Google hôm thứ Ba đã công bố một công nghệ tăng cường quyền riêng tư mới có tên Private AI Compute để xử lý các truy vấn trí tuệ nhân tạo (AI) trên một nền tảng bảo mật trong đám mây.
Công ty cho biết họ đã xây dựng Private AI Compute để "khai thác toàn bộ tốc độ và sức mạnh của các mô hình đám mây Gemini cho trải nghiệm AI, đồng thời đảm bảo dữ liệu cá nhân của bạn được giữ riêng tư và không thể truy cập được bởi bất kỳ ai khác, kể cả Google."
Private AI Compute được mô tả là một "không gian bảo mật, kiên cố" để xử lý dữ liệu người dùng nhạy cảm theo cách tương tự như xử lý trên thiết bị nhưng với khả năng AI mở rộng. Nó được hỗ trợ bởi các đơn vị xử lý Tensor Processing Units (TPUs) Trillium và các vùng bảo mật Titanium Intelligence Enclaves (TIE), cho phép công ty sử dụng các mô hình tiên tiến nhất của mình mà không phải hy sinh bảo mật và quyền riêng tư.
Nói cách khác, cơ sở hạ tầng quyền riêng tư này được thiết kế để tận dụng tốc độ và sức mạnh tính toán của đám mây trong khi vẫn giữ được các đảm bảo về bảo mật và quyền riêng tư đi kèm với việc xử lý trên thiết bị.
Các khối lượng công việc CPU và TPU của Google (còn gọi là các trusted nodes) dựa trên Trusted Execution Environment (TEE) phần cứng dựa trên AMD, mã hóa và cách ly bộ nhớ khỏi host. Gã khổng lồ công nghệ lưu ý rằng chỉ các attested workloads mới có thể chạy trên các trusted nodes, và quyền truy cập quản trị vào các workloads bị cắt bỏ. Hơn nữa, các nodes được bảo vệ chống lại các cuộc tấn công physical data exfiltration tiềm ẩn.
Cơ sở hạ tầng cũng hỗ trợ peer-to-peer attestation và mã hóa giữa các trusted nodes để đảm bảo dữ liệu người dùng được giải mã và xử lý chỉ trong giới hạn của một môi trường bảo mật và được bảo vệ khỏi cơ sở hạ tầng Google rộng lớn hơn.
"Mỗi workload yêu cầu và xác thực bằng mật mã các thông tin xác thực workload của nhau, đảm bảo sự tin cậy lẫn nhau trong môi trường thực thi được bảo vệ," Google giải thích. "Thông tin xác thực workload chỉ được cấp phát khi xác thực thành công attestation của node so với các giá trị tham chiếu nội bộ. Việc xác thực thất bại sẽ ngăn chặn việc thiết lập kết nối, do đó bảo vệ dữ liệu người dùng khỏi các thành phần không đáng tin cậy."
Cơ chế hoạt động của Private AI Compute
Quy trình hoạt động tổng thể như sau: Một user client thiết lập kết nối mã hóa Noise protocol với một frontend server và thiết lập bi-directional attestation. Client cũng xác thực danh tính của server bằng cách sử dụng một session được xác thực mã hóa end-to-end Oak để xác nhận rằng nó là thật và không bị sửa đổi.
Sau bước này, server thiết lập kênh mã hóa Application Layer Transport Security (ALTS) với các dịch vụ khác trong pipeline suy luận có thể mở rộng, sau đó giao tiếp với các model servers chạy trên nền tảng TPU được tăng cường bảo mật. Toàn bộ hệ thống là "ephemeral by design", nghĩa là một kẻ tấn công nếu có được quyền truy cập đặc quyền vào hệ thống cũng không thể lấy được dữ liệu cũ, vì các input, suy luận mô hình và tính toán sẽ bị loại bỏ ngay sau khi phiên người dùng hoàn tất.
Các lớp bảo vệ và đánh giá bên ngoài
Google cũng đã giới thiệu nhiều biện pháp bảo vệ được tích hợp vào hệ thống để duy trì tính bảo mật và toàn vẹn, cũng như ngăn chặn các sửa đổi trái phép. Chúng bao gồm:
- Giảm thiểu số lượng thành phần và thực thể phải được tin cậy để bảo mật dữ liệu.
- Sử dụng Confidential Federated Compute để thu thập các phân tích và thông tin chi tiết tổng hợp.
- Mã hóa cho các giao tiếp client-server.
- Binary authorization để đảm bảo chỉ các mã đã ký, được ủy quyền và các cấu hình đã được xác thực mới chạy trên toàn bộ chuỗi cung ứng phần mềm của nó.
- Cách ly dữ liệu người dùng trong các Virtual Machines (VMs) để ngăn chặn sự xâm nhập.
- Bảo vệ hệ thống chống lại physical exfiltration bằng mã hóa bộ nhớ và các biện pháp bảo vệ input/output memory management unit (IOMMU).
- Zero shell access trên nền tảng TPU.
- Sử dụng IP blinding relays do bên thứ ba vận hành để chuyển tất cả lưu lượng truy cập inbound đến hệ thống và che giấu nguồn gốc thực sự của yêu cầu.
- Cách ly xác thực và ủy quyền của hệ thống khỏi suy luận bằng cách sử dụng Anonymous Tokens.
NCC Group, đơn vị đã tiến hành đánh giá bên ngoài Private AI Compute từ tháng 4 đến tháng 9 năm 2025, cho biết họ đã phát hiện một timing-based side channel trong thành phần IP blinding relay có thể được sử dụng để "lộ danh tính" người dùng trong một số điều kiện nhất định. Tuy nhiên, Google đã đánh giá đây là rủi ro thấp do tính chất đa người dùng của hệ thống tạo ra "lượng nhiễu đáng kể" và khiến kẻ tấn công khó tương quan một truy vấn với một người dùng cụ thể.
Công ty an ninh mạng này cũng cho biết họ đã xác định ba vấn đề trong việc triển khai cơ chế attestation có thể dẫn đến tình trạng denial-of-service (DoS), cũng như nhiều cuộc tấn công protocol khác. Google hiện đang nghiên cứu các biện pháp giảm thiểu cho tất cả các vấn đề này.
"Mặc dù hệ thống tổng thể dựa trên phần cứng độc quyền và được tập trung hóa trên Borg Prime, [...] Google đã giới hạn mạnh mẽ rủi ro dữ liệu người dùng bị lộ ra ngoài hoặc bị xử lý không mong muốn bởi những người bên ngoài, trừ khi toàn bộ tổ chức Google quyết định làm như vậy," NCC Group cho biết. "Người dùng sẽ được hưởng mức độ bảo vệ cao khỏi những kẻ nội bộ độc hại."
Sự phát triển này phản ánh các động thái tương tự từ Apple và Meta, những công ty đã phát hành Private Cloud Compute (PCC) và Private Processing để giảm tải các truy vấn AI từ thiết bị di động theo cách bảo vệ quyền riêng tư.
"Remote attestation và encryption được sử dụng để kết nối thiết bị của bạn với môi trường đám mây được niêm phong và bảo mật bằng phần cứng, cho phép các mô hình Gemini xử lý dữ liệu của bạn một cách an toàn trong một không gian chuyên biệt, được bảo vệ," Jay Yagnik, phó chủ tịch AI Innovation and Research của Google, nói. "Điều này đảm bảo dữ liệu nhạy cảm được xử lý bởi Private AI Compute chỉ có thể truy cập được bởi bạn và không ai khác, kể cả Google."
