據(jù)央視新聞消息，前幾天，國家互聯(lián)網(wǎng)信息辦公室就H20算力芯片漏洞后門安全風險約談英偉達公司。

英偉達在隨后的自辯聲明中提到，芯片沒有“后門”，他們還專門提到了“Clipper芯片”事件。

△英偉達公司于2025年8月5日發(fā)表聲明稱：芯片不存在“后門”、終止開關和監(jiān)控軟件。

1992年，美國電話電報公司（AT&T）面向美國的商務人士推出了一款硬件設備，它可以對電話的語音傳輸進行加密，確保信息安全。

這引發(fā)了美國政府的不滿。很快，他們就要求美國電話電報公司（AT&T）在這個設備中換入一款新的微芯片——“Clipper芯片”。它采用美國國家安全局（NSA）的加密算法，由美國政府指定的承包商生產，包含一個“加密后門”。

這個“加密后門”，讓美國政府可以“解碼”設備上的通信信息。

“Clipper芯片”推出后，受到各方的抵制，不到三年這個項目就宣告終止。而美國政府也吸取了教訓，對于“加密后門”這種事，開始只做不說。

但就在今年，美國政府又開始堂而皇之地把“加密后門”這種事，拿到桌面上來講。既然美國人這么說了，我們就得從技術層面起底一下，美國如何給芯片安“后門”。

今年5月，美國眾議員比爾·福斯特（Bill Foster）牽頭提出一項法案，要求美國商務部強制美國芯片企業(yè)在受出口管制的芯片中加入“后門”。

比爾·福斯特是物理學博士，曾經(jīng)有過芯片設計的工作經(jīng)驗，所以他十分篤定地說，相關的技術十分成熟，完全可以實現(xiàn)。

比爾·福斯特想要實現(xiàn)的，總結起來就是兩件事，一個是“追蹤定位”，一個是“遠程關閉”。

記者從專業(yè)人士處了解到，比爾·福斯特的判斷是準確的，這兩項功能，從技術上完全可以實現(xiàn)。

“后門”主要分為兩種，硬件“后門”和軟件“后門”。

硬件“后門”是芯片在設計或制造時留下的物理裝置，主要是具有“后門”功能的邏輯電路。

軟件“后門”可以理解為在軟件中植入具有“后門”功能的指令，通過運行軟件來對用戶的系統(tǒng)造成破壞、竊取機密等。

拿英偉達H20芯片舉例。

單從硬件“后門”角度考慮，就完全可以實現(xiàn)“遠程關閉”等功能。

H20芯片上有多個組件，包括：GPU核心、電源管理模塊等。只要在H20芯片的電源管理模塊中植入“遠程關閉”電路，設定相應的觸發(fā)機制，就能在不依靠外部條件的情況下實現(xiàn)這一功能。當芯片滿足以下條件：

激活時間達到提前設定的指標；

溫度、電壓等物理條件符合提前設定的指標。

H20芯片的電源管理模塊就可以執(zhí)行相應操作，包括：直接切斷芯片核心電源；將電壓調整到不穩(wěn)定區(qū)域，導致芯片功能異常等。比如，最簡單直接的操作就是，賣給中國的芯片可以定時，設置用滿500個小時就自動關閉。

這樣一來，芯片直接無法使用，毫不夸張地說，所有的投入都相當于打水漂了。

另一種實現(xiàn)“遠程關閉”的硬件“后門”，是修改H20芯片的固件引導程序。當芯片啟動時，引導程序會檢查特定條件（如地理位置信息、授權狀態(tài)等），如果條件不滿足，就可以拒絕芯片啟動、啟動時禁用部分高級功能或限制芯片性能等。目前H20幾乎是專供中國的，如果芯片里設置了“后門”，那么“后門”的功能就具有高度的定向性，一旦啟動基本不會有“誤傷”。

奇安信威脅情報中心安全專家表示，從技術層面上來說，在生產階段，特定拒絕服務功能的硬件“后門”較好實現(xiàn)，但其實，這種方式的成本和代價都相對較高，通過軟件設置或者軟硬件配合的方式安“后門”，才是最靈活的。

而利用軟件激活“后門”，有一個很重要的抓手，就是CUDA。CUDA（Compute Unified Device Architecture，統(tǒng)一計算設備架構），它不是一個產品，而是一種生態(tài)系統(tǒng)。

全球有超過400萬開發(fā)者在使用CUDA，它覆蓋了全球90%的人工智能研究機構。過去近20年間，它形成了一種正向循環(huán)：

越多開發(fā)者使用CUDA，就會催生出越多基于CUDA的應用程序，這些程序又吸引更多開發(fā)者和用戶加入CUDA。

也就是說，當你想使用CUDA的最新功能，就需要把更新的軟件導進系統(tǒng)里。在這個更新驅動程序的環(huán)節(jié)中，芯片所在的系統(tǒng)，就有可能被加入激活“后門”的指令，這個安“后門”的方式可以實現(xiàn)很多功能。

如果互聯(lián)網(wǎng)連接存在，通過動態(tài)地接收數(shù)據(jù)解密執(zhí)行，就能實現(xiàn)“追蹤定位”功能，甚至更常規(guī)的文件收集、擊鍵記錄、屏幕截取等“后門”功能也可以實現(xiàn)。也就是說，軟硬件“后門”配合下，信息泄露輕而易舉。

△“追蹤定位”功能與英特爾管理引擎中的遠程識別功能類似。2018年，這一功能引發(fā)了計算機“后門”安全性的討論

奇安信威脅情報中心安全專家表示，美國塑造人工智能霸權的抓手，一個是硬件，一個是軟件生態(tài)系統(tǒng)。對于其他國家來說，不僅要從硬件層面努力做到替代，也要建設起自主可控的軟件生態(tài)系統(tǒng)。

為了完成上述的這些布置，美方曾經(jīng)系統(tǒng)設計過一個機制——片上治理機制。這個機制就提到，美國政府需要成立相關的部門，來協(xié)調芯片設計、生產、制造的各個環(huán)節(jié)，包括協(xié)調企業(yè)和盟友，來達到對人工智能芯片的控制。

片上治理機制，能實現(xiàn)以下幾種功能：

一是許可鎖定。若發(fā)現(xiàn)違規(guī)情況，廠商將立即停止簽發(fā)新的許可證，芯片則因無法更新而失效。

二是追蹤定位。目標芯片與多個地標服務器交互的響應速度，可以反映其大致位置。芯片本身能實現(xiàn)主動查詢，只限制在特定地理區(qū)域運行。

三是使用監(jiān)測。內置硬件能夠記錄芯片狀態(tài)、訓練任務、計算量等關鍵信息，要求用戶驗證芯片使用方式，確保開發(fā)符合美國的監(jiān)管要求。

四是使用限制。片上治理機制限制芯片在大型集群計算機和超級計算機中的使用，保護敏感數(shù)據(jù)訪問，并只允許芯片運行經(jīng)過批準的代碼或模型。

在一份詳細介紹“片上治理機制”的報告中提到，英偉達的人工智能芯片其實已經(jīng)廣泛部署了片上治理所需的大部分功能，只不過有些還沒有激活而已。

△新美國安全中心報告《安全、可管控的芯片——使用片上治理機制來管理人工智能和高級計算的國家安全風險》，報告中提到，片上治理所需的許多功能已在各類芯片上廣泛部署，包括尖端的人工智能芯片。AMD、蘋果、英特爾和英偉達等領先企業(yè)銷售的芯片就具備上述諸多政策所需的功能。

而如果芯片上還沒有這些功能，報告也特別提到，美國及其盟友掌握著最先進人工智能芯片的產業(yè)鏈，因此，美國只需要“協(xié)調”好這些盟友，確保這些芯片都內置硬件，還是可以實現(xiàn)控制。

為了獲得芯片企業(yè)的配合，報告還建議，采取一些“激勵”措施，比如“預先市場承諾”——如果企業(yè)配合，滿足美國政府設置“后門”的要求，那美國政府可以將其排除在出口管制之外。其中就特別提到，放寬對“中國低風險客戶”的出口。

結合這條信息，再看美國政府允許英偉達出口H20到中國，不免有些細思極恐。

無論從哪個角度講，H20對于中國來說，都算不上是一款安全的芯片。

除了不安全，H20也不先進。

根據(jù)相關機構數(shù)據(jù)，相比于H20的標準版——H100，H20的整體算力只有約20%，其GPU核心的數(shù)量比H100減少41%，性能降低28%，這也導致H20無法滿足萬億級大模型訓練需求。

除了不先進，H20也不環(huán)保。

去年7月，國家發(fā)展改革委聯(lián)合有關部門印發(fā)了一個名叫《數(shù)據(jù)中心綠色低碳發(fā)展專項行動計劃》的文件。《行動計劃》中提到，到2030年底，全國數(shù)據(jù)中心平均電能利用效率、單位算力能效和碳效達到國際先進水平。

一般來說，對于采用14nm以下工藝的服務器GPU，節(jié)能水平的能效比需達到0.5TFLOPS/W，先進水平需達到1.0TFLOPS/W。

根據(jù)相關機構測算，H20的能效比大約為0.37TFLOPS/W，不滿足0.5TFLOPS/W的節(jié)能水平。

我們都知道，算力某種程度上也是電力，人工智能的發(fā)展會新增大量的能源需求。而這些新增的需求，也需要符合中國綠色轉型的節(jié)奏。

從這個角度來講，H20，當然不是一個好選擇。

當一款芯片，既不環(huán)保，也不先進，更不安全時，作為消費者，我們當然可以選擇，不買。

編輯 李憶林子