蘋果正把 Private Cloud Compute,即處理那些手機扛不動的 Apple Intelligence 請求的無狀態雲層,擴展到蘋果自己資料中心之外、跑到 Google Cloud 上。本週宣布的基礎設施運行在一套 confidential computing 堆疊上:NVIDIA Confidential Computing、帶 TDX 的 Intel CPU、NVIDIA GPU 和谷歌的 Titan 安全晶片。蘋果說它與谷歌和 NVIDIA 共同工程化了這次擴展,好讓 PCC 的保證延續到蘋果並不擁有的硬體上。這是昨天在 WWDC 落地的那個故事的雲那一半:在那裡,Gemini 教 Siri,而交付的權重保持純蘋果;在這裡,谷歌的伺服器托管蘋果的隱私保護計算,而蘋果堅稱隱私依然存活。

機制就是全部論證。PCC 建立在無狀態計算之上,沒有特權執行時存取,所以一個節點處理完一個請求後什麼都不保留。蘋果向 Google Cloud 機群擴展了三樣東西,讓這一點可被檢驗:一份對每個被納入 PCC 機群的 Google Cloud 節點可加密驗證的只追加帳本,來自獨立廠商的雙重信任根用於軟體遠程證明組件,以及蘋果在自己晶片上早已做出的同樣的透明承諾,即公開的二進位檔案和通過 Apple Security Bounty 提供的即時節點存取。它的主張不是說你應該信任蘋果,或谷歌。它的主張是:confidential computing 加上遠程證明讓資料即使對這棟樓的營運者也不可讀,而你可以自己驗證那份證明。

這才是值得坐下來細想的部分,因為它顛倒了隱私通常被論證的方式。蘋果的品牌建立在端到端擁有整個堆疊之上,晶片、作業系統、資料中心。在 Google Cloud 上跑 PCC 把所有權換成了密碼學:隱私變成一個由數學強制執行的屬性,而不是一個由地產暗示的屬性。昨天 WWDC 的解讀是蘋果的隱私敘事在 Gemini 協議之後完好存活。今天在第二個軸上加深了對谷歌的依賴,資料中心和模型一併,並用同樣的一招為之辯護:無論蘋果是否擁有那些機器,保證都應當成立。誠實的注意事項是:還沒有全部上線,這些保護在整個夏季預覽期內逐步達到完整實現。

對於 builders,有意思的是這個模板,而不是蘋果與谷歌的具體細節。如果硬體遠程證明的 confidential computing 能把一份可驗證的隱私承諾帶到租來的基礎設施上,那麼隱私就變得可攜帶,與誰營運伺服器解耦,任何公司原則上都可以在一個 hyperscaler 上跑敏感推理,而 hyperscaler 看不到資料。如果遠程證明有漏洞,蘋果就是把自己唯一最強的品牌資產放到了競爭對手的機器上,還叫所有人去查收據。無論哪種情況,收據就是產品:只追加帳本和公開的二進位檔案,正是把隱私從一個承諾變成第三方可以稽核之物的東西。第一個真正的考驗是:夏季預覽發布時驗證工具是否完整,還是說完整實現悄悄落在了公告後面。