Private Cloud Compute è sicuro? Apple sfida i ricercatori

Durante la WWDC 2024, Apple ha annunciato Private Cloud Compute (PCC), una nuova architettura sviluppata per gestire le richieste legate all’utilizzo di modelli generativi e applicazioni basate sull’intelligenza artificiale (IA) in modo sicuro e rispettoso della privacy degli utenti. Progettata per potenziare Apple Intelligence, il sistema di intelligenza personale integrato in iPhone, iPad e Mac che sfrutta modelli generativi avanzati per offrire esperienze personalizzate e contestuali, PCC unisce l’elaborazione locale sui dispositivi con la potenza computazionale dei server Apple.

Quando un utente che utilizza un’app di IA formula una richiesta che supera le capacità del dispositivo, i dati sono inviati ai server Apple. I responsabili della Mela, tuttavia, tengono a precisare che solo i dati strettamente necessari per elaborare e soddisfare la richiesta lasciano il dispositivo e garantiscono che Apple non può in ogni caso accedere o archiviare informazioni personali.

Apple sfida gli esperti di sicurezza: il campo di gioco è proprio Private Cloud Compute

Per la prima volta in assoluto nella storia di Apple, l’azienda ha sviluppato un Virtual Research Environment (VRE) per mettere tecnici e ricercatori indipendenti nelle migliori condizioni per esaminare da vicino Private Cloud Compute e scoprirne tutti i segreti (o quasi). La sfida è chiara: Apple Intelligence è e sarà sempre più protagonista della strategia della Mela quindi è bene sgombrare subito il campo da qualsiasi equivoco e permettere a chiunque di verificare come PCC protegga la privacy degli utenti.

Con PCC, il modello di sicurezza dei dispositivi Apple è portato sul cloud: per questo è essenziale verificare che l’intera catena di eventi che si susseguono quando un utente attiva una funzionalità di IA sia del tutto sicura.

VRE esegue il software del nodo PCC in una macchina virtuale con modifiche minime, replicando fedelmente l’ambiente utilizzato da Apple sul cloud. Include un Secure Enclave Processor (SEP) virtuale, aprendo nuove strade per la ricerca sulla sicurezza di questo componente. Inoltre, VRE sfrutta il supporto macOS integrato per la grafica paravirtualizzata per consentire l’inferenza.

Codice sorgente del Private Cloud Compute e bug bounty per la scoperta di vulnerabilità di sicurezza

Con il preciso obiettivo di incoraggiare la ricerca, Apple ha rilasciato il codice sorgente di alcuni componenti chiave usati dal PCC.

Inoltre, ha contestualmente esteso il suo programma bug bounty, includendo la possibilità di segnalare vulnerabilità specifiche relative a PCC con ricompense che arrivano fino a 1 milione di dollari. Gli sviluppatori e ricercatori interessati possono inoltrare le proprie scoperte attraverso il portale Apple Security Research.

I vantaggi di Private Cloud Compute

Apple sottolinea come PCC offra diversi vantaggi significativi: non archivia dati personali dopo l’elaborazione delle richieste (funzionamento stateless), non dipende da tecnologie esterne, anche in caso di incidenti non possono verificarsi accessi non autorizzati ai dati.

La disponibilità del VRE e la possibilità, da parte di soggetti indipendenti, di ispezionare in modo approfondito il funzionamento della piattaforma rappresentano per Apple una vera e propria sfida. Sebbene non tutti i componenti di PCC siano stati aperti, la società di Cupertino ha compiuto un passo in avanti importante, nell’ottica della massima trasparenza. Con il fine ultimo di guadagnare la fiducia dell’utenza.

Credit immagine in apertura: Apple