Android 12 priniesol so sebou množstvo nových funkcií a jednou z najzáhadnejších je Private Compute Core (PCC). Je to v podstate miesto, kde je možné spracovávať citlivé údaje na zariadení, mimo miesta, kde sa deje všetko ostatné. Poháňa exkluzívne funkcie Google Pixel 6, ako sú Now Playing, Live Caption a Smart Reply, ale dlho nebolo veľa informácií o tom, ako to funguje. Boli sme nútení hádať a pokúsiť sa na to prísť sami.
Povedal Google už dávno, že by open source kód pre Private Compute Services (PCS), aby ho mohli auditovať nezávislí výskumníci v oblasti bezpečnosti. to konečne uvoľnil ten kód na konci roka 2022 spolu s technickou bielou knihou s podrobnosťami o tom, ako to funguje. Hovorí sa, že Private Compute Services poskytuje most medzi PCC a cloudom na ochranu súkromia je možné dodávať nové modely AI a ďalšie aktualizácie funkcií strojového učenia v karanténe cez bezpečnú cesta. Google hovorí, že komunikácia medzi funkciami a PCS prebieha cez súbor účelových API s otvoreným zdrojovým kódom, ktoré odstraňujú identifikačné informácie z údajov a používajú technológie na ochranu osobných údajov, ako sú
Federované vzdelávanie, Federated Analytics a získavanie súkromných informácií.Google podľa vlastných slov povedal toto:
[PCC] je bezpečné, izolované prostredie na spracovanie údajov v rámci operačného systému Android to vám dáva kontrolu nad údajmi vo vnútri, ako je napríklad rozhodovanie, či, ako a kedy sa s nimi budú zdieľať iní. Týmto spôsobom môže PCC povoliť funkcie ako Live Translate bez zdieľania údajov nepretržitého snímania s poskytovateľmi služieb vrátane spoločnosti Google. PCC je súčasťou Protected Computing, súboru nástrojov technológií, ktoré transformujú, ako, kedy a kde sa údaje spracúvajú, aby sa technicky zabezpečilo ich súkromie a bezpečnosť.
Private Compute Core je virtuálny sandbox
Teraz, keď máme základy, čo presne tak je PCC? Google teraz poskytol niektoré technické podrobnosti o svojej architektúre a o tom, ako existuje vo svojom vlastnom izolovanom virtuálnom pieskovisku. Funkcie môžu bežať v tejto karanténe a spracovávať údaje na úrovni operačného systému alebo okolité údaje a výsledky sa zobrazia používateľa buď prostredníctvom dôveryhodného operačného systému alebo prostredníctvom rámca otvoreného zdroja s riadeným prístupom API.
V podstate ide o pieskovisko pre funkcie, ktoré môžu spracovávať citlivé informácie. Funkcia Smart Reply samozrejme skenuje vaše správy, zatiaľ čo živý prepis počúva všetko, čo sa práve prehráva. Funkcia Now Playing tiež počúva zvuk okolo vás. Tieto funkcie sú uložené vo vnútri systému Android System Intelligence a pri pripojení mimo tejto karantény sa spolieha výlučne na PCS. PCS umožňuje nasledovné:
- Združené vzdelávanie a federatívna analytika
- Získavanie súkromných informácií (PIR)
- Prenos HTTPS iba na stiahnutie
Napríklad pri zadávaní konverzácie Google vysvetľuje, že Gboard požiada inteligentnú odpoveď, aby vytvorila návrhy na základe konverzácie na obrazovke. Smart Reply potom spracuje konverzáciu v PCC bezpečne a dôverne. Citlivé údaje sa nezdieľajú s aplikáciou, klávesnicou ani Googlom a všetko, čo Gboard dostane ako odpoveď, je zoznam navrhovaných odpovedí.
Čokoľvek spracované vo vnútri Compute Core môže tiež pristupovať k sieti iba prostredníctvom interakcie s PCS, ktoré sa odstráni identifikuje informácie a používa technológie ochrany osobných údajov vrátane Federated Learning, Federated Analytics a Private Získavanie informácií. Toto abstrahuje povolenie na pripojenie k internetu preč z citlivých funkcií a bude fungovať iba prostredníctvom „veľmi úzkych, účelných rozhraní API“ na vykonávanie vecí ako „sťahovanie modelov, používanie federatívneho učenia a ďalšie“.
Je však PCC aktívny na smartfónoch s Androidom tak, ako to Google vysvetlil? Nikto nemôže povedať. Mám pocit, že „ukážka vývoja“ existuje pre veľmi špecifickú funkčnosť a nič viac, pretože je propagovaná ako aktívna dokonca na oficiálnej webovej stránke Android 12. To by tiež dávalo zmysel, ak je to dôvod, prečo to ešte nebolo otvorené, pretože sa zdá, že to môže fungovať iba pre súbor vlastných funkcií Google. To je ďalej podporené skutočnosťou, že funkcia Now Playing môže obísť indikátor mikrofónu, pretože prechádza cez Compute Core.
Údaje uložené a spracované v tejto karanténe nie sú vystavené iným aplikáciám, pokiaľ používateľ nepovie inak. Napríklad návrh inteligentnej odpovede zostane skrytý pred klávesnicou a aplikáciou, do ktorej píšete, kým naň neklepnete. PCS nielen premosťuje priepasť medzi PCC a vaším smartfónom, ale tiež aktualizuje tieto funkcie pomocou nových modelov a zmien založených na AI.
Ako fungujú inteligentné odpovede, živé prepisy a pozornosť na obrazovke
Spoločnosť Google načrtla v technickej bielej knihe, ktorú zverejnila, ako fungujú tri funkcie systému Android System Intelligence v kontexte PCC.
Rýchla odpoveď
Smart Reply navrhuje rýchle odpovede na správy na základe predchádzajúceho a aktuálneho obsahu na obrazovke. Android System Intelligence extrahuje relevantné entity z aplikácií, ako sú adresy, mená a ďalšie informácie, a potom ich ponúka používateľovi ako návrhy. Tieto návrhy sú možné prostredníctvom PCC. Google podniká nasledujúce kroky na bezpečnú a zabezpečenú implementáciu funkcie.
- Používa Content Capture API ako zdroj údajov, čo je rozhranie Android Framework API s obmedzeniami prístupu.
- Používatelia a vývojári aplikácií sa môžu odhlásiť z inteligentných odpovedí.
- Správcovia zariadení môžu túto funkciu zakázať pomocou zásady, ktorá zakáže snímanie obrazovky.
- Používatelia môžu špecificky povoliť, aby dáta opustili PCC.
- V čase vykresľovania neopúšťajú hranice PCC žiadne údaje, pretože používa delegované používateľské rozhranie prostredníctvom špecifického rozhrania Android Framework API.
- Filtrovanie kandidátov podľa vstupu je vypnuté po sérii stlačení klávesov kvôli schopnosti klávesnice získať, koľko kandidátskych odpovedí sa zobrazí.
- Údaje sa v PCC uchovávajú na krátky čas, čo znamená, že návrhy sú založené na údajoch pozorovaných nedávno
- Údaje sa získavajú iba z aplikácií, ktorým PCC rozumie, ako z nich čítať, čo umožňuje zoznam povolených v systéme
- Používa PCS API na sieťový prístup
- Modely ML nie sú špecifické pre používateľa
- Analýza sa vykonáva prostredníctvom združenej analýzy so zabezpečenou agregáciou
Živý prepis
Živé prepisy poskytujú titulky pre akýkoľvek obsah, ktorý sa práve prehráva na vašom smartfóne, spracováva všetok zvuk a zobrazuje prepis v používateľskom rozhraní vykreslenom pomocou AOSP. Údaje nie sú prístupné aplikáciám. Google podniká nasledujúce kroky na bezpečnú a zabezpečenú implementáciu funkcie.
- Ako zdroj údajov používa rozhrania Android Audio API, čo je rozhranie Android Framework API s obmedzeniami prístupu.
- Túto funkciu musí povoliť používateľ a v predvolenom nastavení nie je povolená.
- Dáta neopúšťajú PCC a sú vykresľované iba na povrchu systému
- Zobrazuje sa pomocou prekrytia nakresleného pomocou rozhrania API správcu okien
- Údaje sa v PCC uchovávajú na krátky čas
- Používa PCS API na sieťový prístup
- Aktualizácie modelu nie sú špecifické pre používateľa
Pozor na obrazovku
Screen Attention udržuje displej aktívny, keď sa používateľ pozerá na svoj telefón, ak sa naň pozerá, keď je naplánované stlmenie obrazovky. Ak sa rozpozná tvár, stmavenie sa odloží. Google podniká nasledujúce kroky na bezpečnú implementáciu funkcie.
- Ako zdroj údajov používa rozhrania Android Audio API, čo je rozhranie Android Framework API s obmedzeniami prístupu
- Túto funkciu musí povoliť používateľ a v predvolenom nastavení nie je povolená
- Údaje neopúšťajú PCC a spracúvajú sa iba v rámci PCC a OS prostredníctvom rozhrania AttentionManagerService Framework API. Údaje sa uchovávajú iba na krátky čas
- Nevyužíva žiadnu zo sieťových možností. Modely sa aktualizujú iba prostredníctvom súboru APK
Je Private Compute Core iba Pixel?
Tu sa veci poriadne skomplikujú.
PCC nebolo nikdy výslovne uvádzané na trh ako funkcia exkluzívna pre Pixel. Je to na oficiálnej webovej stránke Android a Google hovorí o PCC v kontexte Androidu – nie v kontexte Pixelov. Napriek tomu bol monet v jednom bode technicky exkluzívny pre Pixel. Jediný rozdiel je v tom, že Google povedal, že monet bude presunutý do AOSP v budúcom vydaní systému Androida teraz to môžu implementovať sami výrobcovia OEM. Znenie vo vzťahu k PCC je však nejednoznačné a obsahuje vágny odkaz na „vlastnosti poskytovaný službou Android System Intelligence, ako je implementovaný v zariadení Pixel a potenciálne v iných zariadeniach Android 12."
Z toho, čo môžem zhromaždiť, by sa zdalo, že prinajmenšom sa na iných zariadeniach používa systémová inteligencia Android. Môj Samsung Galaxy S22 Ultra má nainštalovaný systém Android System Intelligence, aj keď nie je úplne jasné, či implementuje tie funkcie, o ktorých Google hovorí prostredníctvom Private Compute Core.
Private Compute Core dáva veľký zmysel pre podnikových používateľov
Boli by sme radi, keby spoločnosť Google sprístupnila informácie v súvislosti s PCC a o tom, ako chráni súkromie používateľov, najmä v súvislosti s inými zariadeniami. Je PCC exkluzívne pre Pixel? Môžu to implementovať iní OEM? V súčasnosti ťažko povedať, aj keď myšlienka za tým je dobrá. Môže byť užitočným prínosom aj pri ochrane používateľov smartfónov, najmä tých, ktorí ich môžu používať zariadenia pre podniky, ale vyrušujú ich „invazívnejšie“ funkcie, ako sú Now Playing a Smart Odpovedzte.
Ďalším aspektom, ktorý je potrebné zvážiť, je to, či sa časom zavedú nové funkcie. Aj keď očividne môžu byť, nevyzerá to tak, že by (v každom prípade z bielej knihy) na PCC za rok skutočne prišlo niečo nové. Aj keď nie všetko musí byť smerované cez ňu, ak to nie je potrebné, používatelia budú samozrejme uprednostňovať ochranu svojich údajov, keď to bude možné.