Google Pixel 6 og Pixel 7 har en Private Compute Core; her er det vi vet

Android 12 brakte med seg massevis av nye funksjoner, og en av de mest mystiske er Private Compute Core (PCC). Det er egentlig et sted hvor sensitive data kan behandles på enheten, borte fra der alt annet skjer. Den driver eksklusive Google Pixel 6-funksjoner som Now Playing, Live Caption og Smart Reply, men i lang tid var det ikke mye informasjon om hvordan det fungerer. Vi ble tvunget til å gjette og prøve å finne ut av det selv.

sa Google for lenge siden at den ville åpne kildekoden for Private Compute Services (PCS) slik at uavhengige sikkerhetsforskere kunne revidere den. Den endelig gitt ut den koden på slutten av 2022, sammen med en teknisk hvitbok som beskriver hvordan det fungerer. Private Compute Services sies å gi en personvernbevarende bro mellom PCC og skyen det mulig å levere nye AI-modeller og andre oppdateringer til sandboxed maskinlæringsfunksjoner over en sikker sti. Google sier kommunikasjon mellom funksjoner og PCS skjer over et sett med målrettede åpen kildekode APIer, fjerner identifiserende informasjon fra data og bruker personvernteknologier som

Federert læring, Federated Analytics og privat informasjonsinnhenting.

Google hadde med egne ord dette å si:

[PCC] er et sikkert, isolert databehandlingsmiljø inne i Android-operativsystemet som gir deg kontroll over dataene inne, for eksempel å bestemme om, hvordan og når de deles med andre. På denne måten kan PCC aktivere funksjoner som Live Translate uten å dele kontinuerlige registreringsdata med tjenesteleverandører, inkludert Google. PCC er en del av Protected Computing, et verktøysett med teknologier som transformerer hvordan, når og hvor data behandles for å teknisk sikre personvernet og sikkerheten.

Private Compute Core er en virtuell sandkasse

Nå som vi har det grunnleggende nede, hva nøyaktig er PCC? Google har nå gitt noen tekniske detaljer om sin arkitektur og hvordan den eksisterer i sin egen isolerte virtuelle sandkasse. Funksjoner kan kjøres inne i sandkassen og behandle OS-nivå eller omgivelsesdata, og resultatene vises til brukeren enten via det pålitelige operativsystemet eller gjennom tilgangskontrollert åpen kildekode-rammeverk APIer.

I hovedsak er det en sandkasse for funksjoner som kan behandle sensitiv informasjon. Smart Reply skanner åpenbart meldingene dine, mens Live Caption lytter til det som spilles av. Now Playing lytter også til lyd rundt deg. Disse funksjonene er plassert inne i Android System Intelligence, og den er utelukkende avhengig av PCS for tilkoblinger utenfor denne sandkassen. PCS tillater følgende:

  • Forent læring og forent analyse
  • Privat informasjonsinnhenting (PIR)
  • HTTPS-transport kun for nedlasting

For eksempel, når du skriver inn en samtale, forklarer Google at Gboard vil be Smart Reply om å komme med forslag basert på samtalen på skjermen. Smart Reply behandler deretter samtalen i PCC sikkert og konfidensielt. Sensitive data deles ikke med appen, tastaturet eller Google, og alt Gboard får som svar er en liste over foreslåtte svar.

Alt som behandles inne i Compute Core kan også bare få tilgang til nettverket ved å samhandle med PCS, som stripper ut identifiserer informasjon og bruker personvernteknologier, inkludert Federated Learning, Federated Analytics og Private Informasjonsinnhenting. Dette abstraherer internettilkoblingstillatelsen borte fra sensitive funksjoner og vil bare fungere gjennom "veldig smale, målrettede APIer" for å gjøre ting som "laste ned modeller, bruke forent læring og mer."

Men er PCC aktiv på Android-smarttelefoner på den måten som Google har forklart at den vil være? Ingen kan si. Magefølelsen min er at "utviklingsforhåndsvisningen" eksisterer for veldig spesifikk funksjonalitet og ingenting mer, siden den annonseres som aktiv selv på den offisielle Android 12-nettsiden. Dette vil også være fornuftig hvis det er grunnen til at det ikke har vært åpen kildekode ennå, da det ser ut til at det bare fungerer for et sett med proprietære Google-funksjoner. Dette støttes ytterligere av det faktum at Now Playing kan omgå mikrofonindikatoren fordi den går gjennom Compute Core.

Data som er lagret og behandlet i denne sandkassen, eksponeres ikke for andre apper med mindre brukeren sier noe annet. For eksempel vil et Smartsvar-forslag forbli skjult fra tastaturet og appen du skriver inn til du trykker på det. PCS bygger ikke bare bro over gapet mellom PCC og smarttelefonen din, men holder også disse funksjonene oppdatert med nye AI-baserte modeller og endringer.

Hvordan Smart Reply, Live Caption og Screen Attention fungerer

Google har skissert i den tekniske hvitboken den ga ut hvordan tre funksjoner i Android System Intelligence fungerer i sammenheng med PCC.

Smart svar

Smartsvar foreslår raske svar på meldinger basert på tidligere og nåværende innhold på skjermen. Android System Intelligence trekker ut relevante enheter fra apper som adresser, navn og annen informasjon, og tilbyr dem deretter til brukeren som forslag. Disse forslagene er muliggjort via PCC. Google tar følgende trinn for å implementere funksjonen trygt og sikkert.

  • Bruker Content Capture API som en datakilde, som er en Android Framework API med tilgangsbegrensninger.
  • Brukere og apputviklere kan velge bort Smart Replies.
  • Enhetsadministratorer kan deaktivere denne funksjonen ved å bruke en policy som deaktiverer skjermfangst.
  • Brukere kan spesifikt tillate at dataene forlater PCC.
    • Ingen data forlater PCC-grensen på gjengivelsestidspunktet ettersom de bruker et delegert brukergrensesnitt via et spesifikt Android Framework API.
    • Kandidatfiltrering etter input er deaktivert etter en rekke tastetrykk på grunn av tastaturets evne til å finne hvor mange kandidatsvar som vises.
    • Data lagres i kort tid i PCC, noe som betyr at forslag er basert på nylig observert data
    • Data hentes kun fra apper som PCC forstår å lese fra, muliggjort av en godkjenningsliste i systemet
  • Bruker PCS APIer for nettverkstilgang
    • ML-modeller er ikke-brukerspesifikke
    • Analyse utføres gjennom forent analyse med sikker aggregering

Direktetekst

Live Caption gir bildetekster for alt innhold som spilles av på smarttelefonen din, behandler all lyd og viser en transkripsjon i et AOSP-gjengitt brukergrensesnitt. Dataene er ikke tilgjengelige for apper. Google tar følgende trinn for å implementere funksjonen trygt og sikkert.

  • Bruker Android Audio APIer som en datakilde, som er en Android Framework API med tilgangsbegrensninger.
  • Denne funksjonen må aktiveres av brukeren og er ikke aktivert som standard.
  • Data forlater ikke PCC og gjengis bare i en systemoverflate
    • Det vises ved hjelp av et overlegg tegnet ved hjelp av Window Manager API
    • Data lagres i en kort tidsperiode i PCC
  • Bruker PCS APIer for nettverkstilgang
    • Modelloppdateringer er ikke-brukerspesifikke

Skjermoppmerksomhet

Skjermoppmerksomhet holder skjermen aktiv mens brukeren ser på telefonen sin hvis de ser på den når skjermdimming er planlagt å skje. Hvis et ansikt oppdages, blir dimmingen utsatt. Google tar følgende trinn for å implementere funksjonen på en sikker måte.

  • Bruker Android Audio APIer som en datakilde, som er en Android Framework API med tilgangsbegrensninger
  • Denne funksjonen må aktiveres av brukeren og er ikke aktivert som standard
  • Data forlater ikke PCC og behandles kun innenfor PCC og OS gjennom AttentionManagerService Framework API. Data lagres kun i en kort periode
  • Bruker ingen av nettverksmulighetene. Modeller oppdateres kun via APK

Er Private Compute Core en Pixel-eksklusiv?

Det er her ting blir veldig komplisert.

PCC har aldri blitt eksplisitt markedsført som en Pixel-eksklusiv funksjon. Det er på den offisielle Android-nettsiden, og Google snakker om PCC i forbindelse med Android - ikke i sammenheng med piksler. Når det er sagt, var monet teknisk sett en Pixel-eksklusiv på et tidspunkt. Den eneste forskjellen er at Google sa at monet ville bli presset til AOSP i en fremtidig utgivelse av Android, og nå kan OEM-er implementere det selv. Ordlyden i forhold til PCC er imidlertid tvetydig og refererer vagt til "funksjoner levert av Android System Intelligence som implementert i Pixel og potensielt andre enheter for Android 12."

Fra det jeg kan forstå, ser det ut til at Android System Intelligence i det minste er i bruk på andre enheter. Min Samsung Galaxy S22 Ultra har Android System Intelligence installert, men det er ikke helt klart om den implementerer funksjonene som Google snakker om gjennom Private Compute Core.

Private Compute Core gir mye mening for bedriftsbrukere

Vi vil gjerne at Google gjør informasjon lettere tilgjengelig i forhold til PCC og hvordan den beskytter brukernes personvern, spesielt i forhold til andre enheter. Er PCC en Pixel-eksklusiv? Kan andre OEM-er implementere det? For øyeblikket er det vanskelig å si, selv om tanken bak er god. Det kan også være en nyttig ressurs for å beskytte smarttelefonbrukere, spesielt de som kan bruke deres enheter for bedrifter, men forstyrres av mer "invasive" funksjoner som Now Playing og Smart Svare.

Det andre aspektet å vurdere er om nye funksjoner vil bli introdusert over tid. Selv om de åpenbart kan være det, ser det ikke ut som (fra hvitboken) noe nytt virkelig har kommet til PCC på et år. Selv om ikke alt trenger å bli rutet gjennom det hvis det ikke trenger å være det, vil brukere åpenbart foretrekke å ha dataene sine beskyttet når det kan være.