谷歌，一个在隐私保护方面并非首选的公司，如今借鉴了苹果的做法，声称其云端AI服务将保护由Gemini模型家族处理的敏感个人数据。

这家科技巨头宣布推出私有AI计算服务，该服务旨在将Android设备上私有计算核心所体现的信任承诺扩展到在谷歌数据中心运行的服务中。从概念和架构上来说，这与苹果的私有云计算类似。苹果历来将隐私作为其设备和服务的一大卖点，而谷歌则相对开放地承认收集用户数据以提供更相关的信息和广告。

"私有AI计算是一个用于处理您数据的安全、强化空间，可以保持您的数据隔离并对您保持私密性，"AI创新和研究副总裁Jay Yagnik在博客文章中说道。"它处理的敏感信息类型与您期望在设备上处理的相同。"

自生成式AI热潮开始以来，专家们建议将敏感数据远离大语言模型，担心此类数据可能在训练过程中被纳入其中。随着模型被赋予不同程度的智能体能力并可以访问其他软件工具，威胁场景已经扩大。现在，供应商们正试图说服消费者与AI智能体共享个人信息，以便它们能够执行需要凭证和支付信息的操作。

如果没有更强的隐私和安全保障，AI供应商推广的智能体愿景看起来不太可能实现。根据Menlo Ventures最近的一项调查，在未采用AI的39%美国人中，71%的人将数据隐私作为原因。

担忧者有理由感到担心。根据斯坦福大学最近的一项研究，六大AI公司——亚马逊（Nova）、Anthropic（Claude）、谷歌（Gemini）、Meta（Meta AI）、微软（Copilot）和OpenAI（ChatGPT）——"默认情况下似乎使用用户的聊天数据来训练和改进他们的模型，其中一些会无限期保留这些数据。"

如果每个AI提示都可以由不向外传输用户数据的设备端模型处理，那么许多隐私和安全担忧都将变得无关紧要。但到目前为止，共识似乎是前沿AI模型必须在云端运行。因此，模型供应商必须缓解人们对内部人员从在线传输的Token中收集敏感内容的担忧。

谷歌的解决方案私有AI计算与苹果的私有云计算类似，两种数据隔离方案都依赖可信执行环境（TEE）或安全飞地。这些机密计算机制从概念上对内存和处理进行加密和隔离，使其与主机分离。

对于在其张量处理单元（TPU）硬件上的AI工作负载，谷歌称其计算安全室为钛智能飞地（TIE）。对于CPU工作负载，私有AI计算依赖AMD的安全加密虚拟化——安全嵌套分页（SEV-SNP），这是虚拟机的安全计算环境。

当私有AI计算作业需要分析时，谷歌声称它依赖机密联邦分析，"以确保只有匿名统计数据（例如差分私有聚合）对谷歌可见。"

谷歌声称该系统整合了各种防范内部人员的防御措施。数据在推理请求期间在受保护环境中处理，然后在用户会话结束时被丢弃。没有对用户数据的管理访问权限，在强化TPU上也没有shell访问权限。

作为使其声明可验证的第一步，谷歌已发布了私有AI计算服务器使用的应用程序二进制文件的加密摘要（例如SHA2-256）。展望未来，谷歌计划让专家检查其远程认证数据，进行第三方进一步审计，并扩展其漏洞奖励计划以涵盖私有AI计算。

这可能会吸引更多安全研究人员的兴趣，其中一些人最近发现了AMD SEV-SNP和其他可信计算方案的缺陷。

苏黎世联邦理工学院信息技术和电气工程系助理教授Kaveh Ravazi在给本刊的电子邮件中表示，虽然他不是隐私保护分析方面的专家，但他熟悉TEE。

"过去曾有攻击从SEV-SNP泄露信息给远程攻击者，并为具有物理访问权限的攻击者（例如谷歌本身）直接破坏TEE，"他说。"所以虽然SEV-SNP提高了门槛，但肯定有绕过它的方法。"

至于强化TPU平台，Ravazi说这看起来更不透明。

"他们说了一些像没有shell访问权限这样的话，TPU平台本身的安全性相比像SEV-SNP这样的TEE确实受到较少审查（至少在公开场合），"他说。"现在就用户数据隐私的意义而言，我很难说清楚，因为不清楚实际有多少用户数据进入这些节点（除了可能的提示，但也许他们还创建用户特定的层，但我真的不知道）。"

他补充说："就这份白皮书而言，与其他提供AI服务的云公司相比，谷歌似乎对其安全架构更加开放，虽然不完美，但我认为这种（部分）开放是好事。"

NCC Group进行的审计得出结论，私有AI计算大多使AI会话数据免受除谷歌之外的所有人的侵害。

"尽管整个系统依赖专有硬件并集中在Borg Prime上，NCC Group认为谷歌已经强有力地限制了用户数据暴露给意外处理或外部人员的风险，除非谷歌作为一个整体组织决定这样做，"该安全公司的审计得出结论。

Q&A

Q1：什么是私有AI计算服务？

A：私有AI计算是谷歌推出的云端AI服务，旨在保护由Gemini模型处理的敏感个人数据。它是一个安全、强化的数据处理空间，可以保持用户数据隔离并维护隐私性，类似于苹果的私有云计算服务。

Q2：私有AI计算如何保护用户数据安全？

A：该服务依赖可信执行环境和安全飞地技术，对内存和处理进行加密隔离。数据只在推理请求期间在受保护环境中处理，会话结束后即被丢弃，且没有管理员访问用户数据的权限。

Q3：专家对私有AI计算服务的安全性如何评价？

A：专家认为虽然该服务提高了安全门槛，但仍存在绕过方法。NCC Group的审计认为谷歌已强有力地限制了数据泄露风险，但除非谷歌整体组织决定，否则用户数据相对安全。