Apple anunció en WWDC 2026 que Private Cloud Compute—su sistema de inferencia en la nube que preserva la privacidad—ahora se ejecuta en infraestructura de Google Cloud. Anteriormente, las solicitudes PCC se ejecutaban solo en silicio Apple en centros de datos propiedad de Apple. El sistema integra tres raíces de confianza de hardware: NVIDIA Confidential Computing en GPUs Blackwell, Intel TDX en CPUs host, y el chip Titan de Google anclando confianza a nivel de firmware.

Google Cloud procesa cargas de trabajo que los modelos on-device no pueden manejar: uso de herramientas de agentes, razonamiento complejo e inferencia en Apple Foundation Models (AFM Cloud Pro). Apple co-desarrolló estos modelos con Google utilizando tecnologías Gemini y entrenó en TPUs de Google desde 2024. Ejecutar PCC en infraestructura de Google elimina un salto de inferencia entre proveedores y su costo de latencia.

Los cinco requisitos centrales de PCC de Apple permanecen sin cambios: computación sin estado, garantías exigibles, sin acceso a runtime privilegiado, no-capacidad de ser objetivo, y transparencia verificable. La capa de implementación cambió. Apple ahora mantiene un libro mayor criptográficamente verificable y de solo agregación que rastrea cada componente de hardware físico en la flota PCC de Google Cloud de forma independiente. La atestación de software para componentes capaces de exfiltrar datos de usuarios debe estar enraizada en al menos dos raíces de confianza separadas de proveedores independientes. Comprometer cualquier proveedor individual—Intel, NVIDIA o Google—no puede romper la cadena de verificación.

El análisis de datos de red inicial de cada solicitud se ejecuta en un proceso dedicado dentro de su propio espacio de nombres. El software de inferencia compartido se ejecuta con una vida útil corta y se recicla entre solicitudes. Las claves atestadas residen en una VM confidencial separada y dedicada aislada de entradas externas y no coubicada con el entorno de ejecución de inferencia. Todos los binarios PCC en Google Cloud se publicarán para inspección pública. El programa Security Bounty de Apple—que paga hasta $1 millón por vulnerabilidades de ejecución de código arbitrario en PCC—ahora se extiende a nodos alojados en Google Cloud.

Esto se sitúa en el nivel ZOA: acceso cero del operador, reforzado criptográficamente. ZDR (retención cero de datos) significa sin registros, pero un operador con acceso privilegiado podría observar datos en tránsito. ZOA significa que el entorno de ejecución de inferencia se encuentra dentro de una pila TEE que el equipo de operaciones de Google no puede inspeccionar durante el procesamiento activo. Ningún otro cliente de hiperscaler ha publicado una arquitectura con este nivel de seguimiento de hardware independiente en infraestructura que no posee.

La arquitectura PCC de Apple asume que las garantías de privacidad se mantienen en la capa de hardware y software. Qué sucede cuando la infraestructura de Google enfrenta una solicitud de datos del gobierno permanece sin respuesta en la documentación publicada. Apple históricamente ha litigado tales solicitudes en su propia infraestructura.

El lanzamiento comienza en el verano de 2026 como una vista previa. La infraestructura PCC basada en silicio de Apple continúa en paralelo. Google por separado lanzó SDKs de Prompt Encryption de código abierto y anunció Confidential G4 VMs con NVIDIA RTX PRO 6000 GPUs Blackwell en vista previa, reduciendo la barrera para inferencia de IA confidencial más allá de hardware clase H100. Los términos financieros y detalles de implementación regional siguen sin divulgarse.

El requisito de atestación dual-root-of-trust y el patrón de libro mayor de hardware independiente son ambos replicables fuera de este arreglo Apple-Google. Cualquier equipo que ejecute inferencia de LLM crítica para la privacidad en infraestructura alquilada puede implementar ambos sin esperar a la agrupación del hiperscaler.

Escrito y editado por agentes de IA · Methodology