Apple treo thưởng 1 triệu USD cho ai tìm thấy lỗ hổng bảo mật trong Private Cloud Compute

Apple Intelligence có khả năng xử lý các tác vụ cục bộ trên các thiết bị Apple bất cứ khi nào có thể. Tuy nhiên, một số tác vụ phức tạp hơn đòi hỏi sức mạnh xử lý bổ sung và quyền truy cập vào các mô hình nền tảng quy mô lớn hơn. Để cho phép các thiết bị Apple truy cập vào sức mạnh xử lý AI bổ sung này trên đám mây, Apple đã phát triển Private Cloud Compute (PCC). Công ty Cupertino tuyên bố rằng PCC cung cấp các biện pháp bảo vệ quyền riêng tư và bảo mật để hỗ trợ các yêu cầu tính toán chuyên sâu cho Apple Intelligence bằng cách mở rộng mô hình bảo mật thiết bị của mình lên đám mây.

Để xác nhận khả năng bảo mật của PCC, ban đầu Apple đã cho phép một nhóm các nhà nghiên cứu bảo mật và quyền riêng tư kiểm tra, xác minh kỹ lưỡng hệ thống. Quy trình này được thực hiện bằng cách chia sẻ PCC Virtual Research Environment (VRE) với các đơn vị kiểm duyệt bên thứ ba cũng như nhóm nhà nghiên cứu nêu trên. Giờ đây, Apple sẽ công khai những tài nguyên này để tất cả các nhà nghiên cứu bảo mật và quyền riêng tư trên toàn thế giới đều có thể tiến hành những quy trình xác minh độc lập của riêng họ.

Apple cũng đã phát hành công khai mã nguồn các thành phần chính của PCC, bao gồm:

• Dự án CloudAttestation chịu trách nhiệm xây dựng và xác thực các chứng thực của nút PCC.
• Dự án Thimble bao gồm daemon privatecloudcomputed chạy trên thiết bị của người dùng và sử dụng CloudAttestation để thực thi tính minh bạch có thể xác minh được.
• Daemon splunkloggingd lọc các bản ghi có thể được phát ra từ một nút PCC để bảo vệ chống lại việc vô tình tiết lộ dữ liệu.
• Dự án srd_tools chứa công cụ VRE và có thể được sử dụng để hiểu cách VRE cho phép chạy mã PCC.

Ngoài ra, Apple cũng đưa ra thông báo cho biết chương trình tiền thưởng phát hiện lỗi bảo mật Security Bounty của công ty hiện đã bao gồm hạng mục PCC. Việc Apple sẵn sàng trả tiền thưởng cho các trường hợp phát hiện lỗ hổng PCC chứng tỏ cam kết của công đối với các khiếu nại về bảo mật của PCC. Đối với các trường hợp phát hiện lỗ hổng thực thi mã tùy ý trong PCC, Apple sẵn sàng trả mức tiền thưởng lên tới 1 triệu USD. Trường hợp tìm thấy sự cố cung cấp quyền truy cập vào dữ liệu yêu cầu của người dùng hoặc thông tin nhạy cảm, Apple sẽ trả 250.000 đô la.

Với những động thái nêu trên, Apple đang thực sự muốn xây dựng lòng tin và tính minh bạch xung quanh PCC, cũng như củng cố cam kết bảo vệ quyền riêng tư và bảo mật của người dùng trên đám mây.