苹果正把 Private Cloud Compute,即处理那些手机扛不动的 Apple Intelligence 请求的无状态云层,扩展到苹果自己数据中心之外、跑到 Google Cloud 上。本周宣布的基础设施运行在一套 confidential computing 栈上:NVIDIA Confidential Computing、带 TDX 的 Intel CPU、NVIDIA GPU 和谷歌的 Titan 安全芯片。苹果说它与谷歌和 NVIDIA 共同工程化了这次扩展,好让 PCC 的保证延续到苹果并不拥有的硬件上。这是昨天在 WWDC 落地的那个故事的云那一半:在那里,Gemini 教 Siri,而交付的权重保持纯苹果;在这里,谷歌的服务器托管苹果的隐私保护计算,而苹果坚称隐私依然存活。

机制就是全部论证。PCC 建立在无状态计算之上,没有特权运行时访问,所以一个节点处理完一个请求后什么都不保留。苹果向 Google Cloud 机群扩展了三样东西,让这一点可被检验:一份对每个被纳入 PCC 机群的 Google Cloud 节点可加密验证的只追加账本,来自独立厂商的双重信任根用于软件远程证明组件,以及苹果在自己芯片上早已做出的同样的透明承诺,即公开的二进制文件和通过 Apple Security Bounty 提供的实时节点访问。它的主张不是说你应该信任苹果,或谷歌。它的主张是:confidential computing 加上远程证明让数据即使对这栋楼的运营者也不可读,而你可以自己验证那份证明。

这才是值得坐下来细想的部分,因为它颠倒了隐私通常被论证的方式。苹果的品牌建立在端到端拥有整个栈之上,芯片、操作系统、数据中心。在 Google Cloud 上跑 PCC 把所有权换成了密码学:隐私变成一个由数学强制执行的属性,而不是一个由地产暗示的属性。昨天 WWDC 的解读是苹果的隐私叙事在 Gemini 协议之后完好存活。今天在第二个轴上加深了对谷歌的依赖,数据中心和模型一并,并用同样的一招为之辩护:无论苹果是否拥有那些机器,保证都应当成立。诚实的注意事项是:还没有全部上线,这些保护在整个夏季预览期内逐步达到完整实现。

对于 builders,有意思的是这个模板,而不是苹果与谷歌的具体细节。如果硬件远程证明的 confidential computing 能把一份可验证的隐私承诺带到租来的基础设施上,那么隐私就变得可携带,与谁运营服务器解耦,任何公司原则上都可以在一个 hyperscaler 上跑敏感推理,而 hyperscaler 看不到数据。如果远程证明有漏洞,苹果就是把自己唯一最强的品牌资产放到了竞争对手的机器上,还叫所有人去查收据。无论哪种情况,收据就是产品:只追加账本和公开的二进制文件,正是把隐私从一个承诺变成第三方可以审计之物的东西。第一个真正的考验是:夏季预览发布时验证工具是否完整,还是说完整实现悄悄落在了公告后面。