玉淵譚天：美國如何給芯片安“后門”

前幾天，國家互聯網信息辦公室就H20算力芯片漏洞后門安全風險約談英偉達公司。

英偉達在隨后的自辯聲明中提到，芯片沒有“后門”，他們還專門提到了“Clipper芯片”事件。

1992年，美國電話電報公司（AT&T）面向美國的商務人士推出了一款硬件設備，它可以對電話的語音傳輸進行加密，確保信息安全。

這引發了美國政府的不滿。很快，他們就要求美國電話電報公司（AT&T）在這個設備中換入一款新的微芯片——“Clipper芯片”。它采用美國國家安全局（NSA）的加密算法，由美國政府指定的承包商生產，包含一個“加密后門”。

這個“加密后門”，讓美國政府可以“解碼”設備上的通信信息。

“Clipper芯片”推出后，受到各方的抵制，不到三年這個項目就宣告終止。而美國政府也吸取了教訓，對于“加密后門”這種事，開始只做不說。

但就在今年，美國政府又開始堂而皇之地把“加密后門”這種事，拿到桌面上來講。既然美國人這么說了，我們就得從技術層面起底一下，美國如何給芯片安“后門”。

今年5月，美國眾議員比爾·福斯特（Bill Foster）牽頭提出一項法案，要求美國商務部強制美國芯片企業在受出口管制的芯片中加入“后門”。

比爾·福斯特是物理學博士，曾經有過芯片設計的工作經驗，所以他十分篤定地說，相關的技術十分成熟，完全可以實現。

譚主從專業人士處了解到，比爾·福斯特的判斷是準確的，這兩項功能，從技術上完全可以實現。

“后門”主要分為兩種，硬件“后門”和軟件“后門”。

硬件“后門”是芯片在設計或制造時留下的物理裝置，主要是具有“后門”功能的邏輯電路。

軟件“后門”可以理解為在軟件中植入具有“后門”功能的指令，通過運行軟件來對用戶的系統造成破壞、竊取機密等。

拿英偉達H20芯片舉例。

單從硬件“后門”角度考慮，就完全可以實現“遠程關閉”等功能。

H20芯片上有多個組件，包括：GPU核心、電源管理模塊等。只要在H20芯片的電源管理模塊中植入“遠程關閉”電路，設定相應的觸發機制，就能在不依靠外部條件的情況下實現這一功能。當芯片滿足以下條件：激活時間達到提前設定的指標；溫度、電壓等物理條件符合提前設定的指標。

H20芯片的電源管理模塊就可以執行相應操作，包括：直接切斷芯片核心電源；將電壓調整到不穩定區域，導致芯片功能異常等。比如，最簡單直接的操作就是，賣給中國的芯片可以定時，設置用滿500個小時就自動關閉。

這樣一來，芯片直接無法使用，毫不夸張地說，所有的投入都相當于打水漂了。

另一種實現“遠程關閉”的硬件“后門”，是修改H20芯片的固件引導程序。當芯片啟動時，引導程序會檢查特定條件（如地理位置信息、授權狀態等），如果條件不滿足，就可以拒絕芯片啟動、啟動時禁用部分高級功能或限制芯片性能等。目前H20幾乎是專供中國的，如果芯片里設置了“后門”，那么“后門”的功能就具有高度的定向性，一旦啟動基本不會有“誤傷”。

奇安信威脅情報中心安全專家告訴譚主，從技術層面上來說，在生產階段，特定拒絕服務功能的硬件“后門”較好實現，但其實，這種方式的成本和代價都相對較高，通過軟件設置或者軟硬件配合的方式安“后門”，才是最靈活的。

而利用軟件激活“后門”，有一個很重要的抓手，就是CUDA。CUDA（Compute Unified Device Architecture，統一計算設備架構），它不是一個產品，而是一種生態系統。

全球有超過400萬開發者在使用CUDA，它覆蓋了全球90%的人工智能研究機構。過去近20年間，它形成了一種正向循環：

越多開發者使用CUDA，就會催生出越多基于CUDA的應用程序，這些程序又吸引更多開發者和用戶加入CUDA。

也就是說，當你想使用CUDA的最新功能，就需要把更新的軟件導進系統里。在這個更新驅動程序的環節中，芯片所在的系統，就有可能被加入激活“后門”的指令，這個安“后門”的方式可以實現很多功能。

如果互聯網連接存在，通過動態地接收數據解密執行，就能實現“追蹤定位”功能，甚至更常規的文件收集、擊鍵記錄、屏幕截取等“后門”功能也可以實現。也就是說，軟硬件“后門”配合下，信息泄露輕而易舉。

奇安信威脅情報中心安全專家告訴譚主，美國塑造人工智能霸權的抓手，一個是硬件，一個是軟件生態系統。對于其他國家來說，不僅要從硬件層面努力做到替代，也要建設起自主可控的軟件生態系統。

為了完成上述的這些布置，美方曾經系統設計過一個機制——片上治理機制。這個機制就提到，美國政府需要成立相關的部門，來協調芯片設計、生產、制造的各個環節，包括協調企業和盟友，來達到對人工智能芯片的控制。

片上治理機制，能實現以下幾種功能：

一是許可鎖定。若發現違規情況，廠商將立即停止簽發新的許可證，芯片則因無法更新而失效。

二是追蹤定位。目標芯片與多個地標服務器交互的響應速度，可以反映其大致位置。芯片本身能實現主動查詢，只限制在特定地理區域運行。

三是使用監測。內置硬件能夠記錄芯片狀態、訓練任務、計算量等關鍵信息，要求用戶驗證芯片使用方式，確保開發符合美國的監管要求。

四是使用限制。片上治理機制限制芯片在大型集群計算機和超級計算機中的使用，保護敏感數據訪問，并只允許芯片運行經過批準的代碼或模型。

在一份詳細介紹“片上治理機制”的報告中提到，英偉達的人工智能芯片其實已經廣泛部署了片上治理所需的大部分功能，只不過有些還沒有激活而已。

而如果芯片上還沒有這些功能，報告也特別提到，美國及其盟友掌握著最先進人工智能芯片的產業鏈，因此，美國只需要“協調”好這些盟友，確保這些芯片都內置硬件，還是可以實現控制。

為了獲得芯片企業的配合，報告還建議，采取一些“激勵”措施，比如“預先市場承諾”——如果企業配合，滿足美國政府設置“后門”的要求，那美國政府可以將其排除在出口管制之外。其中就特別提到，放寬對“中國低風險客戶”的出口。

結合這條信息，再看美國政府允許英偉達出口H20到中國，不免有些細思極恐。

無論從哪個角度講，H20對于中國來說，都算不上是一款安全的芯片。

除了不安全，H20也不先進。

根據相關機構數據，相比于H20的標準版——H100，H20的整體算力只有約20%，其GPU核心的數量比H100減少41%，性能降低28%，這也導致H20無法滿足萬億級大模型訓練需求。

除了不先進，H20也不環保。

去年7月，國家發展改革委聯合有關部門印發了一個名叫《數據中心綠色低碳發展專項行動計劃》的文件?！缎袆佑媱潯分刑岬?，到2030年底，全國數據中心平均電能利用效率、單位算力能效和碳效達到國際先進水平。

一般來說，對于采用14nm以下工藝的服務器GPU，節能水平的能效比需達到0.5TFLOPS/W，先進水平需達到1.0TFLOPS/W。

根據相關機構測算，H20的能效比大約為0.37TFLOPS/W，不滿足0.5TFLOPS/W的節能水平。

我們都知道，算力某種程度上也是電力，人工智能的發展會新增大量的能源需求。而這些新增的需求，也需要符合中國綠色轉型的節奏。

從這個角度來講，H20，當然不是一個好選擇。

當一款芯片，既不環保，也不先進，更不安全時，作為消費者，我們當然可以選擇，不買。