A Apple anunciou a criação de um Ambiente de Pesquisa Virtual (Virtual Research Environment – VRE) para possibilitar que o público teste e explore a segurança do Private Cloud Compute (PCC), uma plataforma de inteligência artificial que processa dados dos usuários de maneira privada e segura. Junto com essa abertura, a empresa também liberou o código-fonte de alguns componentes essenciais para facilitar a análise por pesquisadores de segurança.
Apple expande acesso público ao Private Cloud Compute para testes de segurança
O objetivo da Apple é garantir que o PCC cumpra suas promessas de privacidade e segurança. Para isso, a empresa expandiu seu programa de recompensas de segurança, oferecendo prêmios de até US$ 1 milhão (cerca de R$ 5,7 mi)para quem identificar falhas graves que possam comprometer os pilares de segurança e privacidade do PCC.
Privacidade em foco no PCC
O Private Cloud Compute foi desenvolvido como um sistema de inteligência artificial em nuvem capaz de processar dados complexos de dispositivos da Apple sem comprometer a privacidade dos usuários. A segurança é garantida por meio de criptografia de ponta a ponta, o que assegura que os dados pessoais enviados para o PCC sejam acessíveis apenas ao usuário, ficando invisíveis até para a própria Apple.
Logo após o lançamento do PCC, a empresa já havia concedido acesso a um grupo seleto de pesquisadores e auditores, para que eles pudessem verificar se as garantias de privacidade e segurança estavam sendo respeitadas.
Testes públicos com o Virtual Research Environment
Agora, a Apple está ampliando o acesso, permitindo que qualquer pessoa interessada explore o sistema e teste se ele realmente corresponde às promessas de segurança e privacidade. No blog oficial, a empresa anunciou a liberação do Guia de Segurança do Private Cloud Compute, que detalha a arquitetura e os componentes técnicos da plataforma, além de explicar como eles funcionam.
O Ambiente de Pesquisa Virtual (VRE) foi projetado para replicar o sistema de inteligência em nuvem localmente. Ele permite que os pesquisadores inspecionem, modifiquem e testem a segurança do PCC de forma isolada, inclusive com ferramentas que simulam cenários reais e permitem depuração mais aprofundada.
A Apple fornece documentação sobre como configurar o ambiente virtual, que está disponível na versão Developer Preview do macOS Sequia 15.1 e exige um dispositivo com chip Apple Silicon e pelo menos 16GB de memória unificada.
Código aberto e novas oportunidades
Para auxiliar os pesquisadores, a Apple também disponibilizou o código-fonte de projetos-chave que suportam a segurança e privacidade do PCC, como:
- CloudAttestation: responsável por construir e validar as atestações dos nós do PCC.
- Thimble: executa o daemon privatecloudcomputed e utiliza o CloudAttestation para garantir a transparência verificável.
- Splunkloggingd: filtra logs emitidos de um nó PCC para evitar a divulgação acidental de dados.
- SRD_Tools: conjunto de ferramentas do VRE que ajuda a entender como o ambiente virtual executa o código do PCC.
Programa de recompensas ampliado
A Apple também atualizou seu programa de recompensas de segurança, adicionando novas categorias relacionadas ao PCC. As recompensas podem chegar a até US$ 1 milhão (cerca de R$ 5,6 mi) para ataques remotos que comprometam dados de solicitação do usuário ou executem código remotamente com permissões arbitrárias.
Pesquisadores que conseguirem demonstrar como acessar informações sensíveis de usuários podem ganhar até US$ 250.000 (cerca de R$ 1,4 mi), enquanto ataques em rede com privilégios elevados podem render prêmios entre US$ 50.000 (cerca de R$ 283 mil) e US$ 150.000 (cerca de R$ 850 mil).
Mesmo fora dessas categorias, a Apple considera oferecer recompensas por qualquer vulnerabilidade que tenha impacto significativo no PCC. Segundo a empresa, o Private Cloud Compute é “a arquitetura de segurança mais avançada já implementada para computação em nuvem com IA em escala”, mas busca continuar aprimorando o sistema com a ajuda da comunidade de segurança.