A Apple está estendendo o Private Cloud Compute, a camada cloud sem estado que lida com as requisições do Apple Intelligence pesadas demais para o telefone, para além dos data centers da Apple e para a Google Cloud. A infraestrutura anunciada esta semana roda sobre um stack de confidential computing: NVIDIA Confidential Computing, CPUs Intel com TDX, GPUs NVIDIA e o chip de segurança Titan da Google. A Apple diz ter co-projetado a extensão com a Google e a NVIDIA para que as garantias do PCC se transfiram para hardware que a Apple não possui. Esta é a metade-cloud da mesma história cuja metade-modelo aterrissou na WWDC ontem: lá, o Gemini ensinava a Siri enquanto os pesos distribuídos continuavam puramente Apple; aqui, os servidores da Google hospedam a computação privacy-preserving da Apple enquanto a Apple insiste que a privacidade sobrevive.
O mecanismo é o argumento inteiro. O PCC é construído sobre computação sem estado sem acesso runtime privilegiado, então um nó processa uma requisição e não retém nada. A Apple estende três coisas para a frota da Google Cloud para tornar isso verificável: um ledger append-only criptograficamente verificável que registra cada nó da Google Cloud admitido na frota PCC, raízes de confiança duplas de vendors independentes para os componentes de atestação de software, e os mesmos compromissos de transparência que a Apple já faz sobre o seu próprio silicon, binários publicados e acesso live a nós via o Apple Security Bounty. A afirmação não é que você deveria confiar na Apple, ou na Google. A afirmação é que o confidential computing mais a atestação tornam os dados ilegíveis até para o operador do prédio, e que você pode verificar a atestação você mesmo.
Essa é a parte que vale a pena considerar, porque inverte como a privacidade costumava ser argumentada. A marca Apple se construiu sobre possuir o stack de ponta a ponta, o silicon, o OS, o data center. Rodar PCC na Google Cloud troca a propriedade por criptografia: a privacidade vira uma propriedade que a matemática impõe em vez de uma propriedade que o imóvel implica. A leitura da WWDC de ontem era que a história de privacidade da Apple sobrevivia ao acordo com o Gemini intacta. Hoje aprofunda a dependência da Google num segundo eixo, o data center além do modelo, e a defende com o mesmo movimento: a garantia deve se manter possua a Apple o metal ou não. A ressalva honesta é que nem tudo está no ar ainda, as proteções atingem a implementação completa gradualmente ao longo de um período de preview de verão.
Para os builders a coisa interessante é o template, não as especificidades Apple-Google. Se o confidential computing atestado por hardware pode transferir uma promessa de privacidade verificável para infraestrutura alugada, então a privacidade vira portável, desacoplada de quem opera os servidores, e qualquer empresa pode em princípio rodar inferência sensível sobre um hyperscaler sem que o hyperscaler veja os dados. Se a atestação tem brechas, a Apple colocou seu único ativo de marca mais forte sobre as máquinas de um concorrente e disse a todos para conferir os recibos. De qualquer forma os recibos são o produto: o ledger append-only e os binários publicados são o que transforma a privacidade de uma promessa em algo que um terceiro pode auditar. O primeiro teste real é se o preview de verão sai com a ferramenta de verificação intacta, ou se a implementação completa se atrasa silenciosamente atrás do anúncio.
