Маркетологи годами продавали нам локальное исполнение ИИ как абсолютную гарантию безопасности. Однако Джонхён Чунг и Санкет Бадхе из Google в своем свежем анализе буквально вскрывают этот миф: локальный инференс отвечает лишь на вопрос о том, «где» шуршат процессоры, а не «кто» на самом деле контролирует потоки данных. Когда ИИ перестает быть изолированным приложением и превращается в слой медиации на уровне операционной системы, архитектура доверия рушится. Платформа получает возможность беспрепятственно смешивать сигналы из календаря, почты и скриншотов в единые векторы.
Крах мифа о локальной безопасности
Интеграция таких решений, как Apple Intelligence, Android AICore с Gemini Nano или Microsoft Recall, превращает ОС в гигантский пылесос контекста. В отличие от закрытых приложений, где приватность ограничена рамками сервиса, системный ИИ одновременно обрабатывает уведомления и интенты (намерения) программ. Возникает риск утечки производного состояния данных, который локальное исполнение никак не купирует. Ассистент по подготовке к встречам может объединять метаданные конфиденциальной почты с черновиками документов. Даже если исходный текст не покидает устройство, созданные эмбеддинги остаются уязвимыми для вторичного доступа или изменения системных полномочий при очередном обновлении.
«Локальный инференс снижает риск перехвата, но отвечает лишь на один вопрос: где происходят вычисления».
Помимо агрегации контекста, подобные системы обожают вызывать внешние инструменты или отправлять телеметрию и артефакты краш-репортов, в которых «зашита» чувствительная информация. Стоит локальной модели споткнуться о задачу, превышающую ее возможности, как она тут же делегирует запрос в облако. Этот механизм фолбека в сочетании с непрозрачными апдейтами делает нынешнее бинарное деление на «облако» и «локалку» наивным пережитком прошлого.
Новый фреймворк институциональной подотчетности
Чтобы закрыть эти дыры, Чунг и Бадхе предлагают OS-centered privacy framework. Исследователи уходят от понимания приватности как атрибута развертывания и вводят таксономию рисков из шести пунктов, фокусируясь на доступе к контексту и персистентности памяти. Методология требует жесткого ограничения информационных потоков через архитектурный контроль, а не просто декларативных разрешений. Для проверки теории авторы прогнали через четырехступенчатый аудит документацию Apple Intelligence, Android AICore и Microsoft Recall. Только переход к проверяемому управлению на всех этапах жизненного цикла ОС позволит сохранить хоть какое-то доверие к автономным ИИ-агентам.
«Подлинная приватность в локальном ИИ зависит от ограничения информационных потоков, прозрачного контроля со стороны пользователя и аудируемого управления всей операционной системой».
Термин «локальный» превратился в маркетинговую ширму, скрывающую реальность производных данных. Если ИИ генерирует саммари частного разговора, этот отчет — новая единица данных со своим жизненным циклом. Его нахождение на диске не мешает другим компонентам системы использовать его не по назначению. Пора перестать воспринимать локальное исполнение как чит-код для комплаенса и начать детальный аудит путей, по которым ИИ-ассистенты собирают и хранят ваш контекст.
Для техлидов и регуляторов это сигнал: фокус смещается с резидентности данных на их сборку. Главное ограничение исследования в том, что оно опирается на официальную документацию вендоров, которая часто приукрашивает действительность. Бизнесу стоит усвоить: «локальный ИИ» не снимает ответственности за безопасность, если вы не понимаете, куда улетает телеметрия и как система распоряжается накопленным опытом ваших сотрудников.