嗨又是我XDD，因為蘋果釋出了一份新的說明文件，正好解釋了一些我上一篇
文章中尚待釐清的問題，所以再寫一篇文與板友分享與討論～
註：以下內容皆是我個人對於文件的解讀，完整的資訊請參考官方文件，且
如有說錯的地方也請不吝指教！
https://www.apple.com/child-safety/pdf/Security_Threat_Model_Review
_of_Apple_Child_Safety_Features.pdf
https://apple.co/3g2COix
Q1. 沒有上傳到 icloud 的照片是否也會被掃描？
A1. 不會，只要沒有開啟 icloud photo，手機就不會對任何照片進行掃描，
也就是不會運用手機資源進行任何的 Neural Hash 運算與比對。
Q2. 蘋果憑什麼用消費者的手機資源進行運算掃描？
A2. 如同 Q1，只有上傳到 icloud 的照片才會被掃描，所以蘋果並不是為了
掃描用戶的「本機照片」，而是為了掃描「icloud上的照片」。如同其他雲
端服務商也會掃描儲存在該公司伺服器內的圖片，但這個做法差別在於將掃
描的動作放在本機執行，而不是上傳到雲端後才掃描明文圖片。
Q3. 資料庫的內容是怎麼產生的？
A3. 這題大概是整個機制中數一數二重要的問題，因為匹配與否的關鍵就在
於資料庫的內容。根據文件的說法，兒童色情圖片並非由蘋果持有，資料庫
內所有雜湊資料都是由 NCMEC 等其他各國的非政府組織所運算，再將雜湊資
料交給蘋果。然而，重點在於蘋果在取得各組織所提供的雜湊資料後會對各
組織的資料取「交集」，也就是說，除非照片「同時」出現在每個非政府組
織所提供的資料裡面，不然不會被蘋果納為資料庫的圖片。 值得注意的
是，至少會有兩個以上的組織提供資料給蘋果，且各組織屬於不同的主權
管轄區(sovereign jurisdictions)，換句話說，每個組織是受不同政府所
監管。所以既使單一或少數政府迫使該國組織偷加入指定圖片，也會在取交
集時而被剔除。
Q4. 由於比對的動作是在本機進行，故本機會有一組加密的資料庫。那資料
庫是如何發佈到使用者的設備？
A4. 根據文件，加密的資料庫會是作業系統的一部份，所以僅能透過系統更
新的方式安裝/發佈到使用者的設備，無法通過網路或任何其他機制單獨下載
或更新資料庫。蘋果(宣稱)對於全世界使用者部署同一套作業系統，所以
無法針對任何單一/部份用戶更新或安裝不同的資料庫。另外，蘋果會為資料
庫產生一個根雜湊值(root hash)，不同的資料庫內容會產生不同的 root
hash，這個雜湊值會紀錄在公開的文件與使用者的設備中，故使用者可以在
設備的設定中找到這個雜湊值並與公開的數值進行比對與確認。而至於這個
根雜湊值可以由第三方的技術人員審核是否真的是由未經竄改的資料庫所產
生。
Q5. 雖然資料庫的來源並非蘋果，但蘋果是否能自行或受迫加入其他的圖片
？
A5. 這題也是 well yes but actully no XD，蘋果確實可以在取得交集結果
後自行加入其他的圖片，但如上題所述，所有發佈到使用者設備的資料庫都
會先產生一組 root hash，第三方技術審查員可以檢視並驗證該雜湊值是否
由未經竄改的資料庫所產生，且所有提供資料庫的非政府組織可以檢驗取交
集後的資料庫內容是否正確。
Q6. 帳戶只有在超過一定的閾值(threshold)時才會被標記並解密，那麼閾值
究竟是多少？
A6. 先講結論，目前的預設的閾值是30張。閾值的由來關係到機率與統
計，不是我熟悉的東西，所以建議直接看官方的文件(P.10)，以下是我粗略
的整理。上一篇文有提到，每個帳戶被誤判的機率是一兆分之一(注意這邊指
的是每個帳戶，而不是每張照片誤判的機率)，而這個機率並不是直接實驗得
來的，而是蘋果希望達到的目標，看到這裡可能會覺得很荒謬XD，不過這是
決定閾值的關鍵。首先蘋果做了兩次實驗，一次是用這個機制進行了一億次
的圖片比對，總共出現了3次的誤判(false positive)。而另外一個實驗有點
有趣XD，蘋果直接用50萬張成人色情圖片進行比對，結果沒有任何誤判（圖
片怎麼來的不好說www）。總之根據第一個實驗結果，圖片誤判的機率是一億
分之三。而當然實驗不代表真正的機率，因此蘋果並沒有直接用這個數值去
計算，而是假設在最壞的情況下真實的機率值大於實驗值兩個數量級，也就
是一百萬分之一。所以在這個假設的前提下，蘋果估算至少要30張照片被誤
判時才能夠達到每個帳戶誤判率一兆分之一的目標。值得注意的是，閾值並
不是固定的，會根據部署後的實際統計資料而進行微調。
Q7. 人工審核是如何進行？
A7. 當閥值超過時，蘋果會解密 matched 的照片並再做一次掃描判斷，若複
審的結果仍超過閥值便會交由人工審查。審查員能夠看到低解析度版本的圖
片，不過審查員只能回報該圖片是否為兒童色情，不會回報任何其他資訊。
但很遺憾的，只要到人工審核的階段，即便是誤判的照片也會被審查員檢視
，所以如果不想冒任何的風險，建議關閉 icloud photos 備份。

我們每個人都要浪費空間去存這個資料庫喔… 另外誤判設定三十張，有一個有趣的問題就是，誤判的那張，我剛好連拍了差不多的30張，這樣不就直接達標了？最後一個人工審核也是有點…就算再模糊，也是要清楚到可以判斷是不是違規照片吧？這樣基本上還是可以看到你拍了什麼啊

是閾值不是閥值吧

啊又打錯了…來改一下

推認真

不管它怎麼樣實作 都改變不了蘋果去接觸私人資料的事實

謝謝蘋果幫大家檢查肉色照片

消費者不才不管你怎麼實作，反正蘋果就是侵犯到隱私了，作為果粉我都護航不下去，對比多年前拒絕幫fbi解鎖,令人不勝唏噓啊，而且真有你說得這麼棒reddit那些地方也不會燒起來了

我也想問 隱私吹了這麼多年 突然蘿莉控就沒隱私了？這不就是砸自己的腳

他們可能覺得蘋果用戶死忠到就算明著搶用戶資料也會繼續使用吧從airtag就覺得奇怪了

要更陰謀論一點的話：這是為了配合中國市場政策先舖路對庫克來說中國市場太香了，所以為了配合當地法規，弄這東西出來以後才方便在中國繼續賣 XD

現在的問題是 即使你想換手機 google也早就掃好掃滿了

google從一開始就告訴你他會這樣做了

相關作為也許應取得司法機關同意

只掃icloud的照片為什麼不在雲端掃要在本機掃

如果iphone上傳且達到值30,報警處理後，apple會幫該部iphone解鎖嗎？還是只憑icloud的那30張圖片就能定一個人的罪？看圖犯法？(如果他沒任何犯罪行為）如果無法定罪，那大費周張為何事？

我想使用iphone或icloud還是要遵循當地法律算合理，不過之前的fbi解密事件後美國沒有修改相關法規？違法使蘋果強制解密的話就不難理解了

這個行為根本就是要把iCloud送入墳場美國法令禁止執法單位在沒有搜索票的狀況下檢查人民的電子產品，但如果消費者自願簽了使用條款就另當別論換句話說，美國聯邦政府是利用蘋果使用者條款來做原本法令禁止的事情，而且全自動更方便

解鎖一部犯罪者的iphone手機：no掃瞄所有使用者上傳icloud的照片：yes

據蘋果說法，iCloud 的資料若從雲端存取是加密後的檔案，所以也無法比對吧。原始檔只能在本機看見

關鍵報告

突然某些隱私就不是隱私了

現在是只針對美國是嗎？

就是蘋果轉彎打自己臉了，沒啥好護航準備退訂iCloud了

推辛苦整理

問題是退訂之後有沒有同等的替代性服務 XD