Google anunció el martes una nueva tecnología para mejorar la privacidad llamada «Private AI Compute» que procesa consultas de inteligencia artificial (IA) en una plataforma segura en la nube.
La compañía dijo que creó Private AI Compute para «maximizar la velocidad y la potencia del modelo de nube Gemini para experiencias de IA, al tiempo que garantiza la privacidad de sus datos personales y los hace inaccesibles para otros, ni siquiera para Google».
Private AI Compute se describe como un «espacio seguro y reforzado» para procesar datos confidenciales del usuario de una manera similar al procesamiento en el dispositivo, pero con capacidades de IA mejoradas. Aprovechando las unidades de procesamiento de tensor (TPU) Trillium y los enclaves de inteligencia de titanio (TIE), la empresa puede utilizar modelos de vanguardia sin sacrificar la seguridad y la privacidad.
En otras palabras, la infraestructura de privacidad está diseñada para aprovechar la velocidad computacional y el poder de procesamiento de la nube mientras se mantienen las garantías de seguridad y privacidad que vienen con el procesamiento en el dispositivo.
Las cargas de trabajo de CPU y TPU de Google (también conocidas como nodos confiables) dependen del entorno de ejecución confiable (TEE) de hardware basado en AMD, que cifra y aísla la memoria del host. El gigante tecnológico señaló que solo las cargas de trabajo autenticadas pueden ejecutarse en nodos confiables y que el acceso administrativo a las cargas de trabajo está bloqueado. Además, los nodos están protegidos contra posibles ataques de fuga de datos físicos.
Esta infraestructura también admite la certificación y el cifrado de igual a igual entre nodos confiables, lo que garantiza que los datos del usuario solo se descifren y procesen dentro de un entorno seguro y protegidos de la infraestructura más amplia de Google.
«Cada carga de trabajo solicita y verifica criptográficamente las credenciales de la otra carga de trabajo para garantizar la confianza mutua dentro de un entorno de ejecución protegido», explicó Google. «Las credenciales de carga de trabajo solo se aprovisionan si el certificado del nodo se valida exitosamente con un valor de referencia interno. La validación fallida impide que se establezca la conexión, lo que protege los datos del usuario de componentes que no son de confianza».
El flujo general del proceso funciona de la siguiente manera. El cliente del usuario establece una conexión cifrada con el protocolo de ruido con el servidor de aplicaciones para el usuario y establece una certificación bidireccional. El cliente también utiliza sesiones certificadas de cifrado de extremo a extremo de Oak para verificar la identidad del servidor y garantizar que el servidor sea genuino y no haya sido modificado.
Después de este paso, el servidor configura un canal cifrado de Seguridad de transporte de la capa de aplicación (ALTS) con otros servicios en el canal de inferencia escalable para comunicarse con el servidor modelo que se ejecuta en la plataforma TPU reforzada. Todo el sistema es «temporal por diseño». Esto significa que las entradas, la inferencia del modelo y los cálculos se descartan tan pronto como se completa la sesión del usuario, por lo que un atacante que obtenga acceso privilegiado al sistema no puede recuperar datos históricos.
Arquitectura informática privada de IA de Google
Google también promociona varias protecciones integradas en su sistema para mantener su seguridad e integridad y evitar modificaciones no autorizadas. Estos incluyen –
Minimizar el número de componentes y entidades en los que se debe confiar para garantizar la confidencialidad de los datos Uso de computación federada confidencial para recopilar análisis y agregar información Cifrado de comunicaciones cliente/servidor Autenticación binaria para garantizar que solo se ejecuten código firmado y autorizado y configuraciones verificadas en toda la cadena de suministro de software Aislamiento de datos de usuario comprometidos en máquinas virtuales (VM) Cifrado de memoria y unidades de administración de memoria de entrada/salida (IOMMU) Protege el sistema contra fugas físicas con protección Acceso Shell en una plataforma sin TPU Dirige todo el tráfico entrante al sistema mediante un relé ciego de IP operado por terceros, ofuscando el verdadero origen de la solicitud. Separa la autenticación y autorización del sistema de la inferencia mediante tokens anónimos.
NCC Group, que realizó una evaluación externa de la informática privada de IA entre abril y septiembre de 2025, anunció que pudo descubrir un canal lateral basado en temporización dentro de un componente de retransmisión cegadora de IP que se puede utilizar para «desenmascarar» a un usuario bajo ciertas condiciones. Sin embargo, debido al hecho de que la naturaleza multiusuario del sistema introduce «mucho ruido» y dificulta que los atacantes asocien consultas con usuarios específicos, Google ha determinado que el sistema presenta un riesgo bajo.
La compañía también dijo que ha identificado tres problemas en la implementación del mecanismo de autenticación que pueden provocar condiciones de denegación de servicio (DoS) y varios ataques de protocolo. Actualmente, Google está trabajando en mitigaciones para todos estos.
«Aunque todo el sistema se basa en hardware propietario y se centra en Borg Prime,… Google garantiza que limita el riesgo de que los datos del usuario queden expuestos a procesamientos no intencionados o a personas externas a menos que la organización en su conjunto decida lo contrario», dijo la compañía. «Los usuarios se beneficiarán de un alto nivel de protección contra personas internas maliciosas».
Este desarrollo refleja movimientos similares de Apple y Meta, que lanzaron Private Cloud Computing (PCC) y Private Processing para descargar consultas de IA desde dispositivos móviles de una manera que preserve la privacidad.
«La autenticación remota y el cifrado se utilizan para conectar dispositivos a un entorno de nube sellado y protegido por hardware, lo que permite a los modelos Gemini procesar datos de forma segura dentro de un espacio dedicado y protegido», dijo Jay Yagnik, vicepresidente de innovación e investigación de IA en Google. «Esto garantiza que los datos confidenciales procesados por Private AI Compute solo sean accesibles para usted y nadie más, incluido Google».
Source link
