BBC: 何为英伟达H20芯片后门及潜在风险
美国宣布解除对AI芯片龙头辉达(Nvidia)H20芯片 (芯片)销往中国的禁令后不久,中国国家网信办于7月31日突发声明,宣布已约谈辉达,要求其针对拟销往中国的H20算力芯片存在漏洞与后门安全风险的问题,作出说明并提交相关证明材料。
此事不仅令人关注辉达在中国市场面临的新挑战,更将焦点转向芯片如何被植入后门系统,以及网信办所指控的“追踪定位”或“远端关闭”等功能的可能性。
芯片的“后门系统”(backdoor system),泛指一种隐藏的机制,允许未经授权的访问绕过标准安全措施。
专家向BBC指出,在某些极端情况下,这类后门构成严重的安全威胁,因其可能让攻击者取得控制权、窃取数据或操控设备功能,甚至实现远端监控。此类后门可能使攻击者在不被察觉的情况下,监视用户行为、窃取敏感资料(如AI模型参数或用户数据),甚或干扰关键基础设施的运作。例如,在军事或金融应用场景中,后门可能引发灾难性后果,进而引发对芯片供应链安全的广泛质疑。
“后门”定义存在争议
科技安全专家向BBC表示,关于“后门”的定义,确实存在争议与诸多隐忧。业界对后门的认知分为技术性和恶意两种观点:部分被标记为后门的功能,可能是设计中的正常部分,却也可能因疏忽或恶意被利用。
美国网络安全专家、知名科技网站“安全硬体”(SecurityHardware.com)总监乔・费兹派崔克(Joe FitzPatrick)向分析指出,每家制造商的每款芯片皆具备调试功能,尽管实现方式与细节各异,但当客户需探究设备故障原因时,制造商希望能提供协助。他进一步阐释,这些调试功能通常用于“诊断硬体问题”或优化性能,例如透过JTAG(联合测试行动小组)介面存取芯片内部状态。他强调,部分研究人员曾误将这些调试功能视为恶意后门,但后来证实其为未记录的调试功能,而非蓄意设计的恶意机制。
尽管如此,他也坦言,这些调试功能可能存在漏洞,或被制造商滥用,但仅因这些必要功能的存在,便推断其具“恶意”意图,并不公允。
费兹派崔克进一步解释,区分设计缺陷与故意植入的后门,需仰赖精密的技术分析,而非仅凭臆测。他强调,另一类威胁为“硬体木马”,学术研究对此颇多探讨,聚焦于单一行为者可能造成的破坏。例如,一名设计者能否在不被其他设计者、制造厂或测试流程察觉的情况下植入后门?制造厂能否修改设计,绕过验证流程?厘清这些问题需耗费巨大心力。
费兹派崔克称,H20芯片专为中国市场设计,符合美国对中国市场的出口管制要求。但这块芯片复杂的供应链(涉及台积电等代工厂和多家第三方IP供应商)增加了后门风险。他向记者表示,说到底,辉达的设计流程高度依赖全球合作,这使得确保每一环节的安全性成为挑战,尤其在当前地缘政治紧张的背景下。但他也补充强调称,昂贵的高阶AI芯片从设计到生产都要经过不同公司及部门的层层把关,要加入后门并不容易。
根据费兹派崔克的研究,已有诸多理论与原型案例,例如在外部刺激触发前禁用附加功能、在非无线设备中加入有限无线功能,或透过功耗、性能变化等外部可见特征泄漏资讯。此外,备受关注的“杀手开关”(kill switch,泛指紧急停止装置,用于在意外情况下迅速关闭或中断机器、设备或程序)亦是焦点之一。
费兹派崔克向BBC强调,他未曾听闻任何机制能透过无线讯号触发独立设备自毁。然而,他也指出,美国与中国均有诸多设备需“启动”才能完整运作的案例,多数在系统层级而非芯片层级,例如游戏主机、智慧手机或智慧无人机。在芯片层级,某些芯片可能内建数位版权管理(DRM)机制,若未获得授权,芯片可能无法正常运行,此机制因而被部分批评者视为潜在的“杀手开关”。
以此次风波主角辉达为例,作为一家无晶圆厂的积体电路公司,辉达设计包含第三方矽晶的系统单芯片(SoC),并外包制造。费兹派崔克向BBC表示,辉达的客户基于这些芯片打造系统,因此每一相关方——设计者、制造商、客户——均有机会篡改设计,但同时也需密切合作以确保产品正常运作。
他指出,由于芯片供应链的复杂性,注入恶意后门极为困难。此举需由单一方完成,且必须绕过所有其他方的检测。
如何植入芯片后门?
芯片后门可能在一片芯片生命周期的不同阶段被引入——设计、制造或后期生产。以下是可能的途径,揭示了芯片供应链的脆弱性:
一、设计阶段:后门可由原始设计者或工程师嵌入芯片设计中。例如,可在芯片架构中添加隐藏电路或逻辑,允许特定指令触发特权访问。此举可能受到政府或商业竞争对手的驱使。例如,设计者可能在芯片的寄存器传输级(RTL)程式码中插入隐藏逻辑,于特定输入序列下启动未记录的功能,从而允许远端控制或数据泄漏。
此外,黑客可能危害用于设计芯片的软体工具,例如透过在设计工具链中插入恶意程式码,在设计团队不知情的情况下,将后门植入芯片蓝图中。现代芯片常使用来自第三方的知识产权(IP)模组,若这些模组包含恶意逻辑,亦可能引入后门。特别是芯片设计公司,通常将其设计授权予多家制造商,若提供“受损的设计”,后门可能广泛传播。
二、制造阶段:大多数芯片由第三方代工厂(通常位于海外)制造。代工厂员工可能透过更改芯片布局(例如修改光罩)来植入后门,例如在特定条件下启动的电路。
此外,硬体木马,即对芯片的恶意修改(例如添加微小电路),亦可能成为后门。密歇根大学过去的研究显示,硬体木马可设计得极为微小且隐秘,几乎无法透过X射线或光学检查检测,增添防范难度。
在制造过程中,后门可能利用模拟属性或侧通道(例如功率变化)变得隐秘,难以透过传统功能测试发现。
三、后期生产:芯片通常依赖韧体(firmware)运行。韧体是指用来控制底层芯片里硬体的软体,如相机或HDMI,并且通常储存在特定硬体,通常由系统厂提供。恶意更新韧体可能引入后门,允许远端访问或控制。此外,后门可能在制造后透过物理修改硬体(例如安装恶意芯片)被植入。例如,爱德华·斯诺登(Edward Snowden)于2013年声称,根据外泄的美国国家安全局文件,该机构曾在运输过程中拦截硬体,于伺服器与路由器中植入后门。
最后,芯片制造商有时会在芯片中保留预设帐户、未记录的远端访问系统或除错模式以进行测试。若未移除,这些可能成为后门。专家强调,商业芯片中硬体后门的公开验证案例极少。例如,2018年彭博社报道称,中国特工在Supermicro主机板中植入间谍芯片,但该报道遭到相关公司的强烈否认。
“后门”风暴背后的美中角力
有分析称,AI芯片制造与海外销售通常才是重点,但在如当前北京与华盛顿之间这种脆弱、缺乏信任的科技及关税大战的局势下,便成为政治问题。
H20本是辉达为中国市场设计的芯片,在上个月解禁。H20的性能估计仅有辉达另一款高阶AI芯片H100的70%左右,但已是辉达获准在中国销售性能最强大的AI芯片。
因此,中国网信办的声明,将H20或辉达在中国销售之路再次设下障碍,即便北京才刚高调欢迎黄仁勋如摇滚明星般的在今年三度拜访北京。专家向BBC说,这一事件不仅突显了芯片安全的技术挑战,也暴露了中美之间在科技领域日益紧张的关系,以及中国不愿依赖西方高科技的高调立场及姿态展现。
根据路透社报道,H20近日已经先收到30万笔订单,但随后传出网信办以安全疑虑问题约谈辉达。有分析称这反映了中国市场(特别是腾讯及阿里巴巴等大厂)对辉达AI芯片的强烈需求。但是,市场之上的政府对外国科技的忌惮仍大。因为中国在科技自主化道路上的主导战略及自信,在这些年来水涨船高。换言之,研发国产芯片,减少对美国及西方技术的依赖成了主旋律。此次辉达H20芯片销往中国的一波三折背后,有分析师甚至认为H20芯片,甚至辉达对中国来说已经“可有可无”,因为国产华为生产的芯片算力可以与其匹敌。
对此,半导体分析师,美国科技咨询公司The Futurum Group研究部总监王韦杰(Ray Wang)向BBC中文解释,网信办发出的警告似乎比较针对中国国内的企业,特别是国有企业及涉及关键基础设施的公司,而非针对辉达。换言之,中国的作法可能更多是为了向国内企业和公众展示其对科技安全的重视,而非立即终止与辉达的合作。而这种策略在中美科技竞争加剧的背景下,兼具技术和政治意义。
图像加注文字,由辉达供货的两家新兴汽车公司——小鹏汽车与蔚来汽车正透过自主研发芯片,在其最新车型中使用了自研芯片。
“在商业应用中,后门可能是设计缺陷或疏忽的结果,但在军事或关键基础设施中,后门可能被视为国家安全的直接威胁。”王韦杰说。
不过,王先生仍强调,就他的研究来看,H20与辉达公司对中国仍至关重要,原因之一是相较于中国本土芯片制造商的产品来看,辉达的H20仍是中国大厂(如腾讯、百度、字节跳动、阿里巴巴)以及顶尖AI初创企业(如月之暗面、DeepSeek等)的首选。王韦杰又向BBC说,H20的算力和软体生态(如CUDA平台)为中国AI产业提供了无可替代的价值,尤其在训练大型语言模型和高效能运算应用中。
从这一角度讲,辉达H20芯片的后门疑虑不仅是一个技术问题,更反映了中美在科技主导权和国家安全上的激烈竞争。据路透社本月(5日)报道,美国司法部在加州逮补了两名中国籍人士,指控后者涉嫌非法出口包括辉达H100高阶AI芯片在内,价值数千万美元的高阶AI芯片到中国,两人已遭到逮捕并起诉。日经新闻则在本周刊出报道,由辉达供货的两家新兴汽车公司——小鹏汽车与蔚来汽车——正透过自主研发芯片,在其最新车型中使用了自研芯片:小鹏的“图灵”(Turing)与蔚来的“神机NX9031”芯片,目的是降低对辉达芯片的依赖。
虽然辉达强调其安全措施,但中国的质疑表明,技术信任与地缘政治信任的脱节正在放大这一问题的影响。对中国市场而言,H20仍是大热的产品,但北京的强硬立场也显示了其科技自主化的决心。
