Google lanceert ‘Private AI Compute’: veilige AI-verwerking met privacy op apparaatniveau

Cyberbeveiliging
Google lanceert 'Private AI Compute': veilige AI-verwerking met privacy op apparaatniveau

Google heeft dinsdag een nieuwe privacybevorderende technologie onthuld, genaamd Privé AI-computer om vragen over kunstmatige intelligentie (AI) te verwerken op een beveiligd platform in de cloud.

Het bedrijf zei dat het Private AI Compute heeft gebouwd om “de volledige snelheid en kracht van Gemini-cloudmodellen voor AI-ervaringen te ontsluiten, terwijl het ervoor zorgt dat uw persoonlijke gegevens privé voor u blijven en voor niemand anders toegankelijk zijn, zelfs niet voor Google.”

Private AI Compute wordt beschreven als een ‘veilige, versterkte ruimte’ voor het verwerken van gevoelige gebruikersgegevens op een manier die analoog is aan verwerking op het apparaat, maar met uitgebreide AI-mogelijkheden. Het wordt aangedreven door Trillium Tensor Processing Units (TPU’s) en Titanium Intelligence Enclaves (TIE), waardoor het bedrijf zijn grensmodellen kan gebruiken zonder in te boeten aan veiligheid en privacy.

Met andere woorden: de privacy-infrastructuur is ontworpen om te profiteren van de rekensnelheid en kracht van de cloud, terwijl de veiligheids- en privacygaranties behouden blijven die gepaard gaan met verwerking op het apparaat.

De CPU- en TPU-workloads van Google (ook wel vertrouwde knooppunten genoemd) zijn afhankelijk van een op AMD gebaseerde hardware Trusted Execution Environment (TEE) die het geheugen van de host codeert en isoleert. De technologiegigant merkte op dat alleen goedgekeurde workloads op de vertrouwde knooppunten kunnen draaien en dat de administratieve toegang tot de workloads is afgesloten. Bovendien zijn de knooppunten beveiligd tegen mogelijke fysieke data-exfiltratie-aanvallen.

De infrastructuur ondersteunt ook peer-to-peer attestatie en encryptie tussen de vertrouwde knooppunten om ervoor te zorgen dat gebruikersgegevens alleen binnen de grenzen van een veilige omgeving worden gedecodeerd en verwerkt en worden afgeschermd van de bredere Google-infrastructuur.

“Elke werklast vraagt ​​en valideert cryptografisch de werklastreferenties van de andere, waardoor wederzijds vertrouwen binnen de beschermde uitvoeringsomgeving wordt gewaarborgd”, legt Google uit. “Werkbelastingreferenties worden alleen verstrekt na succesvolle validatie van de attestatie van het knooppunt aan de hand van interne referentiewaarden. Het falen van de validatie verhindert het tot stand brengen van verbindingen, waardoor gebruikersgegevens worden beschermd tegen niet-vertrouwde componenten.”

De algehele processtroom werkt als volgt: een gebruikersclient brengt een Noise-protocol-coderingsverbinding tot stand met een frontend-server en brengt bidirectionele attestatie tot stand. De client valideert ook de identiteit van de server met behulp van een end-to-end gecodeerde, gecertificeerde sessie van Oak om te bevestigen dat deze echt is en niet is gewijzigd.

Na deze stap zet de server een Application Layer Transport Security (ALTS)-coderingskanaal op met andere services in de schaalbare inferentiepijplijn, die vervolgens communiceert met modelservers die op het versterkte TPU-platform draaien. Het hele systeem is ‘van nature kortstondig’, wat betekent dat een aanvaller die erin slaagt geprivilegieerde toegang tot het systeem te krijgen, geen gegevens uit het verleden kan verkrijgen, omdat de invoer, modelconclusies en berekeningen worden weggegooid zodra de gebruikerssessie is voltooid.

Google heeft ook aandacht besteed aan de verschillende beveiligingen die in het systeem zijn ingebouwd om de veiligheid en integriteit ervan te behouden en ongeoorloofde wijzigingen te voorkomen. Deze omvatten –

  • Het minimaliseren van het aantal componenten en entiteiten dat moet worden vertrouwd voor de vertrouwelijkheid van gegevens
  • Confidential Federated Compute gebruiken voor het verzamelen van analyses en geaggregeerde inzichten
  • Versleuteling voor client-server-communicatie
  • Binaire autorisatie om ervoor te zorgen dat alleen ondertekende, geautoriseerde code en gevalideerde configuraties in de softwaretoeleveringsketen worden uitgevoerd
  • Isoleren van gebruikersgegevens in virtuele machines (VM’s) om compromissen te voorkomen
  • Beveiliging van systemen tegen fysieke exfiltratie met geheugenversleuteling en IOMMU-beveiliging (Input/Output Memory Management Unit).
  • Geen shell-toegang op het TPU-platform
  • Het gebruik van IP-blinderingsrelais die door derden worden beheerd om al het inkomende verkeer naar het systeem te tunnelen en de ware oorsprong van het verzoek te verdoezelen
  • Het isoleren van de authenticatie en autorisatie van het systeem tegen gevolgtrekking met behulp van anonieme tokens

NCC Group, die tussen april en september 2025 een externe beoordeling van Private AI Compute heeft uitgevoerd, zei dat het in de IP-blinderingsrelaiscomponent een op timing gebaseerd zijkanaal heeft ontdekt dat kan worden gebruikt om gebruikers onder bepaalde omstandigheden te ‘ontmaskeren’. Google beschouwt het echter als een laag risico vanwege het feit dat de aard van het systeem voor meerdere gebruikers een “aanzienlijke hoeveelheid ruis” introduceert en het voor een aanvaller een uitdaging maakt om een ​​zoekopdracht aan een specifieke gebruiker te koppelen.

Het cyberbeveiligingsbedrijf zei ook dat het drie problemen heeft geïdentificeerd bij de implementatie van het attestationmechanisme die zouden kunnen resulteren in een Denial-of-Service (DoS)-toestand, evenals verschillende protocolaanvallen. Google werkt momenteel aan oplossingen voor al deze problemen.

“Hoewel het totale systeem afhankelijk is van propriëtaire hardware en gecentraliseerd is op Borg Prime, (…) heeft Google het risico dat gebruikersgegevens worden blootgesteld aan onverwachte verwerking of aan buitenstaanders krachtig beperkt, tenzij Google, als hele organisatie, besluit dit te doen”, aldus het rapport. “Gebruikers zullen profiteren van een hoog niveau van bescherming tegen kwaadwillende insiders.”

De ontwikkeling weerspiegelt soortgelijke stappen van Apple en Meta, die Private Cloud Compute (PCC) en Private Processing hebben uitgebracht om AI-query’s op een privacybeschermende manier van mobiele apparaten te ontladen.

“Attestatie en encryptie op afstand worden gebruikt om uw apparaat te verbinden met de hardwarebeveiligde, afgesloten cloudomgeving, waardoor Gemini-modellen uw gegevens veilig kunnen verwerken binnen een gespecialiseerde, beschermde ruimte”, zegt Jay Yagnik, vice-president van Google voor AI Innovation and Research. “Dit zorgt ervoor dat gevoelige gegevens die door Private AI Compute worden verwerkt, alleen voor u toegankelijk blijven en voor niemand anders, zelfs niet voor Google.”

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

Siri-snelkoppelingen krijgen eindelijk controle over Samsung SmartThings

Tabletverzendingen dalen wereldwijd in Q3 2025: Apple leidt, Samsung zakt

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]