「Apple Intelligence」を支える「Private Cloud Compute」のソースコードや仮想研究環境、Appleが公開 脆弱性発見で最大100万ドルの報奨金も:セキュリティ研究者向けにリリース
Appleは、「Apple Intelligence」のAI処理専用に設計された「Private Cloud Compute」の分析を支援するため、主要コンポーネントのソースコードや仮想研究環境を公開した。PCCは同社のセキュリティ報奨金プログラムの対象にも追加され、脆弱性の発見に最大100万ドルの報奨金を支払うとしている。
Appleは2024年10月24日(米国時間)、同社の生成AI(人工知能)システム「Apple Intelligence」の処理専用に設計したクラウドシステム「Private Cloud Compute」(以後、PCC)のソースコードや仮想研究環境(VRE)を公開した。
Appleは「PCCはApple Inteligenceにおいて、計算負荷の高い処理を実行する基盤であり、Appleデバイスのセキュリティモデルをクラウドに展開することで、画期的なプライバシーとセキュリティ保護を実現している。システムへの信頼性や透明度を向上させるため、Appleのセキュリティやプライバシーへの取り組みを検証できる一連のリソースを公開した。全てのセキュリティおよびプライバシー研究者、技術的関心のある人々が、PCCを理解し、独自に検証することを歓迎する」と述べている。
PCCの仮想研究環境では何ができるのか?
PCCのVREは、macOS上でPCCノードを実行して分析ができるツールセットだ。macOSの仮想マシン(VM)上で実際の環境とほとんど同じPCCノードを実行できる他、「Secure Enclave Processor(SEP)」に組み込まれたセキュリティサブシステム「Secure Enclave」も検証できるという。Appleは、VREの利用イメージとして次のような例を挙げている。
- PCCソフトウェアのリリースをリスト化および検査
- 透明性ログの一貫性を検証
- 各リリースに対応するバイナリをダウンロード
- 仮想化環境でバイナリを起動
- デモモデルに対して推論を実行
- PCCソフトウェアの変更とデバッグによるさらなる調査
VREは「macOS Sequoia 15.1 Developer Preview」に含まれている。VREを使用するには、ArmベースのAppleシリコンを搭載し、16GB以上の統合メモリを備えたMacが必要だ。
GitHubで主要コンポーネントのソースコードを公開
Appleは、PCCの詳細分析を支援するため、限定使用ライセンスの下で、主要コンポーネントのソースコードをGitHubで公開した。ソースコードが公開された主要コンポーネントとそれぞれの役割は以下の通りだ。
- 「CloudAttestation」プロジェクト:PCCノードにおける証明書の構築と検証する役割を担う
- 「Thimble」プロジェクト:ユーザーのデバイス上で実行され、CloudAttestationを使用して検証可能な透明性を強化するPCCデーモンを含む
- 「splunkloggingd」デーモン:PCCノードから出力されるログをフィルタリングし、偶発的なデータの漏えいを防ぐ
- 「srd_tools」プロジェクト:VREツールが含まれており、これを使用してVREがPCCコードを実行できる仕組みを理解するために使用できる
PCCの脆弱性は報奨金プログラムの対象に
Appleは、PCCに対するセキュリティ研究を促進するため、同社のセキュリティ報奨金プログラムの対象にPCCを追加した。脆弱(ぜいじゃく)性の種類や脅威度に応じて、5万〜100万ドルの報奨金を支払うという。報奨金の例は以下の通り。
- リクエストデータに対するリモート攻撃
- 任意の権限による任意のコード実行:100万ドル
- ユーザーのリクエストデータまたは機密情報へのアクセス:25万ドル
- 特権ネットワークポジションからのリクエストデータへの攻撃
- ユーザーのリクエストデータまたは機密情報へのアクセス:15万ドル
- 認証されていないコードを実行する:10万ドル
- デプロイメントや設定の問題による偶発的または予期せぬデータ漏えい:5万ドル
「これらに該当しない場合でも、PCCに重大な影響を与えるセキュリティの問題は、報奨金の対象として検討する。全ての報告は、提示された内容の質、悪用可能な証拠、そしてユーザーへの影響に基づいて評価される」と、Appleは述べている。
その他、PCCのコンポーネントに関する包括的な技術的詳細や、PCCにおけるリクエストの認証、ルーティング、さまざまな攻撃シナリオにおける対策をまとめた「PCCセキュリティガイド」も公開している。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
96%の企業が「クラウドリスクを軽減できていない」と回答 チェック・ポイントが調査レポートを発表
チェック・ポイントは2024年版のクラウドセキュリティレポートを公開した。クラウドのセキュリティインシデントが前年と比べて大幅に増えているものの、クラウドセキュリティで「防止」を重視する企業はわずか21%だった。
Apple、プログラミング言語「Swift 6」公開 5年ぶりのメジャーアップデート、変更点は?
Appleは、オープンソースのプログラミング言語の最新版「Swift 6」を公開した。
OpenAIの生成AIを悪用していた脅威アクターとは? OpenAIが脅威レポートの最新版を公開
OpenAIは、脅威インテリジェンスレポートの最新版「Influence and cyber operations: an update, October 2024」を発表した。OpenAIはレポートで、サイバーオペレーションを行っていた複数の脅威アクターと悪用の手口を明らかにしている。