Android 12 je s seboj prinesel ogromno novih funkcij, ena najbolj skrivnostnih pa je Private Compute Core (PCC). To je v bistvu kraj, kjer se občutljivi podatki lahko obdelujejo v napravi, stran od mesta, kjer se dogaja vse ostalo. Poganja ekskluzivne funkcije Google Pixel 6, kot so Now Playing, Live Caption in Smart Reply, vendar dolgo časa ni bilo veliko informacij o tem, kako deluje. Prisiljeni smo bili ugibati in poskušati ugotoviti sami.
Google je rekel že dolgo nazaj, da bi odprl kodo za zasebne računalniške storitve (PCS), da bi jo neodvisni varnostni raziskovalci lahko revidirali. To končno izdal to kodo konec leta 2022, poleg tehnične bele knjige, ki podrobno opisuje, kako deluje. Private Compute Services naj bi zagotavljal most za ohranjanje zasebnosti med PCC in oblakom, kar možno je dostaviti nove modele AI in druge posodobitve za funkcije strojnega učenja v peskovniku prek varnega pot. Google pravi, da komunikacija med funkcijami in PCS poteka preko nabora namenskih odprtokodnih API-jev, ki odstranjujejo identifikacijske podatke iz podatkov in uporabljajo tehnologije za zasebnost, kot je
Google je po lastnih besedah povedal tole:
[PCC] je varno, izolirano okolje za obdelavo podatkov znotraj operacijskega sistema Android ki vam omogoča nadzor nad podatki v notranjosti, na primer odločanje o tem, ali, kako in kdaj jih delite z drugi. Na ta način lahko PCC omogoči funkcije, kot je Live Translate, ne da bi podatke o neprekinjenem zaznavanju delil s ponudniki storitev, vključno z Googlom. PCC je del zaščitenega računalništva, nabora tehnologij, ki spreminjajo, kako, kdaj in kje se obdelujejo podatki, da se tehnično zagotovi njihova zasebnost in varnost.
Private Compute Core je virtualni peskovnik
Zdaj, ko imamo osnove, kaj točno je PCC? Google je zdaj podal nekaj tehničnih podrobnosti o svoji arhitekturi in o tem, kako obstaja v lastnem izoliranem virtualnem peskovniku. Funkcije se lahko izvajajo znotraj tega peskovnika in obdelujejo podatke na ravni OS ali okolja, rezultati pa so prikazani uporabnik prek zaupanja vrednega operacijskega sistema ali prek odprtokodnega ogrodja z nadzorovanim dostopom API-ji.
V bistvu je to peskovnik za funkcije, ki lahko obdelujejo občutljive podatke. Pametni odgovor očitno pregleda vaša sporočila, medtem ko Live Caption posluša vse, kar se predvaja. Funkcija Now Playing posluša tudi zvok okoli vas. Te funkcije so nameščene znotraj sistema Android System Intelligence in se za povezave zunaj tega peskovnika zanaša izključno na PCS. PCS omogoča naslednje:
- Zvezno učenje in zvezna analitika
- Pridobivanje zasebnih informacij (PIR)
- HTTPS prenos samo za prenos
Na primer, ko tipkate v pogovoru, Google pojasnjuje, da bo Gboard od pametnega odgovora zahteval, da poda predloge na podlagi pogovora na zaslonu. Pametni odgovor nato varno in zaupno obdela pogovor v PCC. Občutljivi podatki se ne delijo z aplikacijo, tipkovnico ali Googlom in vse, kar Gboard prejme v odgovor, je seznam predlaganih odgovorov.
Vse, kar je obdelano znotraj Compute Core, lahko dostopa do omrežja samo z interakcijo s PCS, ki odstrani prepoznavanje informacij in uporablja tehnologije zasebnosti, vključno z zveznim učenjem, zvezno analitiko in zasebno Pridobivanje informacij. To abstrahira dovoljenje za internetno povezavo stran iz občutljivih funkcij in bo deloval samo prek "zelo ozkih, namenskih API-jev" za stvari, kot so "prenos modelov, uporaba zveznega učenja in drugo."
Toda ali je PCC aktiven na pametnih telefonih Android na način, kot je pojasnil Google, da bo? Nihče ne more reči. Moj občutek je, da "predogled razvoja" obstaja za zelo specifično funkcionalnost in nič več, saj se oglašuje kot aktivna celo na uradni spletni strani Android 12. To bi bilo tudi smiselno, če zato še ni bil odprtokoden, saj se zdi, da morda deluje samo za nabor lastniških Googlovih funkcij. To dodatno podpira dejstvo, da lahko funkcija Now Playing obide indikator mikrofona, ker teče skozi Compute Core.
Podatki, shranjeni in obdelani v tem peskovniku, niso izpostavljeni drugim aplikacijam, razen če uporabnik reče drugače. Na primer, predlog pametnega odgovora bo ostal skrit pred vašo tipkovnico in aplikacijo, v katero vnašate, dokler se ga ne dotaknete. PCS ne le premosti vrzel med PCC in vašim pametnim telefonom, temveč tudi posodablja te funkcije z novimi modeli in spremembami, ki temeljijo na AI.
Kako delujejo Smart Reply, Live Caption in Screen Attention
Google je v tehnični beli knjigi, ki jo je objavil, opisal, kako tri funkcije sistemske inteligence Android delujejo v kontekstu PCC.
Pametni odgovor
Pametni odgovor predlaga hitre odgovore na sporočila na podlagi prejšnje in trenutne vsebine na zaslonu. Android System Intelligence iz aplikacij izvleče ustrezne entitete, kot so naslovi, imena in drugi deli informacij, ter jih nato ponudi uporabniku kot predloge. Te predloge omogoča PCC. Google naredi naslednje korake za varno in zanesljivo implementacijo funkcije.
- Kot vir podatkov uporablja API za zajemanje vsebine, ki je API ogrodja Android z omejitvami dostopa.
- Uporabniki in razvijalci aplikacij lahko onemogočijo pametne odgovore.
- Skrbniki naprav lahko onemogočijo to funkcijo z uporabo pravilnika, ki onemogoči zajem zaslona.
- Uporabniki lahko posebej dovolijo, da podatki zapustijo PCC.
- V času upodabljanja noben podatek ne zapusti meje PCC, saj uporablja delegirani uporabniški vmesnik prek določenega API-ja ogrodja Android.
- Filtriranje kandidatov po vnosu je onemogočeno po nizu pritiskov tipk zaradi zmožnosti tipkovnice, da pridobi, koliko odgovorov kandidatov je prikazanih.
- Podatki se v PCC hranijo kratek čas, kar pomeni, da predlogi temeljijo na nedavno opaženih podatkih
- Podatki se pridobijo samo iz aplikacij, iz katerih PCC razume, kako brati, kar omogoča seznam dovoljenih v sistemu
- Za dostop do omrežja uporablja API-je PCS
- Modeli ML niso specifični za uporabnika
- Analitika se izvaja prek zvezne analitike z varnim združevanjem
Live Caption
Live Caption ponuja podnapise za katero koli vsebino, ki se trenutno predvaja na vašem pametnem telefonu, obdeluje ves zvok in prikazuje prepis v uporabniškem vmesniku, upodobljenem z AOSP. Podatki niso dostopni aplikacijam. Google naredi naslednje korake za varno in zanesljivo implementacijo funkcije.
- Kot vir podatkov uporablja API-je Android Audio, ki je API ogrodja Android z omejitvami dostopa.
- To funkcijo mora omogočiti uporabnik in ni privzeto omogočena.
- Podatki ne zapustijo PCC in so upodobljeni le na površini sistema
- Prikazano je s prekrivanjem, narisanim z API-jem Window Manager
- Podatki se v PCC hranijo kratek čas
- Za dostop do omrežja uporablja API-je PCS
- Posodobitve modela niso specifične za uporabnika
Zaslon Pozor
Screen Attention ohranja zaslon aktiven, medtem ko uporabnik gleda v svoj telefon, če ga gleda, ko je načrtovana zatemnitev zaslona. Če je zaznan obraz, se zatemnitev odloži. Google naredi naslednje korake za varno implementacijo funkcije.
- Kot vir podatkov uporablja API-je Android Audio, ki je API ogrodja Android z omejitvami dostopa
- To funkcijo mora omogočiti uporabnik in ni privzeto omogočena
- Podatki ne zapustijo PCC in se obdelujejo samo znotraj PCC in OS prek AttentionManagerService Framework API. Podatki se hranijo le kratek čas
- Ne uporablja nobene omrežne zmogljivosti. Modeli se posodabljajo samo prek APK-ja
Ali je Private Compute Core ekskluzivni Pixel?
Tukaj se stvari res zapletejo.
PCC ni bil nikoli izrecno tržen kot ekskluzivna funkcija za Pixel. To je na uradni spletni strani Android in Google govori o PCC v kontekstu Androida - ne v kontekstu Pixelov. Ob tem je bil monet na neki točki tehnično ekskluziven za Pixel. Edina razlika je v tem, da je Google rekel, da bo monet potisnjen v AOSP v prihodnji izdaji Androida, zdaj pa ga lahko proizvajalci originalne opreme implementirajo sami. Vendar je besedilo v zvezi s PCC dvoumno in se nejasno sklicuje na "značilnosti zagotavlja Android System Intelligence, kot je implementirano v Pixel in potencialno druge naprave za Android 12."
Kolikor lahko ugotovim, se zdi, da se sistemska inteligenca Android uporablja vsaj v drugih napravah. Moj Samsung Galaxy S22 Ultra ima nameščen sistem Android System Intelligence, čeprav ni povsem jasno, ali izvaja te funkcije, o katerih Google govori prek zasebnega računalniškega jedra.
Private Compute Core je zelo smiseln za poslovne uporabnike
Radi bi, da bi Google omogočil boljšo dostopnost informacij v zvezi s PCC in kako ščiti zasebnost uporabnikov, zlasti glede tega, kako se nanaša na druge naprave. Ali je PCC izključno Pixel? Ali ga lahko izvajajo drugi proizvajalci originalne opreme? Trenutno težko rečem, čeprav je ideja dobra. Lahko je koristno sredstvo tudi pri zaščiti uporabnikov pametnih telefonov, zlasti tistih, ki morda uporabljajo svoje naprave za podjetja, vendar jih motijo bolj "invazivne" funkcije, kot sta Now Playing in Smart Odgovori.
Drugi vidik, ki ga je treba upoštevati, je, ali bodo sčasoma uvedene nove funkcije. Čeprav so očitno lahko, ni videti, da bi (vsaj iz bele knjige) v PCC v enem letu res prišlo kaj novega. Čeprav ni treba vsega preusmeriti prek njega, če ni treba, bodo uporabniki očitno raje zaščitili svoje podatke, ko bo to mogoče.