Google Research:通过零信任聚合和可信执行环境实现无需访问用户数据的AI模型私有分析
Google Research提出了一种AI模型私有分析系统,结合基于格密码学的协议和可信执行环境(TEE),在无需访问任何用户个人数据的情况下收集设备端模型性能的聚合统计数据。该系统已应用于Android 9+上的Android System SafetyCore服务,支持单消息发送而无需设备在多轮通信中保持在线。
本文由人工智能基于一手来源生成。
Google Research发布了私有分析系统的详细信息,解决了评估设备端AI模型的根本挑战:如何了解模型在用户设备上的真实性能,同时从不访问用户的私有数据?
零信任聚合解决了什么问题?
开发在设备上运行的AI模型(设备端AI——在手机或计算机上本地执行的模型,不将数据发送到云端)的团队在评估时面临根本性问题:
- 模型性能在实际使用中是否会漂移?
- 特定地理或人口背景下是否存在隐藏偏差?
- 实际错误率(野外——非受控测试环境)是多少?
用传统方法收集这些数据需要访问用户数据。零信任聚合解决了这一困境:聚合统计数据在数学上保证无法访问任何个人数据。
技术系统如何工作?
该系统结合了两个独立的保护层:
基于格密码学的协议(基于格密码学——后量子密码学的一个分支,能够抵抗量子计算机攻击):用户设备以这样一种方式加密本地数据,使服务器可以对密文值求和(聚合),但无法重建任何用户的个人数据。只有聚合结果才能被解密。
特别优势:该协议支持单次发送——设备发送一条消息后即可断开连接。标准私有求和协议需要多轮通信,这对移动设备来说不切实际。
TEE(可信执行环境——受信任的执行环境):执行代码的特殊隔离处理器空间,内存对系统其余部分不可访问。TEE提供加密证明(认证),证明服务器确实在执行预期代码——即使是Google自己的基础设施团队也无法在不被认证发现的情况下修改处理逻辑。
在Android SafetyCore中的应用
该系统具体应用于Android System SafetyCore——Android 9+设备上提供的Google系统服务。SafetyCore为Android安全功能提供私有设备端支持,零信任聚合使SafetyCore开发者能够:
- 评估有害内容分类器的精度
- 识别检测错误
- 基于聚合指标改进模型
所有这些都无需访问参与评估的用户设备上的任何私有内容。
为何双层方法比单层方法更鲁棒?
作者强调了组合架构的关键优势:即使TEE安全失效,密码学层仍然提供保护。每一层都独立保护用户隐私,使系统更能抵抗可能危及一层但无法同时危及两层的复杂攻击。详细方法论可在ACM DL存储库发布的密码学论文中找到。
常见问题
- 零信任聚合如何在收集统计数据的同时保护用户隐私?
- 用户设备使用基于格密码学的协议加密数据,使服务器可以聚合生成的密文,但永远无法解密个人数据。此外,TEE(可信执行环境)提供加密证明,证明服务器正在执行完全符合预期的代码。
- Android System SafetyCore是什么,它如何使用这项技术?
- Android System SafetyCore是Android 9+的Google系统服务,为Android安全功能提供私有设备端支持。它使用零信任聚合,使SafetyCore开发者能够评估分类器精度并改进全球设备上的检测,而无需访问用户的私有内容。
- 为何使用基于格密码学而非标准协议?
- 基于格密码学的协议支持单次消息发送——设备发送一条加密消息后即可断开连接。标准私有求和协议需要设备在多轮通信中保持在线,这对移动设备来说不切实际。
📬 AI 新闻直达您的邮箱
按您的方式定制每日摘要——自选主题、来源和频率,一键退订。