アンドロイド12 は大量の新機能をもたらしましたが、最も謎に満ちている機能の 1 つは Private Compute Core (PCC) です。 これは基本的に、他のすべてが行われている場所から離れた、機密データをデバイス上で処理できる場所です。 これは、Now Playing、Live Caption、Smart Reply などの Google Pixel 6 独自の機能を強化しますが、長い間、その仕組みについての情報はあまりありませんでした。 私たちは推測し、自分たちでそれを理解しようとすることを余儀なくされました。
グーグルは言った ずっと前に、プライベート コンピューティング サービス (PCS) のコードをオープンソース化し、独立したセキュリティ研究者が監査できるようにする予定でした。 それ ついにそのコードを公開しました 2022 年末には、その仕組みを詳しく説明した技術的なホワイト ペーパーも公開されます。 Private Compute Services は、PCC とクラウド間のプライバシー保護の橋渡しを提供するといわれています。 新しい AI モデルやサンドボックス化された機械学習機能へのその他のアップデートを安全なネットワーク上で配信することが可能 パス。 Googleによれば、機能とPCSの間の通信は一連の目的を持ったオープンソースAPIを通じて行われ、データから個人情報を削除し、次のようなプライバシー技術を適用しているという。 フェデレーテッド ラーニング、Federated Analytics、および個人情報の取得。
Google は独自の言葉で次のように述べています。
[PCC] は、Android オペレーティング システム内の安全で隔離されたデータ処理環境です。 これにより、データを共有するかどうか、共有する方法、いつ共有するかを決定するなど、内部のデータを制御できるようになります。 その他。 このようにして、PCC は、継続的なセンシング データを Google などのサービス プロバイダーと共有することなく、ライブ翻訳などの機能を有効にすることができます。 PCC は、データのプライバシーと安全性を技術的に確保するために、データの処理方法、いつ、どこで処理されるかを変革するテクノロジーのツールキットである、保護されたコンピューティングの一部です。
Private Compute Core は仮想サンドボックスです
基本を理解したところで、次は何をするか その通り PCCですか? Googleは今回、そのアーキテクチャと、それが独自の隔離された仮想サンドボックスにどのように存在するかについての技術的な詳細を明らかにした。 機能はそのサンドボックス内で実行され、OS レベルまたはアンビエント データを処理でき、結果は次のように表示されます。 信頼できるオペレーティング システムまたはアクセス制御されたオープンソース フレームワークを介してユーザー API。
本質的に、これは機密情報を処理する可能性のある機能のためのサンドボックスです。 Smart Reply は明らかにメッセージをスキャンしますが、Live Caption は再生されているものを聞きます。 Now Playing は周囲の音声も聞きます。 これらの機能は Android System Intelligence 内に格納されており、このサンドボックス外の接続については PCS のみに依存します。 PCS では次のことが可能になります。
- フェデレーテッド ラーニングとフェデレーテッド アナリティクス
- 個人情報検索 (PIR)
- HTTPS ダウンロード専用トランスポート
たとえば、会話を入力すると、Gboard はスマート リプライに画面上の会話に基づいた提案を求めると Google は説明しています。 次に、Smart Reply は、PCC 内の会話を安全かつ機密に処理します。 機密データはアプリ、キーボード、Google と共有されず、Gboard が受け取る応答は提案された返信のリストだけです。
Compute Core 内で処理されるものはすべて、PCS と対話することによってのみネットワークにアクセスできます。 情報を特定し、Federated Learning、Federated Analytics、Private などのプライバシー テクノロジーを使用します。 情報検索。 これはインターネット接続許可を抽象化します 離れて 機密機能から除外され、「モデルのダウンロード、フェデレーテッド ラーニングの使用など」を行うために「非常に限定された目的のある API」を通じてのみ機能します。
しかし、PCC は Google が説明したように Android スマートフォンでも有効なのでしょうか? 誰も言えません。 私の直感では、「開発プレビュー」は非常に特定の機能のために存在するだけで、それ以外は何もなく、アクティブであると宣伝されているためです。 Android 12の公式ウェブサイトで. これは、Google 独自の機能のセットでのみ機能する可能性があるため、まだオープンソース化されていない理由である場合にも意味があります。 これは、Now Playing が Compute Core を介して実行されるため、マイク インジケーターをバイパスできるという事実によってさらに裏付けられます。
このサンドボックス内で保存および処理されたデータは、ユーザーが別の指示をしない限り、他のアプリに公開されません。 たとえば、スマート リプライの候補は、タップするまでキーボードや入力中のアプリには表示されません。 PCS は、PCC とスマートフォンの間のギャップを埋めるだけでなく、新しい AI ベースのモデルや変更によってそれらの機能を常に最新の状態に保ちます。
スマート リプライ、ライブ キャプション、スクリーン アテンションの仕組み
Googleは、同社がリリースしたテクニカルホワイトペーパーの中で、Android System Intelligenceの3つの機能がPCCのコンテキストでどのように機能するかを概説した。
スマートリプライ
スマート リプライは、以前および現在の画面上のコンテンツに基づいて、メッセージに対する迅速な応答を提案します。 Android システム インテリジェンスは、住所、名前、その他の情報などの関連エンティティをアプリから抽出し、それらを候補としてユーザーに提供します。 これらの提案は PCC を通じて可能になります。 Google は、この機能を安全かつ確実に実装するために次の手順を実行します。
- Content Capture API をデータ ソースとして使用します。これは、アクセス制限のある Android フレームワーク API です。
- ユーザーとアプリ開発者はスマート リプライをオプトアウトできます。
- デバイス管理者は、画面キャプチャを無効にするポリシーを使用して、この機能を無効にすることができます。
- ユーザーは、データが PCC から送信されることを具体的に許可できます。
- 特定の Android フレームワーク API を介して委任された UI を使用するため、レンダリング時にデータが PCC 境界を離れることはありません。
- 表示される候補応答の数を取得するキーボードの機能により、一連のキーストロークの後、入力による候補フィルタリングは無効になります。
- データは PCC に短期間保持されます。つまり、提案は最近観測されたデータに基づいています。
- データは、PCC が読み取り方法を理解しているアプリからのみ取得されます。これは、システム内の許可リストによって可能になります。
- ネットワークアクセスにPCS APIを使用
- ML モデルはユーザー固有ではありません
- 分析は安全な集約を備えたフェデレーション分析を通じて実行されます
ライブキャプション
Live Caption は、スマートフォンで現在再生されているコンテンツにキャプションを提供し、すべての音声を処理して、AOSP でレンダリングされた UI にトランスクリプトを表示します。 アプリはデータにアクセスできません。 Google は、この機能を安全かつ確実に実装するために次の手順を実行します。
- データ ソースとして Android Audio API を使用します。これは、アクセス制限のある Android フレームワーク API です。
- この機能はユーザーが有効にする必要があり、デフォルトでは有効になっていません。
- データは PCC から出ず、システム サーフェスでのみレンダリングされます。
- Window Manager API を使用して描画されたオーバーレイを使用して表示されます。
- データは PCC に短期間保持されます。
- ネットワークアクセスにPCS APIを使用
- モデルの更新はユーザー固有ではありません
画面の注意
スクリーン アテンションは、画面の減光がスケジュールされているときにユーザーが携帯電話を見ている間、ディスプレイをアクティブに保ちます。 顔が検出された場合、調光は延期されます。 Google では、この機能を安全に実装するために次の手順を実行します。
- データ ソースとして Android Audio API を使用します。これは、アクセス制限のある Android フレームワーク API です。
- この機能はユーザーが有効にする必要があり、デフォルトでは有効になっていません。
- データは PCC から出ず、PCC および OS 内で AttenderService Framework API を介してのみ処理されます。 データは短期間のみ保持されます
- ネットワーク機能は一切使用しません。 モデルはAPK経由でのみ更新されます
Private Compute Core は Pixel 専用ですか?
ここで事態は非常に複雑になります。
PCC は、Pixel 専用の機能として明示的に販売されたことはありません。 これは Android の公式 Web サイトにあり、Google は PCC について Pixel の文脈ではなく Android の文脈で語っています。 そうは言っても、monet は技術的にはある時点で Pixel 独占でした。 唯一の違いは、Google が monet が AOSP にプッシュされるだろうと述べたことです。 Android の将来のリリースではになり、OEM が自分で実装できるようになりました。 ただし、PCC に関する表現は曖昧であり、「機能」について曖昧に言及しています。 Pixel および潜在的に他のデバイスに実装されている Android System Intelligence によって提供されます。 アンドロイド12です。」
私が収集した情報によると、少なくとも Android System Intelligence は他のデバイスで使用されているようです。 私のSamsung Galaxy S22 UltraにはAndroid System Intelligenceがインストールされていますが、GoogleがPrivate Compute Coreを通じて話している機能が実装されているかどうかは正確には明らかではありません。
プライベート コンピューティング コアは企業ユーザーにとって非常に意味があります
Google には、PCC に関する情報と、PCC がユーザーのプライバシーをどのように保護するか、特に他のデバイスとの関係に関する情報をより簡単に入手できるようにしてもらいたいと考えています。 PCC は Pixel 専用ですか? 他の OEM も実装できますか? たとえその背後にあるアイデアは良いとしても、現時点では何とも言えません。 これは、スマートフォン ユーザー、特にスマートフォンを使用する可能性のあるユーザーを保護する上でも有用な資産となり得ます。 企業向けのデバイスですが、Now Playing や Smart などのより「侵襲的な」機能によって妨げられる 返事。
考慮すべきもう 1 つの側面は、時間の経過とともに新しい機能が導入されるかどうかです。 明らかにそうなる可能性はありますが、(白書からはともかく)この 1 年間で実際に PCC に何か新しいものが登場したようには見えません。 必要がない場合はすべてをルーティングする必要はありませんが、ユーザーは明らかに、可能な場合はデータを保護したいと考えます。