tảng lớn hơn, và vì vậy Apple đã tạo ra Private Cloud Compute (PCC)
- PCC là hệ thống trí tuệ đám mây được thiết kế cho xử lý AI cá nhân, với mục tiêu không để dữ liệu cá nhân của người dùng bị lộ cho bất kỳ ai, kể cả Apple
- Xử lý trên thiết bị có lợi cho bảo mật và quyền riêng tư của dữ liệu người dùng
- Dữ liệu chỉ tồn tại trên thiết bị người dùng không bị đặt vào một điểm tấn công tập trung
- Với dữ liệu đám mây nhạy cảm nhất, mã hóa đầu cuối là biện pháp phòng thủ mạnh mẽ
- Với các dịch vụ đám mây mà mã hóa đầu cuối không phù hợp, có thể dùng xử lý tạm thời hoặc các mã định danh ngẫu nhiên không liên quan để làm mờ danh tính người dùng
Giới hạn của mô hình bảo mật AI đám mây hiện tại
- AI đám mây có thể tận dụng phần cứng trung tâm dữ liệu mạnh mẽ và các mô hình machine learning lớn, nhưng cần quyền truy cập không mã hóa vào yêu cầu và dữ liệu cá nhân liên quan
- Vì vậy không thể chỉ xử lý bằng mã hóa đầu cuối hoàn toàn, và các dịch vụ AI đám mây hiện nay đã dựa vào các phương thức bảo mật đám mây truyền thống
- Cách tiếp cận truyền thống có ba điểm yếu
- Khó xác minh các đảm bảo về bảo mật và quyền riêng tư
- Dù dịch vụ nói rằng không ghi lại dữ liệu của người dùng cụ thể, các nhà nghiên cứu vẫn khó kiểm chứng điều đó
- Phiên bản mới có thể vô tình để lại dữ liệu nhạy cảm trong log, hoặc load balancer kết thúc TLS có thể ghi lại hàng loạt yêu cầu người dùng trong lúc xử lý sự cố
- Khó cung cấp tính minh bạch lúc chạy
- Các dịch vụ AI đám mây thường không công khai stack phần mềm đang thực thi thực tế
- Ngay cả khi chỉ dùng phần mềm mã nguồn mở, vẫn không có phương thức phổ biến rộng rãi để thiết bị người dùng hay trình duyệt xác minh rằng phần mềm của dịch vụ không bị chỉnh sửa
- Khó áp dụng giới hạn truy cập đặc quyền mạnh
- SRE và quản trị viên có thể dùng quyền truy cập cao như SSH trong tình huống sự cố hoặc tai nạn nghiêm trọng
- Quản trị viên có thể sao chép dữ liệu người dùng nhạy cảm khi sao lưu dữ liệu máy chủ đang chạy, hoặc tội phạm có thể đánh cắp thông tin xác thực của quản trị viên để lấy dữ liệu người dùng
- Khó xác minh các đảm bảo về bảo mật và quyền riêng tư
Năm yêu cầu thiết kế của PCC
-
Tính toán phi trạng thái với dữ liệu cá nhân người dùng
- PCC chỉ được sử dụng dữ liệu cá nhân nhận được cho mục đích xử lý yêu cầu của người dùng
- Dữ liệu không được cung cấp cho bất kỳ ai ngoài người dùng, kể cả nhân viên Apple
- Sau khi trả về phản hồi, dữ liệu không được giữ lại dưới bất kỳ hình thức nào, kể cả cho log hay gỡ lỗi
-
Đảm bảo có thể cưỡng chế bằng kỹ thuật
- Các đảm bảo về bảo mật và quyền riêng tư mạnh nhất khi có thể giới hạn và phân tích những thành phần quan trọng của toàn hệ thống
- Các đảm bảo cốt lõi của PCC không được phụ thuộc vào thành phần bên ngoài như load balancer kết thúc TLS
- Các nhu cầu vận hành như thu thập chỉ số máy chủ và log lỗi cũng phải được hỗ trợ theo cách không làm suy yếu bảo vệ quyền riêng tư
-
Không có truy cập đặc quyền lúc chạy
- PCC không được có giao diện đặc quyền nào cho phép Apple SRE vượt qua các đảm bảo quyền riêng tư, kể cả khi đang xử lý sự cố
- Hệ thống cũng không được hỗ trợ cách mở rộng phạm vi truy cập đặc quyền bằng cách nạp thêm phần mềm lúc chạy
-
Không thể nhắm mục tiêu
- Nếu kẻ tấn công muốn nhắm vào dữ liệu cá nhân của một người dùng PCC cụ thể, chúng phải cố gắng xâm phạm trên diện rộng toàn bộ hệ thống PCC
- Ngay cả kẻ tấn công có tấn công vật lý vào nút PCC trong chuỗi cung ứng hoặc giành được quyền tiếp cận trung tâm dữ liệu cũng không được có khả năng điều hướng yêu cầu của một người dùng cụ thể đến nút đã bị xâm phạm
-
Tính minh bạch có thể xác minh
- Các nhà nghiên cứu bảo mật phải có khả năng xác minh với độ tin cậy cao rằng các đảm bảo về bảo mật và quyền riêng tư của PCC phù hợp với các cam kết công khai của Apple
- Cũng phải có thể xác nhận rằng phần mềm nhà nghiên cứu đã kiểm tra là phần mềm đang chạy trong môi trường production của PCC
Nút PCC và nền tảng bảo mật
- Gốc tin cậy của PCC là nút tính toán PCC, phần cứng máy chủ được chế tạo riêng
- Nút PCC đưa các công nghệ bảo mật phần cứng dùng trên iPhone vào trung tâm dữ liệu
- Hệ điều hành là một tập con được gia cố, dựa trên iOS và macOS, tối ưu cho workload suy luận LLM
- Được thiết kế để giữ bề mặt tấn công ở mức hẹp
- Tận dụng các công nghệ bảo mật của iOS như Code Signing và sandboxing
- Apple loại bỏ khỏi nút PCC các thành phần vốn thường quan trọng trong quản trị trung tâm dữ liệu
- remote shell
- khả năng quan sát nội bộ hệ thống và công cụ quan trắc đa dụng
- Thay vào đó, hãng dùng các thành phần chuyên biệt chỉ cung cấp cho nhân viên SRE một lượng nhỏ chỉ số vận hành bị giới hạn và mang tính xác định
- Apple đã xây dựng một stack machine learning mới bằng Swift on Server để lưu trữ mô hình nền tảng trên đám mây
Xử lý yêu cầu người dùng và ngăn lưu giữ dữ liệu
- PCC phải dùng dữ liệu trong yêu cầu người dùng cho suy luận mô hình, nên không thể được thiết kế chỉ bằng mã hóa đầu cuối hoàn toàn
- Thay vào đó, PCC buộc quyền riêng tư của dữ liệu người dùng bằng kỹ thuật trong lúc nút tính toán xử lý, và khiến dữ liệu không thể bị lưu giữ sau khi chu kỳ công việc kết thúc
- Có ba đảm bảo trong cách PCC xử lý dữ liệu người dùng
- Thiết bị người dùng gửi dữ liệu đến PCC chỉ cho mục đích duy nhất là xử lý yêu cầu suy luận
- Dữ liệu người dùng chỉ tồn tại trên nút PCC đang xử lý yêu cầu cho đến trước khi phản hồi được trả về
- Dữ liệu người dùng không được cung cấp cả cho nhân viên Apple có quyền truy cập quản trị với dịch vụ production hay phần cứng
- Khi Apple Intelligence dùng PCC, thiết bị sẽ tạo yêu cầu với prompt, mô hình mong muốn và các tham số suy luận
- Client PCC trên thiết bị trước tiên sẽ mã hóa trực tiếp yêu cầu bằng khóa công khai của nút PCC đã được xác minh và xác thực bằng mật mã
- Mã hóa đầu cuối được cung cấp từ thiết bị người dùng đến nút PCC đã được xác minh
- Các dịch vụ phụ trợ trung tâm dữ liệu như load balancer và privacy gateway nằm ngoài ranh giới tin cậy và không có khóa để giải mã yêu cầu
- Nút PCC chỉ có thể chạy mã đã được phê duyệt và đo lường bằng mật mã thông qua Secure Boot và Code Signing
- Mọi mã thực thi đều phải được Apple ký và có trong trust cache được phê duyệt cho nút PCC cụ thể
- trust cache do Secure Enclave nạp và không thể thay đổi hay bổ sung lúc chạy
- Không thể tạo ánh xạ JIT, nhờ đó ngăn biên dịch hoặc chèn mã lúc chạy
- Mã và tài sản mô hình dùng cơ chế bảo vệ toàn vẹn tương tự như cơ chế được dùng cho Signed System Volume
- Secure Enclave cưỡng chế việc khóa giải mã yêu cầu không thể bị sao chép hoặc trích xuất
- Để ngăn lưu giữ dữ liệu, Secure Enclave sẽ ngẫu nhiên hóa khóa mã hóa của volume dữ liệu sau mỗi lần khởi động lại và không lưu khóa này lâu dài
- Mỗi lần Secure Enclave Processor của nút PCC khởi động lại, volume dữ liệu sẽ bị xóa bằng mật mã
- Tiến trình suy luận sẽ xóa dữ liệu liên quan khi yêu cầu hoàn tất
- Không gian địa chỉ từng xử lý dữ liệu người dùng được tái sử dụng định kỳ để giảm tác động của dữ liệu vô tình còn sót lại trong bộ nhớ
- Pointer Authentication Codes và sandboxing làm cho các khai thác nhằm vượt qua đảm bảo trở nên khó hơn, đồng thời hạn chế di chuyển ngang bên trong nút PCC
- Lớp điều khiển và điều phối suy luận được viết bằng Swift để bảo đảm an toàn bộ nhớ, đồng thời tách phần xử lý ban đầu của yêu cầu sang không gian địa chỉ riêng
Loại bỏ truy cập đặc quyền lúc chạy
- Nút PCC không bao gồm remote shell hay cơ chế gỡ lỗi tương tác
- Code Signing ngăn việc nạp thêm mã, nhưng Apple xem chính kiểu truy cập mở này là một bề mặt tấn công rộng có thể vượt qua bảo mật và quyền riêng tư của hệ thống
- Nút PCC không thể kích hoạt Developer Mode và cũng không bao gồm các công cụ cần thiết cho quy trình gỡ lỗi
- Công cụ quản trị và quan trắc có các biện pháp bảo vệ quyền riêng tư để ngăn lộ dữ liệu người dùng
- Không có cơ chế logging đa dụng
- Chỉ các log và chỉ số có cấu trúc, được xác định trước và đã được kiểm toán mới có thể rời khỏi nút
- Nhiều lớp rà soát độc lập được dùng để ngăn việc vô tình lộ dữ liệu người dùng thông qua các cơ chế đó
- Thiết kế này cung cấp đảm bảo có thể cưỡng chế rằng chỉ mã được chỉ định mới có thể truy cập dữ liệu người dùng, và dữ liệu người dùng không bị rò rỉ ra ngoài nút PCC trong quá trình quản trị hệ thống
Không thể nhắm mục tiêu và ứng phó tấn công phần cứng
- Mô hình đe dọa của PCC bao gồm cả những kẻ tấn công tinh vi có thể tiếp cận vật lý nút tính toán và vượt qua một phần thuộc tính bảo mật phần cứng của hệ thống để trích xuất dữ liệu đang được xử lý
- Apple phòng thủ theo hai cách
- Áp dụng chuỗi cung ứng được tăng cường cho phần cứng PCC để khiến các cuộc tấn công phần cứng quy mô lớn trở nên rất tốn kém và dễ bị phát hiện
- Ngăn các cuộc tấn công quy mô nhỏ bị dùng để nhắm mục tiêu vào dữ liệu của người dùng cụ thể
- Bảo mật phần cứng PCC bắt đầu từ giai đoạn sản xuất
- Các thành phần của nút PCC được kiểm kê và chụp ảnh độ phân giải cao trước khi máy chủ được niêm phong và công tắc chống can thiệp được kích hoạt
- Sau khi đến trung tâm dữ liệu, hệ thống sẽ được tái xác minh rộng rãi trước khi PCC provisioning
- Nhiều nhóm Apple đối chiếu chéo dữ liệu từ các nguồn độc lập, và các quan sát viên bên thứ ba không liên quan tới Apple giám sát thêm quy trình
- Mỗi nút PCC được cấp chứng chỉ khóa bắt nguồn từ Secure Enclave UID
- Thiết bị người dùng sẽ không gửi dữ liệu đến nút PCC mà không thể xác minh chứng chỉ
- Để ngăn các cuộc tấn công nhỏ hơn nhưng tinh vi hơn, PCC dùng cách tiếp cận target diffusion
- Metadata của yêu cầu không chứa thông tin nhận dạng cá nhân về thiết bị nguồn hay người dùng
- Chỉ gồm lượng dữ liệu ngữ cảnh yêu cầu giới hạn cần thiết để định tuyến đến mô hình phù hợp
- Chỉ metadata này được cung cấp cho load balancer và các thành phần trung tâm dữ liệu nằm ngoài ranh giới tin cậy của PCC
- Metadata bao gồm thông tin xác thực dùng một lần dựa trên RSA Blind Signatures, cho phép phê duyệt yêu cầu hợp lệ mà không gắn yêu cầu với người dùng cụ thể
- Yêu cầu PCC đi qua OHTTP relay do bên thứ ba vận hành
- Che giấu địa chỉ IP nguồn của thiết bị trước khi yêu cầu đến hạ tầng PCC
- Ngăn kẻ tấn công nhận diện yêu cầu bằng địa chỉ IP hoặc liên kết nó với một cá nhân
- Muốn điều hướng lưu lượng dựa trên IP nguồn thì phải xâm phạm cả relay bên thứ ba lẫn load balancer của Apple
- Thiết bị người dùng chỉ mã hóa yêu cầu cho một tập con các nút PCC thay vì toàn bộ dịch vụ PCC
- Load balancer trả về tập con các nút có khả năng cao đã sẵn sàng xử lý yêu cầu
- Load balancer không có thông tin nhận dạng người dùng hay thiết bị nên không thể thiên vị tập hợp cho một người dùng cụ thể
- Dù một nút đơn lẻ bị xâm phạm, nó cũng chỉ có thể giải mã một phần nhỏ trong các yêu cầu đi vào
- Tập nút PCC do load balancer chọn có thể được kiểm toán bằng thống kê
Tính minh bạch có thể xác minh và quyền truy cập cho nhà nghiên cứu
- Apple cho rằng để xây dựng niềm tin công khai vào PCC, các nhà nghiên cứu bảo mật phải có thể xác minh các đảm bảo bảo mật và quyền riêng tư đầu-cuối
- Khi ra mắt PCC, Apple dự kiến công khai image phần mềm của mọi bản build production cho mục đích nghiên cứu bảo mật
- Thiết bị người dùng được thiết kế để chỉ gửi dữ liệu đến các nút PCC có thể chứng minh bằng mật mã rằng chúng đang chạy phần mềm được công bố công khai
- Kế hoạch minh bạch có thể xác minh của Apple bao gồm
- Công bố các giá trị đo của mọi đoạn mã chạy trên PCC vào transparency log chống giả mạo bằng mật mã theo cơ chế append-only
- Công khai log và các image phần mềm nhị phân liên quan để chuyên gia quyền riêng tư và bảo mật có thể kiểm tra và xác minh
- Công bố và duy trì bộ công cụ chính thức để phân tích phần mềm nút PCC
- Thưởng cho các phát hiện nghiên cứu quan trọng thông qua Apple Security Bounty
- Mọi image phần mềm PCC production sẽ được công khai để phục vụ kiểm tra nhị phân độc lập
- Bao gồm OS, ứng dụng và các file thực thi liên quan
- Nhà nghiên cứu có thể đối chiếu chúng với các giá trị đo trong transparency log để xác minh
- Phần mềm sẽ được công khai trong vòng 90 ngày sau khi được đưa vào log hoặc sau khi bản cập nhật phần mềm liên quan được cung cấp, tùy mốc nào đến sớm hơn
- Khi một bản phát hành đã được ký và đưa vào log thì không thể xóa nó mà không bị phát hiện
- Thiết bị người dùng chỉ bọc khóa payload của yêu cầu bằng khóa công khai của nút PCC khi giá trị đo được chứng thực của nút đó khớp với bản phát hành phần mềm trong transparency log công khai
- Code Signing ngăn việc nạp phần mềm không được phê duyệt và bảo đảm mọi mã trên nút PCC đều được đưa vào chứng thực
Môi trường nghiên cứu PCC và phần thưởng
- Apple dự kiến thêm ba biện pháp để giúp nhà nghiên cứu nhanh chóng xác minh cam kết quyền riêng tư của PCC và tìm ra vấn đề
- Công khai PCC Virtual Research Environment
- Bộ công cụ và image mô phỏng nút PCC trên Mac dùng Apple silicon
- Có thể khởi động phiên bản phần mềm PCC đã được chỉnh sửa tối thiểu để chạy thành công trong môi trường ảo hóa
- Ngoài image nhị phân của mọi bản build PCC production, định kỳ công khai một phần mã nguồn PCC quan trọng về mặt bảo mật
- Lần đầu tiên trên một nền tảng Apple, đưa firmware sepOS và bootloader iBoot vào image PCC dưới dạng rõ
- Công khai PCC Virtual Research Environment
- Apple Security Bounty sẽ thưởng cho các phát hiện nghiên cứu trên toàn bộ stack phần mềm PCC
- Những vấn đề làm suy yếu cam kết quyền riêng tư của PCC sẽ được trao phần thưởng đặc biệt lớn
Những nội dung sẽ được công bố tiếp theo
- PCC được thiết kế để đáp ứng các yêu cầu về tính toán phi trạng thái, đảm bảo có thể cưỡng chế, không có truy cập đặc quyền, không thể nhắm mục tiêu và tính minh bạch có thể xác minh
- Sau khi PCC được cung cấp dưới dạng beta, sẽ có thêm các giải thích kỹ thuật sâu hơn
- Trong tương lai, Apple dự kiến chia sẻ thêm chi tiết kỹ thuật về cách triển khai và vận hành của từng yêu cầu cốt lõi
- Apple cũng sẽ sớm lần đầu công khai phần mềm PCC và PCC Virtual Research Environment cho các nhà nghiên cứu bảo mật
1 bình luận
Ý kiến trên Hacker News
Với bất cứ thứ gì kết nối với đám mây hoặc Internet, rốt cuộc ta đều phải tin ai đó, trừ khi nó là mã nguồn mở và máy chủ là phi tập trung
Apple có thể cố hết sức để không ai ngoài họ truy cập được dữ liệu, nhưng Apple kiểm soát mọi endpoint, các bản cập nhật iPhone và máy chủ
Điều này gợi nhớ đến bài viết “mã hóa dựa trên web luôn là trò lừa”: https://www.devever.net/~hl/webcrypto
Ngay cả dữ liệu lưu cục bộ, Apple cũng có quyền lực để truy cập nếu muốn, và có thể sẽ làm vậy nếu có lệnh của chính phủ. Vì thế tôi cho rằng “riêng tư” ở đây gần với nghĩa chỉ Apple có thể biết, chứ không phải là nhiều bên hơn
Ở điểm các lựa chọn thay thế có thể làm dữ liệu rò rỉ đến nhiều nơi hơn thì cách này tốt hơn, nhưng nó còn xa mới là kiểu mã hóa không thể phá vỡ như được quảng bá
Google rõ ràng theo dõi người dùng để phục vụ quảng cáo, gợi ý, AI, v.v.; họ cũng không che giấu điều đó, và đây là cốt lõi mô hình kinh doanh của họ
Ngược lại, trong hệ thống AI này Apple đã khá nghiêm túc nỗ lực để nhân viên không thể truy cập dữ liệu người dùng, hạn chế mạnh việc ghi log và khả năng quan sát, thậm chí tự thiết kế cả chip và hệ điều hành
Việc client không giao tiếp với các hệ thống chưa được kiểm toán cũng là một khác biệt lớn
Không thể tin nguyên lời Apple, nhưng tôi cho rằng kiểm toán bên thứ ba là chìa khóa để tin tưởng và xác minh quyền riêng tư của hệ thống này
Câu “Apple biết bạn đang làm gì” ngụ ý rằng ai đó bên trong Apple có thể truy cập dữ liệu đi từ thiết bị lên đám mây riêng tư, nhưng có vẻ điều đó không đúng
Việc quyền riêng tư là một trụ cột lớn trong mô hình kinh doanh của Apple cũng là một yếu tố tạo niềm tin. Apple đã thành công về tài chính bằng cách làm ra các sản phẩm kiếm tiền theo cách khác, và chuyển sang bán dữ liệu vừa không cần thiết vừa không phải là ý tưởng kinh doanh hay
Hoài nghi cho đến khi có xác minh của bên thứ ba là hợp lý, nhưng nói rằng cách tiếp cận của Apple không tốt hơn OpenAI hay Google về dữ liệu và quyền riêng tư thì không công bằng
Nếu mọi người không thể tự vận hành máy chủ của mình, thì không thể biết code trong repo công khai có giống code đang chạy trên máy chủ đám mây thật hay không, nên chỉ mã nguồn mở thôi là chưa đủ
Tất nhiên vẫn cần công việc xác minh, nhưng dù vậy đây vẫn là một bước tiến lớn
Theo tôi, các lựa chọn thay thế thì phân tán và thiếu trọng tâm, nên tôi sẽ tin Apple
Có một bình luận hay của nhà mật mã học Matt Green ở đây: https://x.com/matthew_d_green/status/1800291897245835616?t=C...
Không biết Matt có biết là không có tài khoản X thì không đọc được tweet của ông ấy không. Giá mà ông ấy dùng BlueSky hoặc Mastodon
Bản gộp thread: https://threadreaderapp.com/thread/1800291897245835616.html?...
“Trong bài blog có lẽ còn khoảng 6 chi tiết kỹ thuật nữa. Đây là một thiết kế rất cẩn trọng. Nếu trả rất nhiều tiền cho một đội ngũ giỏi và yêu cầu họ tạo ra đám mây ‘riêng tư’ tốt nhất thế giới, có lẽ nó sẽ trông như thế này”
“Dĩ nhiên cần nhớ rằng siêu điệp viên không phải là kẻ thù lớn nhất. Với nhiều người, kẻ thù lớn nhất là công ty đã bán thiết bị và phần mềm cho họ. Hệ thống PCC này thể hiện một cam kết thực sự rằng Apple sẽ ‘không nhìn vào’ dữ liệu người dùng. Điều đó có ý nghĩa lớn”
Tôi vẫn thích dữ liệu ở lại trong thiết bị hơn, nhưng ít nhất đây là một cam kết lớn theo đúng hướng; hoặc có thể là sai hướng, nhưng được làm tốt hơn nhiều so với đối thủ
Tôi đoán sẽ có tùy chọn tắt toàn bộ tính năng AI, tức cả on-device lẫn off-device
Có lý do gì để nhà sản xuất thiết bị không cung cấp tùy chọn chỉ dùng AI on-device không? Các tính năng AI của iOS 17 hiện vẫn có thể dùng mà không cần iCloud
Sẽ tốt nếu Apple dùng một domain riêng như
*.pcc.apple.comđể có thể lọc ở cấp mạngDù đọc hết thì cuối cùng vẫn quy về “hãy tin chúng tôi”. Apple có thể ký và phê duyệt một bản cập nhật chứa backdoor bất cứ lúc nào, chính phủ có thể buộc Apple làm điều đó chỉ bằng một chữ ký, và mọi thứ có thể diễn ra trong im lặng
Tôi hiểu việc Apple đang làm có những điểm mạnh. Nhưng nếu họ bán niềm tin, thì phải trung thực 100%, và nếu không minh bạch rằng khả năng truy cập dữ liệu kiểu này vẫn tồn tại, toàn bộ thông điệp sẽ bị vấy bẩn
Nếu bạn không thể tin những người làm ra hệ điều hành, thì vấn đề còn sâu hơn nhiều so với việc lo lắng về xử lý AI ngoài thiết bị
Apple có thể khiến iPhone tải dữ liệu họ muốn lên máy chủ chỉ bằng một nút bấm. Theo logic đó thì không nên tin bất cứ thứ gì, kể cả AI chạy cục bộ. Có lẽ nói vậy là đúng, nhưng không thực tế
Phần cuối trong thread của Matthew Green tóm tắt rất hay: “Có lúc sự hoàn hảo cản trở điều rất tốt. Trên thực tế, phương án thay thế cho xử lý trên thiết bị là gửi dữ liệu nhạy cảm tới OpenAI hoặc những nơi còn đáng ngờ hơn. Với nhiều người, kẻ thù lớn nhất là công ty đã bán thiết bị và phần mềm cho họ. PCC là một cam kết thực sự rằng Apple sẽ ‘không nhìn vào’ dữ liệu, và đó là chuyện lớn. Giờ chúng ta đang tiến tới một thế giới nơi một phần của điện thoại sống trong trung tâm dữ liệu cách 2.000 dặm, nên những người làm bảo mật cũng phải quen với thực tế đó và làm cho mọi phần an toàn nhất có thể”
Cực kỳ thú vị. Private Cloud Compute của Apple về mặt khái niệm có vẻ giống với System Transparency, dự án mã nguồn mở mà tôi và các đồng nghiệp bắt đầu 6 năm trước
Tôi mong chờ thêm nhiều chi tiết kỹ thuật. Nếu ai ở Apple đọc được, có thể liên hệ với stromberg@mullvad.net. Chúng tôi có thể thảo luận thiết kế của chúng tôi và thiết kế của Apple, hoặc đưa ra phản hồi
Liên kết liên quan: https://mullvad.net/en/blog/system-transparency-future
http://system-transparency.org
http://sigsum.org
Điều Apple đang làm là confidential computing. Nếu tìm các trường hợp triển khai, bạn có thể hiểu thêm nhiều chi tiết kỹ thuật
Apple không phải thành viên của Confidential Computing Consortium, nhưng ARM thì có
Tôi cũng khá lạc quan về trusted computing, và có vẻ động lực đang tăng lên
Sẽ tốt hơn nếu nó cởi mở hơn, để có thể kiểm soát toàn bộ stack và cài root certificate hoặc khóa riêng của mình vào nền tảng phần cứng, nhưng dù vậy nó vẫn có thể mang lại nhiều lợi ích
Tôi kỳ vọng nếu Apple đẩy điều này vào dòng chính, mức độ áp dụng sẽ tăng thêm
Phần “Lần đầu tiên trên các nền tảng Apple, ảnh PCC chứa firmware sepOS và bootloader iBoot ở dạng văn bản rõ, giúp các nhà nghiên cứu dễ nghiên cứu những thành phần cốt lõi này hơn bao giờ hết” là rất hay
Tuy nhiên, phần “phần mềm sẽ được công bố trong vòng 90 ngày kể từ khi được đưa vào log, hoặc sau khi bản cập nhật phần mềm liên quan được cung cấp, tùy thời điểm nào đến trước” về lý thuyết vẫn để lại khoảng trống tối đa 90 ngày giữa việc phần mềm dễ tổn thương được công bố và khả năng nó bị phát hiện
Hy vọng việc cung cấp image thực tế sẽ gần như tức thì hơn nhiều so với mức tối đa
Ở Mỹ, quyền riêng tư hoàn toàn là bất khả thi. Vì chính phủ không chỉ có thể buộc Apple mở bên trong ra cho xem, mà còn có thể cấm họ nói về việc đó
Gần như không có cách nào để Apple lách qua “ràng buộc” này. Nếu có dịp, cứ cảm ơn “đại diện” của bạn đã bỏ phiếu ủng hộ gia hạn PATRIOT Act
Để thu thập dữ liệu từ các yêu cầu đi vào, có lẽ chính phủ sẽ cần một kiểu nghe lén thời gian thực theo yêu cầu, và đó có thể là một tình huống khác
Tất nhiên tôi chỉ là một người trên Internet, và chỉ đang thử nghĩ ra phản biện cho mối lo này, nên cũng không biết mình có đi đúng hướng không
Chính phủ có thể yêu cầu dữ liệu. Nhưng hệ thống của Apple sẽ khiến sự xâm nhập đó bị phơi bày trước công chúng, ngay cả khi chính Apple không được phép nói ra
Ngay cả bằng thư an ninh quốc gia cũng không thể yêu cầu dữ liệu không còn tồn tại
Có một câu hỏi lớn. Cái này dành cho ai?
Đừng hiểu lầm, đây là một nỗ lực tuyệt vời và là công trình kiểu nerd hạng A+. Nó đúng là thứ nói ngôn ngữ của tôi
Nhưng có lẽ tôi sẽ chỉ tìm cách tắt tính năng gọi về nhà. Vì ngay từ đầu tôi đã không muốn hành vi đó
Có phải thứ này nhằm khiến tôi nói với người khác rằng “Apple là lựa chọn an toàn nhất” không? Tôi không muốn khuyên dùng Linux. Vì tôi không muốn phải hỗ trợ kỹ thuật
Giờ tôi có cảm giác mình đã thành ông già hét lên “đừng đụng vào dữ liệu của tôi”
Các tiêu đề về nỗ lực AI của Microsoft nhìn chung gần như là ác mộng và có rất nhiều đưa tin tiêu cực
Nếu các bài viết về Apple AI tràn ngập nội dung rằng họ chăm chút bảo mật và quyền riêng tư đến mức quá đà, khả năng là mọi người sẽ yên tâm hơn đôi chút khi sử dụng
Tôi không dùng nhiều sản phẩm của OpenAI, nhưng nếu dùng, tôi thà đi qua lớp ẩn danh hóa của Apple hơn là đến trực tiếp OpenAI
Apple cũng phải cho thấy họ có thể trở thành một công ty lấy AI làm trung tâm. Chỉ là Apple có văn hóa tổ chức muốn duy trì quyền riêng tư
Tôi không bận tâm chuyện chính phủ truy cập dữ liệu. Nhưng tôi không muốn các tác nhân ác ý như kẻ lừa đảo, chính phủ nước ngoài, công ty công nghệ quảng cáo hay hãng bảo hiểm truy cập dữ liệu cá nhân của mình
Đồng thời tôi cũng muốn dùng năng lực của LLM. Đòi hỏi vậy có phi thực tế lắm không?
Trên thực tế, tôi cho rằng chính phủ Mỹ đã có toàn bộ dữ liệu của tôi rồi. Tôi không thích hiện trạng này, nhưng thực tế là thực tế
Thực ra LLM và hạ tầng đám mây ở quy mô iPhone đã sẵn sàng, và đây không đơn giản là công việc trong 2 năm
Apple đang nhấn mạnh quyền riêng tư đúng như người ta kỳ vọng ở họ
Gemini cũng có thể tuyên bố về quyền riêng tư, nhưng nếu đúng là vậy thì có lẽ mọi người lại nghĩ hiệu năng sẽ kém hơn
Tôi tò mò nó so với AWS Nitro Enclaves mà Apple nhắc rất ngắn gọn thì thế nào
Khác biệt chính có vẻ nằm ở chỗ có thể xác minh đến tận cấp firmware
Nitro Enclaves không cung cấp các phép đo firmware[0] hay hypervisor, và nói rằng mã hypervisor có thể được cập nhật minh bạch bất cứ lúc nào[1]
Apple dự định cung cấp sepOS, hệ điều hành của Secure Enclave Processor, và ảnh bootloader
Bài blog không thật rõ ràng, nhưng nghe như họ cũng sẽ cung cấp mã nguồn của các thành phần này
[0]: https://docs.aws.amazon.com/enclaves/latest/user/set-up-atte...
[1]: https://docs.aws.amazon.com/pdfs/whitepapers/latest/security...
Sẽ có cuộc gọi tự động được kích hoạt, và đội bảo mật nhiều khả năng cũng sẽ can thiệp
Trong EC2, hypervisor không phải là firmware, nên không có lý do gì để đo firmware của hypervisor
Firmware BIOS/UEFI của bo mạch chủ nếu bị sửa đổi sẽ bị ghi đè
Mã hypervisor, như mọi loại mã khác, luôn được ký và được Nitro card stream tới máy chủ thông qua một hệ thống bảo mật có thể xác minh, tận dụng measured boot hoặc secure boot
Tôi không biết chính xác thuật ngữ hướng tới khách hàng “Nitro enclaves” nghĩa là gì, nhưng các kỹ sư EC2 sẽ phản ứng như một đội quân qua các cuộc gọi chỉ cần họ đánh giá có rủi ro bảo mật dù nhỏ
Những điều cơ bản kiểu này đều đã được xử lý, thậm chí đến mức bảo đảm dữ liệu khách hàng thật sự không xuất hiện trong core dump, kể cả ở dạng đã mã hóa
Tôi thật sự muốn thấy hệ điều hành này, và lạc quan một cách thận trọng vì đây có thể là trường hợp đầu tiên một công ty công nghệ lớn thực sự cung cấp đảm bảo bảo mật có thể kiểm toán
Tùy diễn biến, Apple có thể phần nào thực sự giành được mức độ tin cậy mà người dùng vốn đã dành cho họ, và đó là điều khá tuyệt
Điều tuyệt vời hơn nữa sẽ là cung cấp khả năng kiểm toán toàn bộ chuỗi quản lý, và để làm được vậy có lẽ họ cũng cần công khai một số phần khác của stack
Đặc biệt, nếu đúng như lời hứa rằng hệ điều hành đám mây sẽ trở thành mã nguồn mở, thì điều đó sẽ có giá trị rất lớn
Mối lo ngại chính hiện nay là nếu trong triển khai thực tế có dùng ảo hóa, Secure Enclave trong phần hệ điều hành vẫn còn độc quyền chạy trên thiết bị người dùng sẽ chuyển giao khóa, và có thể tồn tại một backdoor để hypervisor mà chúng ta chưa kiểm toán truy cập vào container
Những người có chuyên môn bảo mật cao hơn sẽ đặt ra các câu hỏi tốt hơn
Nếu Apple phản hồi góp ý của các nhà nghiên cứu, nhiều phần hơn của chuỗi công cụ này có thể trở nên kiểm toán được
Ngay cả khi không thể xác minh độ an toàn của các trường hợp sử dụng được Apple phê duyệt, hệ điều hành đám mây này vẫn có thể là một bước tiến lớn cho lập luận bảo mật và đám mây an toàn, và mọi người cũng có thể tự host độc lập hoặc tạo các bản phái sinh
Trường hợp xấu nhất là Apple không thực sự làm như vậy, nhưng ít nhất có vẻ khá khả năng họ sẽ giữ lời hứa đó. Khi ấy, ngay cả trường hợp xấu nhất cũng sẽ là “đã xuất hiện một codebase mã nguồn mở rất hữu ích cho điện toán bảo mật quy mô lớn”, và đó là điều tốt bất kể các phần khác ra sao
[0] https://docs.aws.amazon.com/enclaves/latest/user/nitro-encla...
Asahi Linux có phần tổng quan rất tốt về bảo mật chuỗi khởi động on-device: https://github.com/AsahiLinux/docs/wiki/Apple-Platform-Secur...
Câu “Chúng tôi sẽ công bố PCC Virtual Research Environment. Đây là bộ công cụ và image cho phép mô phỏng node PCC trên Apple silicon Mac, đồng thời boot một phiên bản phần mềm PCC được chỉnh sửa tối thiểu để ảo hóa thành công” có vẻ ngụ ý rằng node PCC là bare metal
Liệu có thể mô phỏng node PCC trên iPad Pro dùng M4 Apple Silicon không?
Phần “Cuối cùng, chúng tôi đã dùng Swift on Server để xây dựng một stack machine learning mới cho việc host các foundation model dựa trên đám mây” khá thú vị
Việc Swift on Server xuất hiện ở đây rất đáng chú ý: https://www.swift.org/documentation/server/