Private AI Compute 通过硬件隔离与临时数据设计实现谷歌推理

谷歌发布Private AI Compute。该系统旨在使用 Gemini 云模型处理 AI 请求，同时保护用户数据隐私。按照谷歌的说法，Private AI Compute 技术旨在“充分释放 Gemini 云模型的速度与性能，提升 AI 体验”，它“可以提供更快速、更实用的响应，让用户更轻松地获取所需信息、获得智能建议并采取行动”。根据公告，谷歌将 Private AI Compute 定位为解决用户隐私担忧并提供云端 AI 能力的解决方案，其基础是谷歌为 AI 应用场景开发的隐私增强技术（PET）。

谷歌为 Private AI Compute 数据处理设计了多层保护。该系统使用基于 AMD 硬件的可信执行环境（TEE）来处理 CPU 和 TPU 工作负载，以便“进行加密并使内存以及处理过程与主机隔离”。为满足 Private AI Compute 的要求，从第六代谷歌云 TPU（称为Trillium）开始，该公司会将其Titanium硬件安全架构扩展到 TPU 硬件。该架构还使用Noise及应用层传输安全（ALTS）等协议在受信任的节点之间建立加密通信通道。作为建立加密通道的一个环节，谷歌会对可信节点进行认证以验证其完整性。该公司表示，此举可将用户数据与更广泛的谷歌基础设施隔离。

图片来源：Private AI Comput 信任链

该系统采用临时化运行机制，其中“输入数据、模型推理结果及计算过程仅在满足用户查询需求期间保留”，谷歌称此举可防止攻击者访问历史数据。系统核心服务在基于 AMD 硬件可信执行环境（TEE）的机密计算平台上运行，前端服务则部署在机密虚拟机中。谷歌宣称，该方案能隔离虚拟机工作负载与宿主环境，并通过可信任的验证机制保障代码安全。该系统还采用第三方运营的 IP 隐匿中继，将流量隧道传输至 Private AI Comput 平台。谷歌声称，此举可彻底消除将用户 IP 地址或网络标识信息与具体查询关联的可能性。

Private AI Comput 允许设备上的功能访问扩展能力，同时又能保护隐私。谷歌表示，在最新的Pixel 10手机上，该技术使Magic Cue“更有帮助，可以提供更及时的建议”。按照谷歌的说法，Pixel 上的 Recorder 应用使用 Private AI Compute 来“对更广泛的语言进行转录摘要”。

Private AI Compute 反映了整个行业向以隐私为中心的 AI 系统发展的趋势。苹果的Private Cloud Compute和 Meta 的Private Processing都在追求类似的目标，即将 AI 工作负载卸载到云端，并实现加密和基于硬件的保护。

Hacker News 上的一位评论者指出：

有一些研究论文详细描述了如何攻击可信执行环境——其中有一项明显的风险是，TEE 制造商持有密钥，如果被迫或愿意，他们可以与他人共享访问权限。

经外部审计机构NCC Group验证，Private AI Compute 的系统设计符合隐私和安全指南。审计内容包括 Private AI Compute 系统架构审查、Oak Session Library 加密安全评估以及 IP 隐匿中继安全分析。

对私有 AI 推理感兴趣的开发人员可以探索下OpenPCC，这是一个可以从 GitHub 上获取的开源框架。该存储库为那些希望考查或实验私有 AI 架构的人提供了技术细节。

原文链接：

https://www.infoq.com/news/2025/11/google-private-ai-compute-tee/