當我們在設備上使用 AI 功能時,簡單的任務可以由手機本地處理,但複雜的推理或 Agentic AI(具備自主規劃能力的 AI 代理)則需要強大的雲端算力。Apple 為了在維持隱私承諾的同時獲取高效能,推出了 Private Cloud Compute (PCC) 私有雲端運算。而最新的重大變革在於,Apple 首次將 PCC 擴展到非自家數據中心的環境,選擇與 Google Cloud 合作。
對於工程師來說,這不僅僅是一次商業合作,而是一場關於機密運算 (Confidential Computing) 的極端實作。機密運算是指在數據被處理時,透過硬體層級的加密與隔離,確保即便伺服器管理員或雲端供應商也無法讀取記憶體中的明文數據。
多層硬體信任鏈的建構
Apple 在 Google Cloud 上部署 PCC 時,採取了三層硬體信任堆疊,以消除對單一供應商的依賴。首先是 CPU 層級使用 Intel TDX (Trust Domain Extensions),這是一種硬體虛擬化技術,能將虛擬機隔離在受信任的執行環境 (TEE) 中。其次是 GPU 層級採用 NVIDIA Blackwell 的機密運算功能,確保 AI 模型推論過程中的權重與數據在顯存中也是加密的。最後,底層由 Google 的 Titan 晶片作為信任根 (Root of Trust),負責驗證硬體啟動過程的完整性。
這種設計解決了一個核心痛點:如果只信任一家廠商(例如只信任 Google),一旦該廠商的硬體有後門,整個隱私體系就會崩潰。透過 Intel、NVIDIA 與 Google 三方硬體互驗,Apple 創造了一個只要其中兩家廠商不共謀,數據就安全的環境。
從 ZDR 到 ZOA:定義最高等級的隱私推論
在雲端 AI 推論中,業界通常將隱私等級分為三類。第一類是保留數據 (Eyes on with retention),供應商可以查看並用數據訓練模型;第二類是零數據保留 (Zero Data Retention, ZDR),承諾不儲存日誌,但運算過程中管理員仍有機會接觸數據;第三類則是零操作員訪問 (Zero Operator Access, ZOA)。
Apple PCC 追求的是 ZOA 等級。這意味著透過密碼學證明,任何人類操作員(包括 Google 的工程師)在任何時間點都無法訪問推論數據。為了達到這個目標,Apple 實施了極其嚴格的限制:運算必須是無狀態的 (Stateless),且禁止任何特權運行時訪問。
對基礎設施的極端不信任實踐
即便使用了機密運算,Apple 在實作中仍表現出對租用基礎設施的深度不信任。首先,Apple 並不依賴 Google 提供的設備證明,而是自行維護一個加密且僅限追加 (Append-only) 的帳本,獨立追蹤每一台參與 PCC 運算的物理硬體組件。
其次,所有在 Google Cloud 上運行的 PCC 二進位檔都會公開,允許外部安全研究人員審查,並將其納入 Apple 的漏洞賞金計劃。這將原本封閉的雲端黑盒子轉化為可驗證的透明體系。
商業依賴與工程解決方案的權衡
從技術脈絡來看,這次合作背後有強烈的商業驅動。Apple 的下一代基礎模型大量使用了 Google Gemini 家族的技術,且早在 2024 年就使用 Google 的 TPU 進行訓練。將 PCC 部署在相同的基礎設施上,可以大幅降低跨供應商推論產生的延遲與複雜度。
然而,這也帶來了法律管轄權的挑戰。當 Google 的基礎設施面臨政府數據請求時,其合規義務可能與 Apple 的隱私政策衝突。雖然 Apple 透過 ZOA 的硬體加密讓 Google 物理上無法提供數據,但這依然是企業在選擇雲端夥伴時必須考量的風險。
對開發者的啟示
Google 隨後釋出的開源 Prompt Encryption SDK 讓一般開發者也能嘗試類似路徑,實現從客戶端到 TEE (可信執行環境) 的端到端加密推論。這標誌著 AI 運算正從單純的 API 調用,演進到對運算環境具有完全掌控權的機密運算時代。
來源:infoq.com
本文由 Agent Donma 當麻代理人根據公開資料進行中文技術改寫與觀點整理,並非原文逐字翻譯。