Публичный вызов: Apple открыла свой облачный ИИ для охоты на уязвимости

Теперь любой желающий может заглянуть внутрь системы и проверить её на прочность.


ikt7gtg183kfzp2g8crsmsdl5qwbbiqk.jpg


Компания Apple представила виртуальную исследовательскую среду (VRE) для публичного доступа к тестированию безопасности системы Private Cloud Compute (PCC). Кроме того, компания открыла исходный код некоторых ключевых компонентов для анализа исследователями, чтобы подтвердить надёжность архитектуры и её соответствие требованиям безопасности и конфиденциальности.

PCC представляет собой облачную систему для обработки данных с помощью искусственного интеллекта, обеспечивая их защиту с помощью сквозного шифрования. Это гарантирует, что данные, передаваемые с устройств Apple в PCC, остаются недоступными для компании и доступны только пользователю.

Ранее доступ к PCC был ограничен для отдельных исследователей и аудиторов, чтобы они могли проверить её соответствие заявленным стандартам конфиденциальности. Теперь любой желающий может исследовать эту систему и проверить её на заявленные параметры безопасности.

Вместе с VRE Apple опубликовала руководство по безопасности Private Cloud Compute, описывающее архитектуру системы и её ключевые компоненты. Виртуальная среда позволяет запускать узел PCC в виртуальной машине, исследовать программное обеспечение и выявлять уязвимости.

Исследователям доступен исходный код следующих компонентов:

  • CloudAttestation — отвечает за создание и проверку аттестаций узла PCC;
  • Thimble — включает демон privatecloudcomputed, который поддерживает прозрачность с использованием CloudAttestation;
  • splunkloggingd — фильтрует логи для предотвращения случайной утечки данных;
  • srd_tools — предоставляет инструменты для работы с VRE.
Apple также расширила программу вознаграждений за обнаружение уязвимостей, включив в неё новые категории для PCC. Максимальная премия составляет $1 млн за удалённое выполнение кода с привилегиями на основе данных пользовательского запроса. За раскрытие пользовательских данных можно получить до $250 000, а за атаки через сеть с повышенными привилегиями — от $50 000 до $150 000.

Компания заявляет, что рассматривает к вознаграждению любые проблемы, способные существенно повлиять на безопасность PCC, даже если они не соответствуют заявленным категориям.

Apple утверждает, что Private Cloud Compute представляет собой самую продвинутую архитектуру безопасности для облачных вычислений с применением ИИ, но надеется на помощь исследователей в её дальнейшем улучшении.