Теперь любой желающий может заглянуть внутрь системы и проверить её на прочность.
Компания Apple представила виртуальную исследовательскую среду (VRE) для публичного доступа к тестированию безопасности системы Private Cloud Compute (PCC). Кроме того, компания открыла исходный код некоторых ключевых компонентов для анализа исследователями, чтобы подтвердить надёжность архитектуры и её соответствие требованиям безопасности и конфиденциальности.
PCC представляет собой облачную систему для обработки данных с помощью искусственного интеллекта, обеспечивая их защиту с помощью сквозного шифрования. Это гарантирует, что данные, передаваемые с устройств Apple в PCC, остаются недоступными для компании и доступны только пользователю.
Ранее доступ к PCC был ограничен для отдельных исследователей и аудиторов, чтобы они могли проверить её соответствие заявленным стандартам конфиденциальности. Теперь любой желающий может исследовать эту систему и проверить её на заявленные параметры безопасности.
Вместе с VRE Apple опубликовала руководство по безопасности Private Cloud Compute, описывающее архитектуру системы и её ключевые компоненты. Виртуальная среда позволяет запускать узел PCC в виртуальной машине, исследовать программное обеспечение и выявлять уязвимости.
Исследователям доступен исходный код следующих компонентов:
Apple также расширила программу вознаграждений за обнаружение уязвимостей, включив в неё новые категории для PCC. Максимальная премия составляет $1 млн за удалённое выполнение кода с привилегиями на основе данных пользовательского запроса. За раскрытие пользовательских данных можно получить до $250 000, а за атаки через сеть с повышенными привилегиями — от $50 000 до $150 000.
Компания заявляет, что рассматривает к вознаграждению любые проблемы, способные существенно повлиять на безопасность PCC, даже если они не соответствуют заявленным категориям.
Apple утверждает, что Private Cloud Compute представляет собой самую продвинутую архитектуру безопасности для облачных вычислений с применением ИИ, но надеется на помощь исследователей в её дальнейшем улучшении.
Разбираем кейсы, делимся опытом, учимся на чужих ошибках