Apple quer pagar uma fortuna a quem encontrar falhas na sua IA na Cloud
A segurança é, desde sempre, um dos pilares dos serviços da Apple. Para além de querer garantir a segurança dos utilizadores e dos seus dados, quer também dar uma mostra clara desta parte. Assim, a Apple quer agora pagar um valor muito elevado para quem descobrir falhas de segurança na sua IA, o Apple Intelligence.
O Apple Intelligence processa tarefas localmente nos dispositivos Apple, sempre que possível. No entanto, tarefas mais complexas requerem um poder de processamento adicional e acesso a modelos básicos mais complexos. Para permitir que os dispositivos Apple acedam a este poder adicional de processamento de IA na cloud, a Apple desenvolveu o Private Cloud Compute (PCC).
A Apple afirma que o PCC oferece proteções de privacidade e segurança para suportar pedidos computacionalmente intensivos de Apple Intelligence. Assim, estende o seu modelo de segurança de dispositivos para a cloud.
Para confirmar as capacidades de segurança do PCC, a Apple permitiu inicialmente que um grupo restrito de investigadores de segurança e privacidade inspecionassem e verificassem o sistema. Isto foi feito através da partilha do Ambiente Virtual de Investigação (VRE) do PCC com auditores externos e estes investigadores.
Agora, a Apple divulga estas características para que todos os investigadores de segurança e privacidade realizem as suas próprias verificações independentes. A Apple também lançou o código-fonte de partes importantes do PCC para análise pública, incluindo:
- O projeto CloudAttestation, responsável pela construção e validação dos atestados do nó PCC.
- O projeto Thimble, que inclui o daemon privatecloudcomputed executado no dispositivo de um utilizador e utiliza o CloudAttestation para impor uma transparência verificável.
- O daemon splunkloggingd, que filtra os registos que podem ser emitidos a partir de um nó PCC para proteção contra a divulgação acidental de dados.
- O projeto srd_tools, que contém as ferramentas do VRE e pode ser utilizado para compreender como o VRE permite a execução do código PCC.
Além disso, a Apple anunciou que o seu Security Bounty inclui agora PCC. A disponibilidade da Apple para pagar recompensas significativas pelas vulnerabilidades do PCC demonstra o seu compromisso com as reivindicações de segurança do PCC.
Para a execução arbitrária de código com direitos arbitrários no PCC, a Apple está preparada para pagar até 1 milhão de dólares. Se alguém encontrar um problema que forneça acesso aos dados de pedidos de um utilizador ou informações confidenciais sobre os seus pedidos fora do limite de confiança, a Apple pagará 250.000 dólares.
Ao tomar estas medidas, a Apple pretende transmitir confiança e transparência em torno do PCC e reforçar o seu compromisso de proteger a privacidade e segurança do utilizador na cloud.
Isto é “white hacker” muito facilitado, basta ter um Mac. O Private Cloud Compute (PCC) corre em ambiente virtual no Mac. A Apple fornece o código, os manuais e as ferramentas. O controlo do PCC por ataque remoto (simulado) vale 1 milhão de dólares e detetar outro tipo de vulnerabilidades vale vários prémios monetários. A Apple aposta tudo para que o PCC seja percebido como seguro.