新美国安全中心发布：《安全、可治理的芯片——利用片上机制管理AI和先进计算带来的国家安全风险》

前  言

利用专用芯片构建和部署AI系统正在成为经济增长和科学进步的引擎。与此同时，这些AI系统也可能被不负责任的行为者用来大规模监控、网络攻击和设计新型生物武器。因此，确保和管理AI芯片供应链对于降低国家安全风险非常重要。AI治理的独特挑战和现代安全技术带来的机遇表明，替代方法既有必要，也有可能。如果有关AI芯片的政策可以直接在芯片上实施呢？本报告提出“片上治理机制（简称片上机制）”（on-chip governance mechanisms）的概念：可以直接内置在芯片或相关硬件中的安全物理机制，从而为自适应治理提供一个平台。

主要结论

片上机制的AI芯片架构示例

为了推动对片上机制的进一步研究，本报告展示了一个数据中心AI芯片架构示例（见下图），该架构可为动态实施不同的治理机制提供一个灵活的平台。该机制的核心是在所有高性能数据中心的AI芯片上都包含一个加固的安全模块，它可以确保芯片具有有效的最新固件和软件，并在适用的情况下具有最新的操作许可证。如果不符合这些条件，它将阻止芯片运行。

这种有效、最新的固件和软件有助于对这些芯片的使用进行限制，并提供复杂的“远程认证”功能（远程认证，以安全地验证芯片及其运行软件的所需属性）。安全模块可确保在发现固件/软件漏洞时，用户只能更新到已修复漏洞的补丁版本。安全模块还可配置为要求最新的芯片专用操作许可证。目前的AI芯片已经具备这种架构的某些组件，但并非全部。这些差距很可能通过适度的开发工作来弥补，作为已有功能的扩展。主要的技术挑战将是实现足够的硬件安全，特别是篡改证据和防篡改。本报告估计，领先的公司只需投入18个月的技术努力（最多4年）即可实现这一目标。

要使片上治理达到商业规模，需要政府和产业界的长期合作。要想快速取得进展，行政命令可以起到适当的强制作用。美国国家标准与技术研究院（NIST）将是这项工作的合适牵头机构。还应从美国能源部、美国国防部、美国国土安全部、美国国家科学基金会和美国情报界抽调专家和工作人员。工作组还应从产业界和学术界抽调人员组成技术小组，帮助指导技术标准和研究工作

鉴于芯片上的治理机制需要在商用芯片上实施，许多必要的研发工作需要在行业环境中进行。为了激励这项工作，美国国防部应考虑对美国芯片公司未来进入出口市场做出承诺，条件是这些公司在受控产品上实施一套特定的安全功能。出口市场承诺可以包括不将出口管制扩大到新的辖区，放宽向特定地区低风险客户出口芯片的“拒绝批准推定”（presumption of denial）许可政策，或转向更严格的最终用途管制或基于最终用户的管制。美国商务部应与美国情报界和国土安全部协调，通过分析不同出口环境下的特定攻击者威胁模型，开发出所需的功能集。

虽然大部分研发工作都需要由大规模制造和销售AI芯片的公司来完成，但有些工作可能会在这些公司之外进行，特别是那些将受益于整个行业标准化的技术。NIST应与半导体研究公司、美国国防部高级研究计划局（DARPA）相关项目经理以及其他相关政府资助机构协调，确定由学术和/或商业合作伙伴进行的有用研发的范围和资金。例如，针对高端芯片的专用防篡改外壳（芯片的物理外壳，可防止芯片被修改而不影响其运行）的工作有可能外包给学术和商业硬件安全实验室。为支持这些项目，NIST应为芯片治理机制制定技术标准和参考实施方案，以便业界广泛采用。

在更具对抗性的环境中利用片上机制之前，需要进行大量测试。为促进分阶段推出机制，使其在更具挑战性的操作环境中得到依赖，美国商务部应根据出口设备的安全功能，灵活地为不同地区发放许可证。与此同时，美国国土安全部网络安全和基础设施安全局应建立红队测试和漏洞赏金计划，帮助发现和修补任何软件和硬件的安全漏洞。

与许多其他形式的技术治理一样，如果没有国际社会的支持，片上机制的效果将是有限的。美国国务院和美国商务部应在与在尖端AI芯片供应链中占据重要地位的国家的外交讨论中，纳入片上机制的潜在作用，包括潜在的多边控制制度。除出口控制协调外，利用片上机制促进AI治理合作（如关于计算使用报告的国际协议），将受益于与英国和欧盟等志同道合的盟国。

开发和部署片上机制需要时间（最乐观的情况是几个月，最可能的情况是几年）。如果AI系统的能力和国家安全风险持续增长，那么对高度有效控制的需求可能在几年后变得非常迫切。这表明，关注这一问题的政策制定者现在就应开始制定政策并鼓励开发适当的技术。一旦在最强大的AI芯片中规定了相关的安全功能，就能够允许AI芯片在安装后快速灵活地应对新的威胁。