Вице-президент Apple по программному обеспечению Крейг Федериги представил архитектуру Apple Intelligence нового поколения, в центре которой — три уровня обработки запросов: локальная модель на устройстве, облачные модели на серверах Apple и, наконец, AFM 3 Cloud Pro на инфраструктуре Google Cloud.
Локальный уровень получил модель AFM 3 Core, разработанную совместно с Google на базе Gemini. Устройства с не менее чем 12 ГБ оперативной памяти и чипами M3/M4 или A19 Pro используют расширенную версию — AFM 3 Core Advanced, которая задействует дополнительное хранилище для улучшения диктовки и более выразительного голоса Siri. Более простые устройства ограничены базовой версией модели.
| Модель | Назначение | Где работает |
|---|---|---|
| AFM 3 Core | Простые запросы на устройстве | Устройство пользователя |
| AFM 3 Core Advanced | Диктовка, выразительный голос Siri (12 ГБ+ RAM, M3/M4/A19 Pro) | Устройство пользователя |
| AFM 3 Cloud | Общие облачные задачи | Серверы Apple (кремний Apple) |
| ADM 3 Cloud | Генерация изображений | Серверы Apple (кремний Apple) |
| AFM 3 Cloud Pro | Агентные задачи, сложное рассуждение | Google Cloud (Nvidia-серверы) |
Для «сложных» запросов устройство обращается к облаку. Здесь Apple разделила нагрузку на три модели: AFM 3 Cloud для общих задач, ADM 3 Cloud для генерации изображений и AFM 3 Cloud Pro для агентных сценариев и комплексного рассуждения. Первые две модели работают на собственном кремнии Apple в её дата-центрах. AFM 3 Cloud Pro — исключение: она размещена на Nvidia-серверах, принадлежащих Google.
Две другие облачные модели — AFM 3 Cloud и ADM 3 Cloud — по-прежнему работают на оборудовании Apple.
Перенос части вычислений на чужую инфраструктуру потребовал переработки Private Cloud Compute (PCC) — технологии, которую Apple представила в 2024 году как гарантию того, что облачные запросы не сохраняются и не доступны даже сотрудникам компании. Новая итерация PCC опирается на три аппаратных механизма защиты: Confidential Computing от Nvidia изолирует вычисления на уровне GPU, Trust Domain Extensions от Intel защищают память на уровне процессора, а чип Titan от Google обеспечивает аппаратную аттестацию сервера.
Помимо аппаратных мер, Apple ведёт криптографически верифицируемый журнал с дозаписью (append-only ledger), в котором фиксируется всё оборудование Google Cloud, входящее в PCC-флот. Устройства Apple доверяют только программному обеспечению на этих серверах, если оно подписано самой Apple. Это означает, что Google технически не может развернуть на своих серверах иной код, который получал бы доступ к пользовательским данным.
Подобная архитектура отражает более широкую тенденцию в отрасли: крупные платформы всё чаще вынуждены балансировать между масштабируемостью публичных облаков и требованиями к конфиденциальности. Microsoft использует схожий подход в Azure Confidential Computing, а Google продвигает собственные Confidential VMs. Apple, однако, делает ставку на верифицируемость: пользователь теоретически может убедиться, что на сервере запущен именно тот код, который задекларирован.
Ограничения подхода очевидны: гарантии конфиденциальности здесь опираются на совокупность аппаратных и криптографических механизмов от нескольких вендоров, каждый из которых вносит свою поверхность атаки. Независимая проверка этих утверждений остаётся сложной задачей — Apple публикует технические описания PCC, но полный аудит сторонними исследователями пока не проводился в публичном пространстве.
