Apple gaat ethische hackers stimuleren en belonen om bugs te vinden in het Private Cloud Compute (PCC)-systeem voor het verwerken van complexe AI-processen. Hiervoor stelt de techgigant een speciale virtuele onderzoeksomgeving beschikbaar en maakt het bepaalde code van het AI-systeem open-source.
Apple wil de beveiliging van zijn PCC verbeteren door ontwikkelaars onderzoek te laten doen naar de veiligheid van deze omgeving. PCC is een cloudgebaseerd intelligentiesysteem van Apple voor het verwerken van complexe AI-processen met data van eindgebruikers, waarbij hoge privacystandaarden gelden.
PCC verwerkt persoonlijke gegevens van eindgebruikers op een manier waarbij de privacy van deze gegevens niet wordt aangetast of anderszins wordt gebruikt dan strikt noodzakelijk is. Dit gebeurt met behulp van end-to-end encryptie.
Deze encryptie biedt veiligheidsgaranties die ervoor zorgen dat Apple-medewerkers geen toegang hebben tot deze gegevens en dat het systeem bestand is tegen hackpogingen. Alle privacy- en beveiligingsmaatregelen zijn bovendien volledig transparant voor gebruikers.
Introductie virtuele onderzoeksomgeving
Om de privacy- en securitystandaarden van PCC verder te verbeteren, stelt Apple nu een virtuele onderzoeksomgeving (VRE) beschikbaar, waarin ontwikkelaars kwetsbaarheden kunnen opsporen. Hiervoor heeft de techgigant ook de broncode van enkele belangrijke componenten open-source gemaakt en een Private Cloud Compute Security Guide gepubliceerd met uitleg over de architectuur en technische werking van PCC.
Met de VRE kunnen ontwikkelaars lokaal een versie van PCC repliceren en onderzoeken, waarbij zij de privacy- en securityfunctionaliteiten kunnen testen en op zoek kunnen gaan naar mogelijke kwetsbaarheden.
Beloning bugs via bountyprogramma
Voor het opsporen van kwetsbaarheden in PCC introduceert Apple nieuwe mogelijkheden binnen zijn bestaande bountyprogramma voor beveiliging, dat beloningen uitkeert voor ontdekte kwetsbaarheden in Apple-producten en -software.
De hoogste beloning voor kwetsbaarheden in PCC bedraagt 1 miljoen dollar voor een succesvolle aanval die toegang biedt tot data en die RCE (Remote Code Execution) mogelijk maakt. Onderzoekers die toegang verkrijgen tot verzoekdata van eindgebruikers of andere gevoelige informatie ontvangen 250.000 dollar. Aanvallen vanaf netwerken met verhoogde privileges worden beloond met bedragen tussen de 50.000 en 150.000 dollar.
Ook voor kwetsbaarheden die buiten deze categorieën vallen, zijn beloningen beschikbaar.
De VRE van PCC is nu beschikbaar binnen macOS Sequoia 15.1 Developer Preview. Onderzoekers hebben voor het draaien van deze omgeving een Mac-computer nodig met een Apple-processor en minimaal 16 GB aan unified geheugen.
Lees ook: Vervangt Apple zijn vaste release-cycle?