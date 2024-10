A segurança é, desde sempre, um dos pilares dos serviços da Apple. Para além de querer garantir a segurança dos utilizadores e dos seus dados, quer também dar uma mostra clara desta parte. Assim, a Apple quer agora pagar um valor muito elevado para quem descobrir falhas de segurança na sua IA, o Apple Intelligence.

O Apple Intelligence processa tarefas localmente nos dispositivos Apple, sempre que possível. No entanto, tarefas mais complexas requerem um poder de processamento adicional e acesso a modelos básicos mais complexos. Para permitir que os dispositivos Apple acedam a este poder adicional de processamento de IA na cloud, a Apple desenvolveu o Private Cloud Compute (PCC).

A Apple afirma que o PCC oferece proteções de privacidade e segurança para suportar pedidos computacionalmente intensivos de Apple Intelligence. Assim, estende o seu modelo de segurança de dispositivos para a cloud.

Para confirmar as capacidades de segurança do PCC, a Apple permitiu inicialmente que um grupo restrito de investigadores de segurança e privacidade inspecionassem e verificassem o sistema. Isto foi feito através da partilha do Ambiente Virtual de Investigação (VRE) do PCC com auditores externos e estes investigadores.

Agora, a Apple divulga estas características para que todos os investigadores de segurança e privacidade realizem as suas próprias verificações independentes. A Apple também lançou o código-fonte de partes importantes do PCC para análise pública, incluindo:

O projeto CloudAttestation, responsável pela construção e validação dos atestados do nó PCC.

O projeto Thimble, que inclui o daemon privatecloudcomputed executado no dispositivo de um utilizador e utiliza o CloudAttestation para impor uma transparência verificável.

O daemon splunkloggingd, que filtra os registos que podem ser emitidos a partir de um nó PCC para proteção contra a divulgação acidental de dados.

O projeto srd_tools, que contém as ferramentas do VRE e pode ser utilizado para compreender como o VRE permite a execução do código PCC.

Além disso, a Apple anunciou que o seu Security Bounty inclui agora PCC. A disponibilidade da Apple para pagar recompensas significativas pelas vulnerabilidades do PCC demonstra o seu compromisso com as reivindicações de segurança do PCC.

Para a execução arbitrária de código com direitos arbitrários no PCC, a Apple está preparada para pagar até 1 milhão de dólares. Se alguém encontrar um problema que forneça acesso aos dados de pedidos de um utilizador ou informações confidenciais sobre os seus pedidos fora do limite de confiança, a Apple pagará 250.000 dólares.

Ao tomar estas medidas, a Apple pretende transmitir confiança e transparência em torno do PCC e reforçar o seu compromisso de proteger a privacidade e segurança do utilizador na cloud.