Android 12 přinesl s sebou spoustu nových funkcí a jednou z nejzáhadnějších je Private Compute Core (PCC). Je to v podstatě místo, kde lze na zařízení zpracovávat citlivá data, daleko od místa, kde se děje vše ostatní. Pohání exkluzivní funkce Google Pixel 6, jako je Now Playing, Live Caption a Smart Reply, ale po dlouhou dobu nebylo mnoho informací o tom, jak to funguje. Byli jsme nuceni hádat a snažit se na to přijít sami.
Google řekl před dlouhou dobou, že by open source kód pro Private Compute Services (PCS), aby jej mohli auditovat nezávislí bezpečnostní výzkumníci. To konečně ten kód uvolnil na konci roku 2022 spolu s technickou bílou knihou podrobně popisující, jak to funguje. Soukromé výpočetní služby údajně poskytují most mezi PCC a cloudem, který chrání soukromí je možné dodávat nové modely umělé inteligence a další aktualizace funkcí strojového učení v izolovaném prostoru přes bezpečný cesta. Google říká, že komunikace mezi funkcemi a PCS probíhá přes sadu účelných open-source API, která odstraňuje identifikační informace z dat a aplikují technologie ochrany soukromí, jako je
Federované učení, Federated Analytics a získávání soukromých informací.Google podle svých vlastních slov řekl toto:
[PCC] je bezpečné, izolované prostředí pro zpracování dat uvnitř operačního systému Android to vám dává kontrolu nad daty uvnitř, jako je rozhodování, zda, jak a kdy budou sdílena ostatní. Tímto způsobem může PCC aktivovat funkce, jako je Live Translate, aniž by bylo nutné sdílet nepřetržitá data snímání s poskytovateli služeb, včetně společnosti Google. PCC je součástí Protected Computing, sady nástrojů technologií, které mění způsob, kdy a kde jsou data zpracovávána, aby bylo technicky zajištěno jejich soukromí a bezpečnost.
Private Compute Core je virtuální sandbox
Teď, když máme základy, co přesně je PCC? Google nyní uvedl některé technické podrobnosti o své architektuře a o tom, jak existuje ve svém vlastním izolovaném virtuálním sandboxu. Funkce mohou běžet uvnitř této karantény a zpracovávat data na úrovni operačního systému nebo okolního prostředí a výsledky se zobrazí uživatele buď prostřednictvím důvěryhodného operačního systému, nebo prostřednictvím open-source frameworku s řízeným přístupem API.
V podstatě je to sandbox pro funkce, které mohou zpracovávat citlivé informace. Funkce Smart Reply samozřejmě skenuje vaše zprávy, zatímco živý přepis poslouchá, co se právě přehrává. Funkce Now Playing také poslouchá zvuk kolem vás. Tyto funkce jsou umístěny uvnitř systému Android System Intelligence a spoléhá se pouze na PCS pro připojení mimo tento sandbox. PCS umožňuje následující:
- Federované učení a federovaná analytika
- Získávání soukromých informací (PIR)
- Přenos HTTPS pouze ke stažení
Když například píšete do konverzace, Google vysvětluje, že Gboard požádá Smart Reply o návrhy na základě konverzace na obrazovce. Smart Reply poté zpracuje konverzaci v PCC bezpečně a důvěrně. Citlivá data nejsou sdílena s aplikací, klávesnicí ani Googlem a vše, co Gboard dostane, je seznam navrhovaných odpovědí.
Cokoli zpracovaného uvnitř Compute Core může také přistupovat k síti pouze prostřednictvím interakce s PCS, které se odpojí identifikaci informací a používání technologií ochrany osobních údajů, včetně Federated Learning, Federated Analytics a Private Vyhledávání informací. Toto abstrahuje oprávnění k připojení k internetu pryč z citlivých funkcí a bude fungovat pouze prostřednictvím „velmi úzkých, účelných rozhraní API“ k provádění věcí jako „stahování modelů, používání federovaného učení a další“.
Je ale PCC aktivní na chytrých telefonech Android tak, jak to Google vysvětlil? Nikdo nemůže říct. Můj vnitřní pocit je, že „náhled vývoje“ existuje pro velmi konkrétní funkce a nic víc, protože je inzerován jako aktivní i na oficiálních stránkách Android 12. To by také dávalo smysl, pokud to je důvod, proč ještě nebyl open-source, protože se zdá, že může fungovat pouze pro sadu proprietárních funkcí Google. To je dále podpořeno skutečností, že Now Playing může obejít indikátor mikrofonu, protože běží přes Compute Core.
Data uložená a zpracovaná v této karanténě nejsou vystavena jiným aplikacím, pokud uživatel neřekne jinak. Například návrh chytré odpovědi zůstane skrytý před vaší klávesnicí a aplikací, do které píšete, dokud na něj neklepnete. PCS nejen překlenuje propast mezi PCC a vaším smartphonem, ale také udržuje tyto funkce aktualizované pomocí nových modelů a změn založených na AI.
Jak fungují funkce Smart Reply, Live Caption a Screen Attention
Google nastínil v technické bílé knize, kterou vydal, jak fungují tři funkce Android System Intelligence v kontextu PCC.
Chytrá odpověď
Smart Reply navrhuje rychlé odpovědi na zprávy na základě předchozího a aktuálního obsahu na obrazovce. Android System Intelligence extrahuje relevantní entity z aplikací, jako jsou adresy, jména a další informace, a poté je nabízí uživateli jako návrhy. Tyto návrhy jsou možné prostřednictvím PCC. Google podniká následující kroky k bezpečné a bezpečné implementaci funkce.
- Jako zdroj dat používá Content Capture API, což je rozhraní Android Framework API s omezeními přístupu.
- Uživatelé a vývojáři aplikací se mohou odhlásit z chytrých odpovědí.
- Správci zařízení mohou tuto funkci zakázat pomocí zásady, která zakáže snímání obrazovky.
- Uživatelé mohou konkrétně povolit, aby data opustila PCC.
- V době vykreslování neopustí hranici PCC žádná data, protože používá delegované uživatelské rozhraní prostřednictvím specifického rozhraní API pro Android.
- Filtrování kandidátů podle vstupu je zakázáno po sérii úhozů kvůli schopnosti klávesnice získat, kolik odpovědí kandidátů je zobrazeno.
- Údaje jsou v PCC uchovávány po krátkou dobu, což znamená, že návrhy jsou založeny na údajích pozorovaných v poslední době
- Data jsou získávána pouze z aplikací, kterým PCC rozumí, jak z nich číst, což umožňuje seznam povolených v systému
- Používá PCS API pro přístup k síti
- Modely ML nejsou specifické pro uživatele
- Analýza se provádí prostřednictvím federované analýzy se zabezpečenou agregací
Živý přepis
Živé přepisy poskytují titulky pro jakýkoli obsah aktuálně přehrávaný na vašem smartphonu, zpracovává veškerý zvuk a zobrazuje přepis v uživatelském rozhraní vykresleném pomocí AOSP. Data nejsou aplikacím přístupná. Google podniká následující kroky k bezpečné a bezpečné implementaci funkce.
- Jako zdroj dat používá rozhraní Android Audio API, což je rozhraní Android Framework API s omezeními přístupu.
- Tato funkce musí být povolena uživatelem a ve výchozím nastavení není povolena.
- Data neopouštějí PCC a jsou vykreslována pouze na povrchu systému
- Zobrazuje se pomocí překryvné vrstvy nakreslené pomocí rozhraní API Správce oken
- Data jsou v PCC uchovávána po krátkou dobu
- Používá PCS API pro přístup k síti
- Aktualizace modelu nejsou specifické pro uživatele
Pozor na obrazovku
Funkce Screen Attention udržuje displej aktivní, když se uživatel dívá na svůj telefon, pokud se na něj dívá, když je naplánováno ztmavení obrazovky. Pokud je detekován obličej, ztmavení se odloží. Google podniká následující kroky k bezpečné implementaci funkce.
- Jako zdroj dat používá rozhraní Android Audio API, což je rozhraní Android Framework API s omezeními přístupu
- Tato funkce musí být povolena uživatelem a ve výchozím nastavení není povolena
- Data neopouštějí PCC a jsou zpracovávána pouze v rámci PCC a OS prostřednictvím rozhraní API AttentionManagerService Framework. Data jsou uchovávána pouze po krátkou dobu
- Nevyužívá žádnou ze síťových možností. Modely jsou aktualizovány pouze prostřednictvím APK
Je Private Compute Core exkluzivní Pixel?
Tady se věci opravdu komplikují.
PCC nebylo nikdy výslovně uváděno na trh jako funkce exkluzivní pro Pixel. Je to na oficiálních stránkách Androidu a Google mluví o PCC v kontextu Androidu – ne v kontextu Pixelů. Nicméně, monet byl v jednu chvíli technicky exkluzivní pouze pro Pixel. Jediný rozdíl je v tom, že Google řekl, že monet bude tlačen do AOSP v budoucí verzi Androidua nyní je mohou implementovat sami výrobci OEM. Znění ve vztahu k PCC je však nejednoznačné a obsahuje vágní odkaz na „vlastnosti poskytované službou Android System Intelligence, jak je implementována v Pixel a potenciálně v dalších zařízeních Android 12."
Z toho, co mohu shromáždit, by se zdálo, že přinejmenším systém Android System Intelligence se používá na jiných zařízeních. Můj Samsung Galaxy S22 Ultra má nainstalovanou systémovou inteligenci Android, i když není zcela jasné, zda implementuje funkce, o kterých Google mluví prostřednictvím Private Compute Core.
Private Compute Core dává velký smysl pro podnikové uživatele
Byli bychom rádi, kdyby Google snáze zpřístupnil informace týkající se PCC a toho, jak chrání soukromí uživatelů, zejména v souvislosti s jinými zařízeními. Je PCC exkluzivní pro Pixel? Mohou to implementovat jiní OEM? V tuto chvíli těžko říct, i když myšlenka za tím je dobrá. Může být užitečným přínosem také při ochraně uživatelů chytrých telefonů, zejména těch, kteří je mohou používat zařízení pro podniky, ale jsou rušeni „invazivnějšími“ funkcemi, jako je Now Playing a Smart Odpověď.
Dalším aspektem, který je třeba zvážit, je, zda budou časem zavedeny nové funkce. I když zjevně mohou být, nevypadá to, že by (podle bílé knihy každopádně) za rok na PCC skutečně přišlo něco nového. I když přes něj nemusí být směrováno vše, pokud to není nutné, uživatelé budou samozřejmě preferovat ochranu svých dat, když to bude možné.