Private AI Compute Enables Google's Inference Through Hardware Isolation and Temporary Data Design

谷歌发布Private AI Compute。该系统旨在使用Gemini云模型处理AI请求，同时保护用户数据隐私。按照谷歌的说法，Private AI Compute技术旨在“充分释放Gemini云模型的速度与性能，提升AI体验”，它“可以提供更快速、更实用的响应，让用户更轻松地获取所需信息、获得智能建议并采取行动”。根据公告，谷歌将Private AI Compute定位为解决用户隐私担忧并提供云端AI能力的解决方案，其基础是谷歌为AI应用场景开发的隐私增强技术（PET）。

谷歌为Private AI Compute数据处理设计了多层保护。该系统使用基于AMD硬件的可信执行环境（TEE）来处理CPU和TPU工作负载，以便“进行加密并使内存以及处理过程与主机隔离”。为满足Private AI Compute的要求，从第六代谷歌云TPU（称为Trillium）开始，该公司会将其Titanium硬件安全架构扩展到TPU硬件。该架构还使用Noise及应用层传输安全（ALTS）等协议在受信任的节点之间建立加密通信通道。作为建立加密通道的一个环节，谷歌会对可信节点进行认证以验证其完整性。该公司表示，此举可将用户数据与更广泛的谷歌基础设施隔离。

图片来源：Private AI Comput信任链

该系统采用临时化运行机制，其中“输入数据、模型推理结果及计算过程仅在满足用户查询需求期间保留”，谷歌称此举可防止攻击者访问历史数据。系统核心服务在基于AMD硬件可信执行环境（TEE）的机密计算平台上运行，前端服务则部署在机密虚拟机中。谷歌宣称，该方案能隔离虚拟机工作负载与宿主环境，并通过可信任的验证机制保障代码安全。该系统还采用第三方运营的IP隐匿中继，将流量隧道传输至Private AI Comput平台。谷歌声称，此举可彻底消除将用户IP地址或网络标识信息与具体查询关联的可能性。

Private AI Comput允许设备上的功能访问扩展能力，同时又能保护隐私。谷歌表示，在最新的Pixel 10手机上，该技术使Magic Cue“更有帮助，可以提供更及时的建议”。按照谷歌的说法，Pixel上的Recorder应用使用Private AI Compute来“对更广泛的语言进行转录摘要”。

Private AI Compute反映了整个行业向以隐私为中心的AI系统发展的趋势。苹果的Private Cloud Compute和Meta的Private Processing都在追求类似的目标，即将AI工作负载卸载到云端，并实现加密和基于硬件的保护。

Hacker News上的一位评论者指出：

有一些研究论文详细描述了如何攻击可信执行环境——其中有一项明显的风险是，TEE制造商持有密钥，如果被迫或愿意，他们可以与他人共享访问权限。

经外部审计机构NCC Group验证，Private AI Compute的系统设计符合隐私和安全指南。审计内容包括Private AI Compute系统架构审查、Oak Session Library加密安全评估以及IP隐匿中继安全分析。

对私有AI推理感兴趣的开发人员可以探索下OpenPCC，这是一个可以从GitHub上获取的开源框架。该存储库为那些希望考查或实验私有AI架构的人提供了技术细节。

原文链接：

https://www.infoq.com/news/2025/11/google-private-ai-compute-tee/