Android 12 förde med sig massor av nya funktioner, och en av de mest mystiska är Private Compute Core (PCC). Det är i huvudsak en plats där känslig information kan behandlas på enheten, bort från där allt annat händer. Den driver exklusiva funktioner för Google Pixel 6 som Now Playing, Live Caption och Smart Reply, men under lång tid fanns det inte mycket information om hur det fungerar. Vi var tvungna att gissa och försöka lista ut det själva.
sa Google för länge sedan att det skulle öppna koden för Private Compute Services (PCS) så att oberoende säkerhetsforskare kunde granska den. Det äntligen släppte den koden i slutet av 2022, tillsammans med en teknisk vitbok som beskriver hur det fungerar. Private Compute Services sägs ge en integritetsbevarande bro mellan PCC och molnet, vilket gör det är möjligt att leverera nya AI-modeller och andra uppdateringar av maskininlärningsfunktioner i sandlåde över en säker väg. Google säger att kommunikation mellan funktioner och PCS sker via en uppsättning ändamålsenliga API: er med öppen källkod, som tar bort identifierande information från data och tillämpar sekretesstekniker som
Google, med sina egna ord, hade detta att säga:
[PCC] är en säker, isolerad databehandlingsmiljö inuti Android-operativsystemet som ger dig kontroll över data inuti, som att bestämma om, hur och när den delas med andra. På så sätt kan PCC aktivera funktioner som Live Translate utan att dela kontinuerlig avkänningsdata med tjänsteleverantörer, inklusive Google. PCC är en del av Protected Computing, en verktygslåda med teknologier som förändrar hur, när och var data bearbetas för att tekniskt säkerställa dess integritet och säkerhet.
Private Compute Core är en virtuell sandlåda
Nu när vi har grunderna nere, vad exakt är PCC? Google har nu gett några tekniska detaljer om sin arkitektur och hur den finns i sin egen isolerade virtuella sandlåda. Funktioner kan köras inuti den sandlådan och bearbeta OS-nivå eller omgivande data, och resultaten visas användaren via antingen det betrodda operativsystemet eller genom åtkomstkontrollerat ramverk med öppen källkod API: er.
I huvudsak är det en sandlåda för funktioner som kan behandla känslig information. Smart Reply skannar uppenbarligen dina meddelanden, medan Live Caption lyssnar på allt som spelas. Now Playing lyssnar också på ljud omkring dig. Dessa funktioner finns inuti Android System Intelligence, och den förlitar sig enbart på PCS för anslutningar utanför denna sandlåda. PCS tillåter följande:
- Federated learning och federated analytics
- Privat informationshämtning (PIR)
- HTTPS-överföring endast för nedladdning
Till exempel, när du skriver i en konversation, förklarar Google att Gboard kommer att be Smart Reply att ge förslag baserat på konversationen på skärmen. Smart Reply behandlar sedan konversationen i PCC säkert och konfidentiellt. Känsliga data delas inte med appen, tangentbordet eller Google, och allt Gboard får som svar är en lista med föreslagna svar.
Allt som bearbetas inuti Compute Core kan också bara komma åt nätverket genom att interagera med PCS, som tas bort identifierar information och använder integritetstekniker, inklusive Federated Learning, Federated Analytics och Private Informationsinhämtning. Detta tar bort behörigheten för internetanslutning bort från känsliga funktioner och fungerar bara genom "mycket smala, ändamålsenliga API: er" för att göra saker som "ladda ner modeller, använda federerad inlärning och mer."
Men är PCC aktiv på Android-smarttelefoner på det sätt som Google har förklarat att det kommer att vara? Ingen kan säga. Min magkänsla är att "utvecklingsförhandsgranskningen" finns för mycket specifik funktionalitet och inget mer, eftersom den annonseras som aktiv även på den officiella Android 12-webbplatsen. Detta skulle också vara vettigt om det är därför det inte har varit öppen källkod ännu, eftersom det verkar som att det bara kan fungera för en uppsättning proprietära Google-funktioner. Detta stöds ytterligare av det faktum att Now Playing kan kringgå mikrofonindikatorn eftersom den går genom Compute Core.
Data som lagras och bearbetas i denna sandlåda exponeras inte för andra appar om inte användaren säger något annat. Till exempel kommer ett smartsvarsförslag att förbli dolt från ditt tangentbord och appen du skriver in tills du trycker på det. PCS överbryggar inte bara klyftan mellan PCC och din smartphone utan håller också dessa funktioner uppdaterade med nya AI-baserade modeller och ändringar.
Hur Smart Reply, Live Caption och Screen Attention fungerar
Google har beskrivit i den tekniska vitbok som släpptes hur tre funktioner i Android System Intelligence fungerar i PCC-sammanhang.
Smart svar
Smart Reply föreslår snabba svar på meddelanden baserat på tidigare och aktuellt innehåll på skärmen. Android System Intelligence extraherar relevanta enheter från appar som adresser, namn och annan information och erbjuder dem sedan till användaren som förslag. Dessa förslag görs möjliga via PCC. Google vidtar följande steg för att implementera funktionen säkert och säkert.
- Använder Content Capture API som en datakälla, vilket är ett Android Framework API med begränsningar för åtkomst.
- Användare och apputvecklare kan välja bort Smart Replies.
- Enhetsadministratörer kan inaktivera den här funktionen genom att använda en policy som inaktiverar skärmdump.
- Användare kan specifikt tillåta att data lämnar PCC.
- Ingen data lämnar PCC-gränsen vid renderingstidpunkten eftersom den använder ett delegerat användargränssnitt via ett specifikt Android Framework API.
- Kandidatfiltrering genom inmatning avaktiveras efter en serie tangenttryckningar på grund av tangentbordets förmåga att få fram hur många kandidatsvar som visas.
- Data lagras under en kort tid i PCC, vilket innebär att förslagen baseras på nyligen observerade data
- Data erhålls endast från appar som PCC förstår hur man läser från, möjliggjort av en godkännandelista i systemet
- Använder PCS API: er för nätverksåtkomst
- ML-modeller är icke-användarspecifika
- Analys utförs genom federerad analys med säker aggregering
Live Caption
Live Caption tillhandahåller bildtexter för allt innehåll som för närvarande spelas på din smartphone, bearbetar allt ljud och visar en transkription i ett AOSP-renderat användargränssnitt. Datan är inte tillgänglig för appar. Google vidtar följande steg för att implementera funktionen säkert och säkert.
- Använder Android Audio API: er som en datakälla, vilket är ett Android Framework API med begränsningar för åtkomst.
- Denna funktion måste aktiveras av användaren och är inte aktiverad som standard.
- Data lämnar inte PCC: n och återges endast i en systemyta
- Den visas med hjälp av en överlägg som ritats med Window Manager API
- Data lagras under en kort tidsperiod i PCC
- Använder PCS API: er för nätverksåtkomst
- Modelluppdateringar är icke användarspecifika
Skärmuppmärksamhet
Skärmuppmärksamhet håller skärmen aktiv medan användaren tittar på sin telefon om de tittar på den när skärmens nedtoning är schemalagd. Om ett ansikte upptäcks, skjuts nedtoningen upp. Google vidtar följande steg för att implementera funktionen på ett säkert sätt.
- Använder Android Audio API: er som en datakälla, vilket är ett Android Framework API med begränsningar för åtkomst
- Denna funktion måste aktiveras av användaren och är inte aktiverad som standard
- Data lämnar inte PCC: n och bearbetas endast inom PCC: n och operativsystemet via AttentionManagerService Framework API. Data lagras endast under en kort tidsperiod
- Använder inte någon av nätverksfunktionerna. Modeller uppdateras endast via APK
Är Private Compute Core en exklusiv Pixel?
Det är här saker och ting blir riktigt komplicerade.
PCC har aldrig uttryckligen marknadsförts som en Pixel-exklusiv funktion. Det finns på den officiella Android-webbplatsen, och Google pratar om PCC i Android-sammanhang – inte i Pixels-sammanhang. Med det sagt var monet tekniskt sett en Pixel-exklusiv vid ett tillfälle. Den enda skillnaden är att Google sa att monet skulle skjutas till AOSP i en framtida version av Android, och nu kan OEM-tillverkare implementera det själva. Formuleringen i förhållande till PCC är dock tvetydig och gör en vag hänvisning till "funktioner tillhandahålls av Android System Intelligence som implementerat i Pixel och eventuellt andra enheter för Android 12."
Vad jag kan förstå verkar det som om åtminstone Android System Intelligence används på andra enheter. Min Samsung Galaxy S22 Ultra har Android System Intelligence installerat, men om den implementerar de funktioner som Google pratar om via Private Compute Core är inte exakt klart.
Private Compute Core är mycket meningsfullt för företagsanvändare
Vi skulle älska att Google gör information mer lättillgänglig i relation till PCC och hur den skyddar användarnas integritet, särskilt i hur den relaterar till andra enheter. Är PCC en Pixel exklusiv? Kan andra OEM-tillverkare implementera det? I nuläget är det svårt att säga, även om tanken bakom är bra. Det kan också vara en användbar tillgång för att skydda smartphoneanvändare, särskilt de som kan använda deras enheter för företag men störs av mer "invasiva" funktioner som Now Playing och Smart Svar.
Den andra aspekten att överväga är om nya funktioner kommer att introduceras med tiden. Även om de uppenbarligen kan vara det, ser det inte ut som (från vitboken) något nytt verkligen har kommit till PCC på ett år. Även om inte allt behöver dirigeras genom det om det inte behöver vara det, föredrar användare uppenbarligen att ha sin data skyddad när det kan vara.