Apple treo thưởng lên đến 1 triệu USD cho người tìm được lỗi trong hệ thống bảo mật AI của hãng

Apple cung cấp môi trường ảo VRE và mã nguồn hệ thống Private Cloud Compute (PCC) cũng như công bố tài liệu hướng dẫn chi tiết về các biện pháp bảo mật của hệ thống, cho phép cộng đồng nghiên cứu bảo mật nghiên cứu kiểm tra và xác minh các yêu cầu về quyền riêng tư và bảo mật của hệ thống. 

Private Cloud Compute là kiến trúc bảo mật tiên tiến nhất từng được triển khai cho hệ thống AI đám mây, được Apple công bố vào đầu tháng 6, là nền tảng đám mây an toàn được sử dụng để xử lý các yêu cầu AI phức tạp vượt quá khả năng của các thiết bị như iPhone, iPad và Mac. 

Để bảo vệ quyền riêng tư, Apple khẳng định rằng các yêu cầu của người dùng sẽ được xóa ngay sau khi tác vụ được hoàn thành, và hệ thống được trang bị mã hóa đầu cuối để ngăn chặn việc Apple phát hiện các yêu cầu từ người dùng.

Ban đầu, Apple đã hợp tác với một nhóm các nhà nghiên cứu bảo mật được chọn lọc, nhưng vào thứ Năm vừa qua, công ty đã mở cửa cho công chúng tham gia. Các nhà nghiên cứu có quyền truy cập vào mã nguồn của Private Cloud Compute và một “môi trường nghiên cứu ảo” chạy trên macOS để hỗ trợ phân tích bảo mật. Công ty cũng cung cấp hướng dẫn chi tiết về bảo mật của hệ thống này. Điều này bao gồm các lỗ hổng có thể cho phép thực thi mã độc trên máy chủ, cũng như các lỗ hổng có khả năng trích xuất dữ liệu nhạy cảm của người dùng hoặc thông tin về yêu cầu của người dùng.

Apple nhấn mạnh rằng PCC được thiết kế với quyền riêng tư làm ưu tiên hàng đầu. Dữ liệu người dùng sẽ bị xóa ngay sau khi hoàn thành tác vụ AI, và hệ thống sử dụng mã hóa đầu cuối để bảo vệ nội dung yêu cầu của người dùng. Apple tin rằng cách tiếp cận minh bạch và tập trung vào quyền riêng tư này sẽ tạo nên sự khác biệt so với các hệ thống AI đám mây khác.

Để khuyến khích nghiên cứu, Apple mở rộng chương trình Apple Security Bounty, với tiền thưởng từ 50.000 đến 1 triệu USD cho các lỗ hổng bảo mật được phát hiện, bao gồm các lỗ hổng cho phép thực thi mã độc trên máy chủ hoặc trích xuất dữ liệu nhạy cảm của người dùng. Apple cũng sẽ cung cấp mã nguồn cho một số thành phần của PCC qua GitHub, bao gồm CloudAttestation, Thimble, splunkloggingd và srd_tools.

Nguồn: VSEC tổng hợp