- OpenPCCは、AppleのPrivate Cloud Computeに着想を得た検証可能なプライバシーAI推論フレームワークであり、完全なオープンソースとして提供される
- プロンプト、出力、ログを公開せず、暗号化ストリーミング・ハードウェア認証・非リンク要求によって個人情報保護を保証
- 誰でも自前のインフラ上でオープンまたはカスタムAIモデルを実行でき、透明性が高く監査可能な構造として設計されている
- Confident Securityは、OpenPCC標準に基づくマネージドサービスCONFSECを開発中
- AIデータプライバシーのためのコミュニティ主導の標準へと発展させることを目指している
OpenPCC概要
- OpenPCCは、プライバシーが保証されたAI推論を可能にするオープンソースフレームワーク
- AppleのPrivate Cloud Computeの概念をベースにしつつ、完全に公開・監査・自己ホスト可能な形で実装
- ユーザーは、プロンプト、出力、ログが外部に露出しない状態でAIモデルを実行できる
- 暗号化ストリーミング、ハードウェア認証(hardware attestation)、非リンク要求(unlinkable requests) によりデータ保護を強化
- 目標は、透明性がありコミュニティによって運営されるAIデータプライバシー標準の確立
Managed Service: CONFSEC
- Confident Securityは、OpenPCC標準に基づくフルマネージドサービス CONFSECを開発中
- 関連情報と登録は confident.security のWebサイトで提供
- CONFSECは、OpenPCCの技術を商用環境で容易に活用できるよう支援する
OpenPCC Client構成
- リポジトリにはGoクライアントコードとCライブラリが含まれており、これはPythonおよびJavaScriptクライアントの基盤として使われる
- クライアントをテストするためのインメモリサービス(in-memory services) もあわせて提供
- 関連するCompute Node実装は、別リポジトリ(confidentsecurity/confidentcompute)で確認できる
Go使用例
cmd/test-client/main.go ファイルにローカル開発用の例が含まれている- 本番サービス接続時は、
openpcc.NewFromConfig を通じてクライアントを作成し、APIリクエストを実行
- 例ではモデル
"qwen3:1.7b" とプロンプト "why is the sky blue?" を使用
- リクエストヘッダー
"X-Confsec-Node-Tags" によって、特定モデルを実行中のコンピュートノードへルーティング
- コード例はOpenAI APIのgenerateフォーマットに従う
開発とテスト
- 開発コマンドには、Goベースのビルドツールmageを使用
go tool mage [cmd] または go install github.com/magefile/mage@latest で実行可能mage コマンドは利用可能なコマンド一覧を出力し、/magefiles/* ディレクトリに定義されている
- 開発中にライブラリをテストするには、
mage runMemServices でインメモリOpenPCCサービスを起動し、mage runClient でテストリクエストを実行
参考資料
- OpenPCCの技術的な詳細はホワイトペーパー(whitepaper) で確認可能
1件のコメント
Hacker Newsのコメント
ホワイトペーパーの内容を見る限り、inference provider は依然としてプロンプトと応答の平文にアクセスできる構造に見える
ただしこの方式では、APIルーターのような第三者は平文を見ることができず、クライアントの身元もリクエストと結び付けられないよう隠される
READMEにこうした プライバシー保証の範囲 を明確に要約しておくとよさそう
こうした点を踏まえると、単にユーザーが
方式と比べて、この構造にどんな利点があるのか気になる
ここでいう inference provider が正確に何を指すのか気になる
実際には、復号後もワークロードは外部(OpenAIなど)には出ていかず、オープンソースモデル がロードされたコンピュートマシン上で直接実行される
これらのマシンは実行中のソフトウェアを 暗号学的に証明(attestation) し、機密情報を外部に漏らせないことを保証する
AppleのPCCも同じ原理で動作し、クライアントはこうした保証を提供しないノードにはリクエストを送らない
つまり、ハードウェア運用者でさえプロンプトを見られないことが中核的なプライバシー保証だ
BYOKで大部分は解決するが、それでもキーを提供する瞬間にリスクは残る
Appleの Private Cloud Compute や AWSの Nitro Enclaves のようなシステムは、この最後の段階を解決しようとしている
NCC GroupがAWSを検証した結果、従業員がホストにログインしたり顧客データにアクセスしたりできる 管理API が存在しないことを確認した
こうした構造は、透明性とセキュリティの面で非常に異例だ
Appleの PCCセキュリティ研究ブログ も参考になる
マネーロンダリング防止規制のため、追跡可能な決済のみが認められている
ただし、具体的にどのレベルまで禁止されるのかは不明確だ
関連記事: EU to ban trading of privacy coins from 2027
私も似たようなことをしているチームにいた
有料サービスではあるが、ソース公開 と 意味のある attestation を提供している
サービス: privatemode.ai
コード: github.com/edgelesssys/privatemode-public
一方で edgeless は BSL を使っている
inference provider がプロンプトを見られないようにすることがUSPであり、
Privatemodeは ソースコード → 再現可能ビルド → TEE attestation report へと続くチェーンを通じてこれを実現している
また、Kata/CoCoのような分離技術とランタイムポリシーでセキュリティを強化している
「provably private」とはいうものの、物理アクセス と少しの機材があればメモリバスを解析することもできる
関連議論: HN thread
数万台のマシンのうち、どこに解析器を取り付けるつもりなのか?
素晴らしい仕事だ。オープンソースで公開されたのも印象的だ
私たちは 準同型暗号(homomorphic encryption) の問題に似た課題を研究中なのだが、OpenPCCが役立つか気になっている
たとえば、ウェアラブルデバイス(ARグラスなど)が視覚データをログとして残す際にプライバシー問題が生じる
こうしたデータを開発者のデバッグ用に 匿名化 するのにOpenPCCは使えるだろうか?
基本的にOpenPCCは内部をのぞけない attested HTTPサーバーだ
ウェアラブルがデータをOpenPCCに送れば、その中で匿名化プロセスを走らせられる
もちろん、デバイス自体で匿名化するほうがよりシンプルだ
ちなみに 準同型暗号はまだ実用段階ではない
本当に素晴らしいリリースだ
より多くの企業がこれを活用して ユーザープライバシー を強化してほしい
Go言語が登場してうれしい
私は AI分野でGoがPythonを追い越す と思う
Azureの Confidential AI Inference に似ている
参考リンク: Azure AI Confidential Inferencing Deep Dive
透明性の面で重要な部分だが、誰か見たことはあるだろうか
理論上はすごいが、実際に 何を動かせるのか がよくわからない
スパマーでもない限り、どんなユースケースがあるのだろう?
思い浮かぶのは federated learning や FlowerLLMのような分散学習システムだが、inference用途ではなかった
クローズドソフトウェアから離れようとする試みは歓迎だが、実際の活用例が気になる
たとえばOpenAI Whisperを /e/OS で 匿名プロキシ としてSTTサービスのように動かすのは可能そうだ
ただ、その程度ならローカルでも十分可能なので、依然として明確な使い道を探している
コンピュートノードのソースコード はどこにあるのか気になる