Yuyuantan Tian: How the United States Installs "Backdoors" in Chips

前幾天，國家互聯網信息辦公室就 H20 算力芯片漏洞後門安全風險約談英偉達公司。

英偉達在隨後的自辯聲明中提到，芯片沒有 “後門”，他們還專門提到了 “Clipper 芯片” 事件。

1992 年，美國電話電報公司（AT&T）面向美國的商務人士推出了一款硬件設備，它可以對電話的語音傳輸進行加密，確保信息安全。

這引發了美國政府的不滿。很快，他們就要求美國電話電報公司（AT&T）在這個設備中換入一款新的微芯片——“Clipper 芯片”。它採用美國國家安全局（NSA）的加密算法，由美國政府指定的承包商生產，包含一個 “加密後門”。

這個 “加密後門”，讓美國政府可以 “解碼” 設備上的通信信息。

“Clipper 芯片” 推出後，受到各方的抵制，不到三年這個項目就宣告終止。而美國政府也吸取了教訓，對於 “加密後門” 這種事，開始只做不説。

但就在今年，美國政府又開始堂而皇之地把 “加密後門” 這種事，拿到桌面上來講。既然美國人這麼説了，我們就得從技術層面起底一下，美國如何給芯片安 “後門”。

今年 5 月，美國眾議員比爾·福斯特（Bill Foster）牽頭提出一項法案，要求美國商務部強制美國芯片企業在受出口管制的芯片中加入 “後門”。

比爾·福斯特是物理學博士，曾經有過芯片設計的工作經驗，所以他十分篤定地説，相關的技術十分成熟，完全可以實現。

比爾·福斯特想要實現的，總結起來就是兩件事，一個是 “追蹤定位”，一個是 “遠程關閉”。

譚主從專業人士處瞭解到，比爾·福斯特的判斷是準確的，這兩項功能，從技術上完全可以實現。

“後門” 主要分為兩種，硬件 “後門” 和軟件 “後門”。

硬件 “後門” 是芯片在設計或製造時留下的物理裝置，主要是具有 “後門” 功能的邏輯電路。

軟件 “後門” 可以理解為在軟件中植入具有 “後門” 功能的指令，通過運行軟件來對用户的系統造成破壞、竊取機密等。

拿英偉達 H20 芯片舉例。

單從硬件 “後門” 角度考慮，就完全可以實現 “遠程關閉” 等功能。

H20 芯片上有多個組件，包括：GPU 核心、電源管理模塊等。只要在 H20 芯片的電源管理模塊中植入 “遠程關閉” 電路，設定相應的觸發機制，就能在不依靠外部條件的情況下實現這一功能。當芯片滿足以下條件：

激活時間達到提前設定的指標；

温度、電壓等物理條件符合提前設定的指標。

H20 芯片的電源管理模塊就可以執行相應操作，包括：直接切斷芯片核心電源；將電壓調整到不穩定區域，導致芯片功能異常等。比如，最簡單直接的操作就是，賣給中國的芯片可以定時，設置用滿 500 個小時就自動關閉。

這樣一來，芯片直接無法使用，毫不誇張地説，所有的投入都相當於打水漂了。

另一種實現 “遠程關閉” 的硬件 “後門”，是修改 H20 芯片的固件引導程序。當芯片啓動時，引導程序會檢查特定條件（如地理位置信息、授權狀態等），如果條件不滿足，就可以拒絕芯片啓動、啓動時禁用部分高級功能或限制芯片性能等。目前 H20 幾乎是專供中國的，如果芯片裏設置了 “後門”，那麼 “後門” 的功能就具有高度的定向性，一旦啓動基本不會有 “誤傷”。

奇安信威脅情報中心安全專家告訴譚主，從技術層面上來説，在生產階段，特定拒絕服務功能的硬件 “後門” 較好實現，但其實，這種方式的成本和代價都相對較高，通過軟件設置或者軟硬件配合的方式安 “後門”，才是最靈活的。

而利用軟件激活 “後門”，有一個很重要的抓手，就是 CUDA。CUDA（Compute Unified Device Architecture，統一計算設備架構），它不是一個產品，而是一種生態系統。

全球有超過 400 萬開發者在使用 CUDA，它覆蓋了全球 90% 的人工智能研究機構。過去近 20 年間，它形成了一種正向循環：

越多開發者使用 CUDA，就會催生出越多基於 CUDA 的應用程序，這些程序又吸引更多開發者和用户加入 CUDA。

也就是説，當你想使用 CUDA 的最新功能，就需要把更新的軟件導進系統裏。在這個更新驅動程序的環節中，芯片所在的系統，就有可能被加入激活 “後門” 的指令，這個安 “後門” 的方式可以實現很多功能。

如果互聯網連接存在，通過動態地接收數據解密執行，就能實現 “追蹤定位” 功能，甚至更常規的文件收集、擊鍵記錄、屏幕截取等 “後門” 功能也可以實現。也就是説，軟硬件 “後門” 配合下，信息泄露輕而易舉。

奇安信威脅情報中心安全專家告訴譚主，美國塑造人工智能霸權的抓手，一個是硬件，一個是軟件生態系統。對於其他國家來説，不僅要從硬件層面努力做到替代，也要建設起自主可控的軟件生態系統。

為了完成上述的這些佈置，美方曾經系統設計過一個機制——片上治理機制。這個機制就提到，美國政府需要成立相關的部門，來協調芯片設計、生產、製造的各個環節，包括協調企業和盟友，來達到對人工智能芯片的控制。

片上治理機制，能實現以下幾種功能：

一是許可鎖定。若發現違規情況，廠商將立即停止簽發新的許可證，芯片則因無法更新而失效。

二是追蹤定位。目標芯片與多個地標服務器交互的響應速度，可以反映其大致位置。芯片本身能實現主動查詢，只限制在特定地理區域運行。

三是使用監測。內置硬件能夠記錄芯片狀態、訓練任務、計算量等關鍵信息，要求用户驗證芯片使用方式，確保開發符合美國的監管要求。

四是使用限制。片上治理機制限制芯片在大型集羣計算機和超級計算機中的使用，保護敏感數據訪問，並只允許芯片運行經過批准的代碼或模型。

在一份詳細介紹 “片上治理機制” 的報告中提到，英偉達的人工智能芯片其實已經廣泛部署了片上治理所需的大部分功能，只不過有些還沒有激活而已。

而如果芯片上還沒有這些功能，報告也特別提到，美國及其盟友掌握着最先進人工智能芯片的產業鏈，因此，美國只需要 “協調” 好這些盟友，確保這些芯片都內置硬件，還是可以實現控制。

為了獲得芯片企業的配合，報告還建議，採取一些 “激勵” 措施，比如 “預先市場承諾”——如果企業配合，滿足美國政府設置 “後門” 的要求，那美國政府可以將其排除在出口管制之外。其中就特別提到，放寬對 “中國低風險客户” 的出口。

結合這條信息，再看美國政府允許英偉達出口 H20 到中國，不免有些細思極恐。

無論從哪個角度講，H20 對於中國來説，都算不上是一款安全的芯片。

除了不安全，H20 也不先進。

根據相關機構數據，相比於 H20 的標準版——H100，H20 的整體算力只有約 20%，其 GPU 核心的數量比 H100 減少 41%，性能降低 28%，這也導致 H20 無法滿足萬億級大模型訓練需求。

除了不先進，H20 也不環保。

去年 7 月，國家發展改革委聯合有關部門印發了一個名叫《數據中心綠色低碳發展專項行動計劃》的文件。《行動計劃》中提到，到 2030 年底，全國數據中心平均電能利用效率、單位算力能效和碳效達到國際先進水平。

一般來説，對於採用 14nm 以下工藝的服務器 GPU，節能水平的能效比需達到 0.5TFLOPS/W，先進水平需達到 1.0TFLOPS/W。

根據相關機構測算，H20 的能效比大約為 0.37TFLOPS/W，不滿足 0.5TFLOPS/W的節能水平。

我們都知道，算力某種程度上也是電力，人工智能的發展會新增大量的能源需求。而這些新增的需求，也需要符合中國綠色轉型的節奏。

從這個角度來講，H20，當然不是一個好選擇。

當一款芯片，既不環保，也不先進，更不安全時，作為消費者，我們當然可以選擇，不買。

風險提示及免責條款

市場有風險，投資需謹慎。本文不構成個人投資建議，也未考慮到個別用户特殊的投資目標、財務狀況或需要。用户應考慮本文中的任何意見、觀點或結論是否符合其特定狀況。據此投資，責任自負。