ל-Google Pixel 6 ול-Pixel 7 יש ליבת מחשוב פרטית; הנה מה שאנחנו יודעים

אנדרואיד 12 הביא איתו המון פיצ'רים חדשים, ואחד המסתוריים ביותר הוא ליבת המחשב הפרטי (PCC). זה בעצם מקום שבו ניתן לעבד נתונים רגישים במכשיר, הרחק מהמקום שבו כל דבר אחר קורה. הוא מפעיל תכונות בלעדיות של Google Pixel 6 כמו Now Playing, Live Caption ו-Smart Reply, אבל במשך זמן רב לא היה הרבה מידע על איך זה עובד. נאלצנו לנחש ולנסות להבין את זה בעצמנו.

אמר גוגל לפני זמן רב שהיא תעביר קוד פתוח לקוד עבור שירותי מחשוב פרטיים (PCS) כדי שחוקרני אבטחה עצמאיים יוכלו לבקר אותו. זה סוף סוף שחרר את הקוד הזה בסוף 2022, לצד נייר לבן טכני המפרט כיצד זה עובד. אומרים ששירותי מחשוב פרטיים מספקים גשר לשמירה על הפרטיות בין ה-PCC והענן זה אפשרי לספק דגמי AI חדשים ועדכונים אחרים לתכונות למידה מכונה בארגז חול באמצעות מאובטח נָתִיב. גוגל טוענת שהתקשורת בין תכונות ו-PCS מתרחשת באמצעות קבוצה של ממשקי API תכליתיים בקוד פתוח, הסרת מידע מזהה מהנתונים ויישום טכנולוגיות פרטיות כמו למידה מאוחדת, Federated Analytics ואחזור מידע פרטי.

גוגל, במילותיה שלה, אמר את זה:

[ה-PCC] היא סביבת עיבוד נתונים מאובטחת ומבודדת בתוך מערכת ההפעלה אנדרואיד שנותן לך שליטה על הנתונים בפנים, כגון החלטה אם, איך ומתי הם משותפים אחרים. בדרך זו, PCC יכול לאפשר תכונות כמו Live Translate מבלי לשתף נתוני חישה מתמשכים עם ספקי שירות, כולל גוגל. PCC הוא חלק מ-Protected Computing, ערכת כלים של טכנולוגיות שמשנה את האופן שבו, מתי והיכן מעבדים נתונים כדי להבטיח טכנית את פרטיותם ובטיחותם.

Private Compute Core הוא ארגז חול וירטואלי

עכשיו כשיש לנו את היסודות למטה, מה בְּדִיוּק זה PCC? גוגל מסרה כעת כמה פרטים טכניים על הארכיטקטורה שלה וכיצד היא קיימת בארגז חול וירטואלי מבודד משלה. תכונות יכולות לפעול בתוך ארגז החול הזה ולעבד נתונים ברמת מערכת ההפעלה או הסביבה, והתוצאות מוצגות כך המשתמש באמצעות מערכת ההפעלה המהימנה או באמצעות מסגרת קוד פתוח מבוקרת גישה ממשקי API.

בעצם, זהו ארגז חול לתכונות שעשויות לעבד מידע רגיש. תשובה חכמה כמובן סורקת את ההודעות שלך, בעוד כתוביות חי מקשיבה לכל מה שמושמע. Now Playing גם מאזין לאודיו סביבך. תכונות אלה ממוקמות בתוך Android System Intelligence, והיא מסתמכת אך ורק על PCS עבור חיבורים מחוץ לארגז החול הזה. PCS מאפשר את הדברים הבאים:

  • למידה מאוחדת וניתוח מאוחד
  • אחזור מידע פרטי (PIR)
  • העברה להורדה של HTTPS בלבד

לדוגמה, בעת הקלדה בשיחה, גוגל מסבירה ש-Gboard תבקש מ-Smart Reply להציע הצעות על סמך השיחה על המסך. תשובה חכמה לאחר מכן מעבדת את השיחה ב-PCC בצורה מאובטחת וסודית. נתונים רגישים אינם משותפים עם האפליקציה, המקלדת או Google, וכל מה ש-Gboard מקבל בתגובה הוא רשימה של תשובות מוצעות.

כל דבר שמעובד בתוך Compute Core יכול גם לגשת לרשת רק על ידי אינטראקציה עם PCS, אשר מתנתקים זיהוי מידע ושימוש בטכנולוגיות פרטיות, כולל Federated Learning, Federated Analytics ו-Private אִחזוּר מֵידַע. זה מבטל את הרשאת החיבור לאינטרנט רָחוֹק מפונקציות רגישות ויפעלו רק באמצעות "ממשקי API צרים מאוד ותכליתיים" כדי לעשות דברים כמו "הורדת מודלים, שימוש בלמידה מאוחדת ועוד."

אבל האם ה-PCC פעיל בסמארטפונים של אנדרואיד בצורה שגוגל הסבירה שזה יהיה? אף אחד לא יכול להגיד. תחושת הבטן שלי היא ש"התצוגה המקדימה של הפיתוח" קיימת עבור פונקציונליות מאוד ספציפית ותו לא, שכן היא מפורסמת כפעילה אפילו באתר הרשמי של אנדרואיד 12. זה גם יהיה הגיוני אם זו הסיבה שהוא עדיין לא היה בקוד פתוח, מכיוון שנראה שהוא עשוי לעבוד רק עבור קבוצה של תכונות קנייניות של Google. זה נתמך עוד יותר על ידי העובדה ש- Now Playing יכול לעקוף את מחוון המיקרופון מכיוון שהוא עובר דרך Compute Core.

נתונים המאוחסנים ומעובדים בתוך ארגז חול זה אינם חשופים לאפליקציות אחרות אלא אם כן המשתמש אומר אחרת. לדוגמה, הצעת תשובה חכמה תישאר מוסתרת מהמקלדת שלך ומהאפליקציה שאתה מקליד אליה עד שתקיש עליה. PCS לא רק מגשר על הפער בין PCC לסמארטפון שלך, אלא גם שומרים על תכונות אלה מעודכנות עם דגמים ושינויים חדשים מבוססי AI.

איך תשובה חכמה, כיתוב חי ותשומת לב למסך עובדים

גוגל תיארה בנייר הלבן הטכני שפרסמה כיצד פועלות שלוש תכונות של Android System Intelligence בהקשר של PCC.

תשובה חכמה

תשובה חכמה מציעה תגובות מהירות להודעות בהתבסס על תוכן קודם ונוכחי על המסך. Android System Intelligence מחלץ ישויות רלוונטיות מאפליקציות כגון כתובות, שמות ופיסות מידע אחרות, ולאחר מכן מציע אותן למשתמש כהצעות. הצעות אלו מתאפשרות באמצעות PCC. Google נוקטת בצעדים הבאים כדי ליישם את התכונה בצורה בטוחה ומאובטחת.

  • משתמש ב-Content Capture API כמקור נתונים, שהוא Android Framework API עם הגבלות על גישה.
  • משתמשים ומפתחי אפליקציות יכולים לבטל את הסכמתם לתשובות חכמות.
  • מנהלי התקנים יכולים להשבית תכונה זו באמצעות מדיניות המשבית את לכידת המסך.
  • משתמשים יכולים לאפשר באופן ספציפי לנתונים לצאת מה-PCC.
    • שום נתונים לא עוזבים את גבול ה-PCC בזמן העיבוד, מכיוון שהם משתמשים בממשק משתמש מוקצה דרך ממשק API ספציפי של Android Framework.
    • סינון מועמדים לפי קלט מושבת לאחר סדרה של הקשות בשל היכולת של המקלדת להשיג כמה תגובות מועמדים מוצגות.
    • הנתונים נשמרים לזמן קצר ב-PCC, כלומר ההצעות מבוססות על נתונים שנצפו לאחרונה
    • הנתונים מתקבלים רק מאפליקציות שה-PCC מבין כיצד לקרוא מהן, מתאפשר על ידי רשימת היתרים במערכת
  • משתמש בממשקי PCS API לגישה לרשת
    • דגמי ML אינם ספציפיים למשתמש
    • ניתוח מבוצע באמצעות ניתוח מאוחד עם צבירה מאובטחת

כיתוב חי

Live Caption מספק כתוביות עבור כל תוכן המושמע כעת בטלפון החכם שלך, מעבד את כל האודיו ומציג תמלול בממשק המשתמש שעבר AOSP. הנתונים אינם נגישים לאפליקציות. Google נוקטת בצעדים הבאים כדי ליישם את התכונה בצורה בטוחה ומאובטחת.

  • משתמש ב-Android Audio APIs כמקור נתונים, שהוא Android Framework API עם הגבלות על גישה.
  • תכונה זו חייבת להיות מופעלת על ידי המשתמש ואינה מופעלת כברירת מחדל.
  • הנתונים אינם עוזבים את ה-PCC ומוצגים רק במשטח מערכת
    • הוא מוצג באמצעות שכבת-על שצוירה באמצעות ממשק ה-API של מנהל החלונות
    • הנתונים נשמרים לפרק זמן קצר ב-PCC
  • משתמש בממשקי PCS API לגישה לרשת
    • עדכוני הדגם אינם ספציפיים למשתמש

תשומת לב למסך

תשומת לב למסך שומרת על התצוגה פעילה בזמן שהמשתמש מסתכל בטלפון שלו אם הוא מסתכל עליו כאשר עמעום המסך מתוכנן להתרחש. אם מזוהה פנים, העמעום נדחה. גוגל נוקטת בצעדים הבאים כדי ליישם את התכונה בצורה בטוחה.

  • משתמש ב-Android Audio APIs כמקור נתונים, שהוא Android Framework API עם הגבלות על גישה
  • תכונה זו חייבת להיות מופעלת על ידי המשתמש ואינה מופעלת כברירת מחדל
  • הנתונים אינם עוזבים את ה-PCC ומעובדים רק בתוך ה-PCC ומערכת ההפעלה דרך ה-API של AttentionManagerService Framework. הנתונים נשמרים רק לפרק זמן קצר
  • אינו משתמש באף אחת מיכולות הרשת. הדגמים מתעדכנים רק באמצעות APK

האם Private Compute Core הוא פיקסל בלעדי?

כאן הדברים מסתבכים באמת.

ה-PCC מעולם לא שווק באופן מפורש כתכונה בלעדית של Pixel. זה נמצא באתר הרשמי של אנדרואיד, וגוגל מדברת על PCC בהקשר של אנדרואיד - לא בהקשר של פיקסלים. עם זאת, מונט היה מבחינה טכנית בלעדי לפיקסל בשלב מסוים. ההבדל היחיד הוא שגוגל אמרה שמונט יידחף ל-AOSP במהדורה עתידית של אנדרואיד, ועכשיו יצרני OEM יכולים ליישם זאת בעצמם. הניסוח ביחס ל-PCC אינו חד משמעי, עם זאת, ומתייחס למעורפל ל"תכונות מסופק על ידי Android System Intelligence כפי שהוטמע ב-Pixel ובמכשירים אחרים שעשויים להיות עבור אנדרואיד 12".

ממה שאני יכול להבין, נראה שלכל הפחות, אנדרואיד System Intelligence נמצא בשימוש במכשירים אחרים. ל-Samsung Galaxy S22 Ultra שלי מותקנת Android System Intelligence, אם כי אם היא מיישמת את התכונות האלה שגוגל מדברת עליהן דרך Private Compute Core לא בדיוק ברור.

ה-Private Compute Core הגיוני מאוד עבור משתמשים ארגוניים

נשמח שגוגל תהפוך את המידע לזמין יותר ביחס ל-PCC ולאופן שבו הוא מגן על פרטיות המשתמש, במיוחד ביחס למכשירים אחרים. האם ה-PCC הוא Pixel בלעדי? האם יצרני OEM אחרים יכולים ליישם את זה? כרגע קשה לומר, למרות שהרעיון מאחורי זה טוב. זה יכול להיות נכס שימושי גם בהגנה על משתמשי סמארטפונים, במיוחד אלה שעשויים להשתמש בהם מכשירים לארגונים אך מוטרדים מתכונות "פולשניות" יותר כגון Now Playing ו-Smart תשובה.

ההיבט הנוסף שיש לקחת בחשבון הוא האם תכונות חדשות יוצגו עם הזמן. למרות שהם כמובן יכולים להיות, זה לא נראה כאילו (מהעיתון הלבן, בכל מקרה) משהו חדש באמת הגיע ל-PCC בתוך שנה. אמנם לא כל דבר צריך להיות מנותב דרכו אם אין צורך בכך, אך ברור שמשתמשים יעדיפו שהנתונים שלהם יהיו מוגנים כשאפשר.