Во вторник компания Google анонсировала запуск Private AI Compute — технологии, предназначенной для обработки запросов к искусственному интеллекту в защищенной облачной платформе с сохранением уровня конфиденциальности, сопоставимого с обработкой на устройстве. Основная цель системы — предоставить пользователям доступ к «полной скорости и мощи облачных моделей Gemini», гарантируя при этом, что личные данные остаются приватными и недоступными для кого-либо, включая саму Google.
В основе архитектуры лежат тензорные процессоры Trillium (TPU) и анклавы безопасности Titanium Intelligence Enclaves (TIE). Вычислительные нагрузки на центральном процессоре и TPU, называемые доверенными узлами, выполняются в аппаратной доверенной среде исполнения (TEE) на базе AMD. Эта среда шифрует и изолирует память от основной хост-системы. Вся система централизована на платформе под внутренним названием Borg Prime.
Ключевым принципом работы является эфемерность. Входные данные, результаты работы модели и промежуточные вычисления удаляются сразу после завершения пользовательской сессии. Это означает, что даже в случае успешной атаки на систему злоумышленник не сможет восстановить данные из прошлых запросов. Доступ к рабочим нагрузкам со стороны администраторов полностью перекрыт, а сами узлы защищены от физических атак с целью извлечения данных.
Для обеспечения безопасности соединения между клиентом и сервером используется многоступенчатый процесс. Сначала клиент устанавливает зашифрованное соединение с внешним сервером по протоколу Noise. Затем стороны проводят двунаправленную аттестацию для подтверждения подлинности друг друга. Наконец, клиент проверяет подлинность сервера с помощью сквозной зашифрованной сессии Oak, чтобы убедиться, что он является подлинным и немодифицированным.
Система включает комплекс мер защиты. Применяется бинарная авторизация, гарантирующая запуск только подписанного и разрешенного кода. Данные пользователей изолируются в виртуальных машинах (VM) для сдерживания потенциальных угроз. Для аналитики используется технология Confidential Federated Compute, собирающая обобщенные данные без доступа к персональной информации. На аппаратном уровне применяются шифрование памяти и защита блоков управления памятью ввода-вывода (IOMMU) от физического извлечения данных.
Для повышения анонимности используются IP-блайдинг-ретрансляторы, управляемые сторонними организациями, которые скрывают реальный IP-адрес пользователя. Аутентификация отделена от процесса обработки запроса с помощью анонимных токенов (Anonymous Tokens), что усложняет сопоставление личности пользователя с его запросом. Прямой доступ к оболочке (shell access) на платформе TPU отсутствует.
Независимый аудит системы провела компания NCC Group в апреле и сентябре 2025 года. В ходе проверки была обнаружена уязвимость в компоненте IP-блайдинг-ретранслятора, связанная с временными задержками, которая теоретически могла позволить «раскрыть» пользователя. Google оценила этот риск как низкий, поскольку многопользовательский характер системы создает значительный «шум», затрудняющий корреляцию запроса с конкретным пользователем.
Также аудиторы выявили три проблемы в реализации механизма аттестации, которые потенциально могли привести к отказу в обслуживании (DoS) или другим протокольным атакам. Google подтвердила, что в настоящее время работает над устранением всех выявленных проблем.
В заключении NCC Group говорится: «Google надежно ограничила риск раскрытия пользовательских данных для непредусмотренной обработки или посторонних лиц, если только Google, как целостная организация, не решит поступить иначе». Аудиторы также отметили, что «пользователи получат выгоду от высокого уровня защиты от злонамеренных инсайдеров».
Эта разработка Google следует общему отраслевому тренду на создание облачных ИИ-систем с повышенной конфиденциальностью, аналогичных Private Cloud Compute (PCC) от Apple и Private Processing от М⃰.
Джей Ягник, вице-президент Google по инновациям и исследованиям в области ИИ, подтвердил, что удаленная аттестация и шифрование связывают устройство пользователя с защищенной аппаратной средой в облаке, гарантируя, что данные, обрабатываемые Private AI Compute, остаются доступными только самому пользователю.
Изображение носит иллюстративный характер
В основе архитектуры лежат тензорные процессоры Trillium (TPU) и анклавы безопасности Titanium Intelligence Enclaves (TIE). Вычислительные нагрузки на центральном процессоре и TPU, называемые доверенными узлами, выполняются в аппаратной доверенной среде исполнения (TEE) на базе AMD. Эта среда шифрует и изолирует память от основной хост-системы. Вся система централизована на платформе под внутренним названием Borg Prime.
Ключевым принципом работы является эфемерность. Входные данные, результаты работы модели и промежуточные вычисления удаляются сразу после завершения пользовательской сессии. Это означает, что даже в случае успешной атаки на систему злоумышленник не сможет восстановить данные из прошлых запросов. Доступ к рабочим нагрузкам со стороны администраторов полностью перекрыт, а сами узлы защищены от физических атак с целью извлечения данных.
Для обеспечения безопасности соединения между клиентом и сервером используется многоступенчатый процесс. Сначала клиент устанавливает зашифрованное соединение с внешним сервером по протоколу Noise. Затем стороны проводят двунаправленную аттестацию для подтверждения подлинности друг друга. Наконец, клиент проверяет подлинность сервера с помощью сквозной зашифрованной сессии Oak, чтобы убедиться, что он является подлинным и немодифицированным.
Система включает комплекс мер защиты. Применяется бинарная авторизация, гарантирующая запуск только подписанного и разрешенного кода. Данные пользователей изолируются в виртуальных машинах (VM) для сдерживания потенциальных угроз. Для аналитики используется технология Confidential Federated Compute, собирающая обобщенные данные без доступа к персональной информации. На аппаратном уровне применяются шифрование памяти и защита блоков управления памятью ввода-вывода (IOMMU) от физического извлечения данных.
Для повышения анонимности используются IP-блайдинг-ретрансляторы, управляемые сторонними организациями, которые скрывают реальный IP-адрес пользователя. Аутентификация отделена от процесса обработки запроса с помощью анонимных токенов (Anonymous Tokens), что усложняет сопоставление личности пользователя с его запросом. Прямой доступ к оболочке (shell access) на платформе TPU отсутствует.
Независимый аудит системы провела компания NCC Group в апреле и сентябре 2025 года. В ходе проверки была обнаружена уязвимость в компоненте IP-блайдинг-ретранслятора, связанная с временными задержками, которая теоретически могла позволить «раскрыть» пользователя. Google оценила этот риск как низкий, поскольку многопользовательский характер системы создает значительный «шум», затрудняющий корреляцию запроса с конкретным пользователем.
Также аудиторы выявили три проблемы в реализации механизма аттестации, которые потенциально могли привести к отказу в обслуживании (DoS) или другим протокольным атакам. Google подтвердила, что в настоящее время работает над устранением всех выявленных проблем.
В заключении NCC Group говорится: «Google надежно ограничила риск раскрытия пользовательских данных для непредусмотренной обработки или посторонних лиц, если только Google, как целостная организация, не решит поступить иначе». Аудиторы также отметили, что «пользователи получат выгоду от высокого уровня защиты от злонамеренных инсайдеров».
Эта разработка Google следует общему отраслевому тренду на создание облачных ИИ-систем с повышенной конфиденциальностью, аналогичных Private Cloud Compute (PCC) от Apple и Private Processing от М⃰.
Джей Ягник, вице-президент Google по инновациям и исследованиям в области ИИ, подтвердил, что удаленная аттестация и шифрование связывают устройство пользователя с защищенной аппаратной средой в облаке, гарантируя, что данные, обрабатываемые Private AI Compute, остаются доступными только самому пользователю.
