Google presentó el martes una nueva tecnología para mejorar la privacidad llamada Computación de IA privada para procesar consultas de inteligencia artificial (IA) en una plataforma segura en la nube.
La empresa dijo ha creado Private AI Compute para «aprovechar al máximo la velocidad y la potencia de los modelos en la nube de Gemini para las experiencias de IA, al tiempo que garantiza que tus datos personales permanezcan privados para ti y no sean accesibles para nadie más, ni siquiera Google».
La computación de IA privada se ha descrito como un «espacio seguro y fortificado» para procesar los datos confidenciales de los usuarios de una manera análoga al procesamiento en el dispositivo, pero con capacidades de IA ampliadas. Está impulsado por Trillium Unidades de procesamiento de tensores (TPU) y Titanio Intelligence Enclaves (TIE), que permiten a la empresa utilizar sus modelos de vanguardia sin sacrificar la seguridad y la privacidad.
En otras palabras, la infraestructura de privacidad está diseñada para aprovechar la velocidad computacional y la potencia de la nube y, al mismo tiempo, conservar las garantías de seguridad y privacidad que vienen con el procesamiento en el dispositivo.
Las cargas de trabajo de CPU y TPU de Google (también conocidas como nodos confiables) se basan en un entorno de ejecución confiable (TEE) de hardware basado en AMD que cifra y aísla la memoria del host. El gigante tecnológico señaló que solo las cargas de trabajo certificadas pueden ejecutarse en los nodos confiables y que el acceso administrativo a las cargas de trabajo está interrumpido. Además, los nodos están protegidos contra posibles ataques de exfiltración física de datos.
La infraestructura también admite la certificación y el cifrado punto a punto entre los nodos de confianza para garantizar que los datos de los usuarios se descifran y procesan solo dentro de los límites de un entorno seguro y están protegidos de una infraestructura más amplia de Google.
«Cada carga de trabajo solicita y valida criptográficamente las credenciales de carga de trabajo de la otra, lo que garantiza la confianza mutua dentro del entorno de ejecución protegido», explica Google. «Las credenciales de carga de trabajo solo se aprovisionan tras la validación satisfactoria de la certificación del nodo comparándola con los valores de referencia internos. Si no se valida, se impide el establecimiento de la conexión, lo que protege los datos de los usuarios de los componentes que no son de confianza».
El flujo general del proceso funciona así: un cliente usuario establece un Protocolo de ruido conexión de cifrado con un servidor frontal y establece una certificación bidireccional. El cliente también valida la identidad del servidor mediante un Roble sesión certificada cifrada de extremo a extremo para confirmar que es genuina y no está modificada.
Tras este paso, el servidor configura una seguridad de transporte a nivel de aplicación ( ALTS ) canal de cifrado con otros servicios de la canalización de inferencia escalable, que luego se comunica con los servidores modelo que se ejecutan en la plataforma TPU reforzada. Todo el sistema es «efímero por diseño», lo que significa que un atacante que consiga obtener un acceso privilegiado al sistema no podrá obtener datos anteriores, ya que las entradas, las inferencias del modelo y los cálculos se descartan tan pronto como finaliza la sesión del usuario.
|
| Arquitectura de computación de IA privada de Google |
Google también ha promocionado las diversas protecciones integradas en el sistema para mantener su seguridad e integridad y evitar modificaciones no autorizadas. Estas incluyen -
- Minimizar la cantidad de componentes y entidades en los que se debe confiar para la confidencialidad de los datos
- Uso Computación federada confidencial para recopilar análisis e información agregada
- Cifrado para las comunicaciones entre el cliente y el servidor
- Autorización binaria para garantizar que solo se ejecuten códigos firmados y autorizados y configuraciones validadas en toda su cadena de suministro de software
- Aislar los datos de los usuarios en máquinas virtuales (VM) para contener los riesgos
- Proteger los sistemas contra la exfiltración física con el cifrado de la memoria y la unidad de administración de memoria de entrada/salida ( IOMMU ) protecciones
- Acceso cero a la carcasa en la plataforma TPU
- Uso de relés cegadores de IP operados por terceros para canalizar todo el tráfico entrante al sistema y ocultar el verdadero origen de la solicitud
- Aislar la autenticación y la autorización del sistema de la inferencia mediante Tokens anónimos
NCC Group, que ha llevado a cabo un evaluación externa de Private AI Compute entre abril y septiembre de 2025, dijo que había podido descubrir un canal lateral basado en la temporización en el componente de retransmisión cegadora de IP que podía usarse para «desenmascarar» a los usuarios en determinadas condiciones. Sin embargo, Google considera que es un sistema de bajo riesgo, ya que la naturaleza multiusuario del sistema genera una «cantidad significativa de ruido» y dificulta que un atacante pueda correlacionar una consulta con un usuario específico.
La empresa de ciberseguridad también dijo que identificó tres problemas en la implementación del mecanismo de certificación que podrían resultar en una condición de denegación de servicio (DoS), así como en varios ataques de protocolo. Google está trabajando actualmente en la mitigación de todos ellos.
«Aunque el sistema en general se basa en hardware propietario y está centralizado en Borg Prime, [...] Google ha limitado rigurosamente el riesgo de que los datos de los usuarios queden expuestos a un procesamiento inesperado o a personas ajenas a la empresa, a menos que Google, en su conjunto, decida hacerlo», afirma. «Los usuarios se beneficiarán de un alto nivel de protección contra los intrusos malintencionados».
El desarrollo refleja movimientos similares de Apple y Meta, que han lanzado Private Cloud Compute ( PCC ) y Procesamiento privado para descargar las consultas de IA de los dispositivos móviles de forma que se preserve la privacidad.
«La certificación y el cifrado remotos se utilizan para conectar el dispositivo a un entorno de nube sellado y protegido por hardware, lo que permite a los modelos Gemini procesar sus datos de forma segura en un espacio protegido y especializado», afirma Jay Yagnik, vicepresidente de Innovación e Investigación de la Inteligencia Artificial de Google. «Esto garantiza que los datos confidenciales procesados por Private AI Compute sigan siendo accesibles solo para ti y para nadie más, ni siquiera para Google».