Apple está extendiendo Private Cloud Compute, la capa cloud sin estado que maneja las peticiones de Apple Intelligence demasiado pesadas para el teléfono, más allá de los data centers de Apple y hacia Google Cloud. La infraestructura anunciada esta semana corre sobre un stack de confidential computing: NVIDIA Confidential Computing, CPUs Intel con TDX, GPUs NVIDIA y el chip de seguridad Titan de Google. Apple dice haber co-diseñado la extensión con Google y NVIDIA para que las garantías de PCC se trasladen a hardware que Apple no posee. Esta es la mitad-cloud de la misma historia cuya mitad-modelo aterrizó en WWDC ayer: allí, Gemini le enseñaba a Siri mientras los pesos distribuidos seguían siendo puramente Apple; aquí, los servidores de Google alojan la computación privacy-preserving de Apple mientras Apple insiste en que la privacidad sobrevive.

El mecanismo es todo el argumento. PCC está construido sobre computación sin estado sin acceso runtime privilegiado, así que un nodo procesa una petición y no retiene nada. Apple extiende tres cosas a la flota de Google Cloud para hacer eso verificable: un ledger append-only criptográficamente verificable que registra cada nodo de Google Cloud admitido en la flota PCC, raíces de confianza dobles de vendors independientes para los componentes de atestación de software, y los mismos compromisos de transparencia que Apple ya hace sobre su propio silicon, binarios publicados y acceso live a nodos vía el Apple Security Bounty. El claim no es que deberías confiar en Apple, o en Google. El claim es que el confidential computing más la atestación hacen los datos ilegibles incluso para el operador del edificio, y que puedes verificar la atestación tú mismo.

Esa es la parte que vale la pena considerar, porque invierte cómo se ha argumentado la privacidad usualmente. La marca Apple se construyó sobre poseer el stack de punta a punta, el silicon, el OS, el data center. Correr PCC en Google Cloud cambia la propiedad por criptografía: la privacidad se vuelve una propiedad que las matemáticas imponen en vez de una propiedad que el inmueble implica. La lectura de WWDC de ayer era que la historia de privacidad de Apple sobrevivía al acuerdo con Gemini intacta. Hoy profundiza la dependencia de Google en un segundo eje, el data center además del modelo, y la defiende con el mismo movimiento: se supone que la garantía se mantiene posea Apple el metal o no. La salvedad honesta es que no todo está activo todavía, las protecciones alcanzan su implementación completa gradualmente a lo largo de un periodo de preview de verano.

Para los builders la cosa interesante es el template, no las especificidades Apple-Google. Si el confidential computing atestado por hardware puede trasladar una promesa de privacidad verificable a infraestructura alquilada, entonces la privacidad se vuelve portable, desacoplada de quién opera los servidores, y cualquier compañía puede en principio correr inferencia sensible sobre un hyperscaler sin que el hyperscaler vea los datos. Si la atestación tiene huecos, Apple ha puesto su único activo de marca más fuerte sobre las máquinas de un competidor y le ha dicho a todos que revisen los recibos. De cualquier forma los recibos son el producto: el ledger append-only y los binarios publicados son lo que convierte la privacidad de una promesa en algo que un tercero puede auditar. La primera prueba real es si el preview de verano sale con el tooling de verificación intacto, o si la implementación completa se rezaga calladamente detrás del anuncio.