前沿 | 芯片后门与硬件赋能机制

近日，英伟达公司因对华销售的H20算力芯片被曝存在“后门”安全风险，被国家互联网信息办公室约谈。这一事件再次将芯片“后门”与硬件赋能机制（HEMs）的关联推向公众视野。此类“后门”正是硬件赋能机制可能被武器化的一个具体体现，如同在设备内部植入“隐形内鬼”，使厂商能够通过远程指令直接操控设备，在用户毫无察觉的情况下窃取数据甚至强制关机。作为集成于人工智能芯片及相关硬件的安全组件，硬件赋能机制的核心在于将原本由软件负责的安全、使用规则进一步下沉到硬件层面。由于深度嵌入芯片的物理电路，基于硬件赋能机制的规则更具强制性和稳定性，难以被篡改或绕过。借助该机制，国家或企业在安全、治理等领域的政策诉求得以被写入芯片硬件本身。这也使得人工智能芯片超越了纯粹作为算力、算法承载平台的定位，进阶成为特定政策、规则的物理执行载体。从芯片“后门”所引发的争议来看，硬件赋能机制武器化的技术逻辑、潜在影响及应对策略，正成为全球科技治理领域亟待深入剖析的关键命题。

硬件赋能机制因英伟达芯片“后门”问题而进入公众视野，但其并非近期新出现的概念，更不是专为间谍和情报需求而生。作为一种内置于芯片的技术治理手段，硬件赋能机制被各大科技企业广泛应用于各类民用消费场景。苹果公司借助Boot ROM、AES引擎等硬件赋能机制，阻止未经授权的应用程序在其设备系统中安装、运行。谷歌公司同样采用了基于硬件赋能机制的解决方案，远程验证其数据中心的芯片安全性与完整性。许多电子游戏也借助硬件赋能机制来打击作弊行为。

硬件赋能机制高权限、难规避的技术优势，既可以为防御性的治理诉求提供抓手，也能够为进攻性的芯片“后门”提供便利。不过，技术的属性并不完全取决于技术自身，也取决于利用技术的方式和意图。为提升芯片管制有效性，个别西方国家的政客、智库机构公开发表评论和报告，主张在人工智能芯片中强制植入具备位置验证功能的硬件赋能机制，以追踪芯片的流向、用途，以及对芯片实施远程关闭的“后门”。美国在芯片中植入“后门”的做法由来已久。早在20世纪90年代，美国国家安全局就推出了Clipper芯片，试图通过逻辑电路中固化的“密钥托管”机制，为政府解码和监听私人加密通信提供便利。2013年，德国《明镜》周刊披露了美国国家安全局的一份内部工具目录，其中列出了多种用于秘密监听和深度渗透的硬件植入工具。过去，美国政府对芯片“后门”问题通常采取“只做不说”的隐秘态度。如今，为健全芯片管制体系、增强对华威慑，开始公开讨论芯片“后门”的功能预期和技术设想。当前，4项将硬件赋能机制武器化的技术设想引发了广泛关注与重点讨论。

其一，在芯片中内置方位验证机制。该方案要求每块芯片配备唯一的身份验证密钥，并在全球的地缘关键点位部署可信的基准服务器。通过向人工智能芯片发送和接收“ping”信号，出口方便可在验证芯片身份的同时，根据响应延迟来反推基准服务器与目标芯片之间的最大可能距离，进而估测出口芯片的大致方位。相比GPS，该方案被认为更难篡改，且仅需简单固件更新即可接入基准网络，实现快速、低成本的位置验证。

其二，在芯片中内置离线授权机制。美国兰德公司提出一种可续期的临时授权模式，通过芯片内置的计数器和节流器实现对算力的动态管控。授权采用“基于时间”或“基于计量”的消耗方式，在芯片运行时实时扣减计算资源。一旦达到授权上限，节流器即被触发，芯片将停止运算或降频运行，直至用户获得新的许可。该机制可在芯片被用于未授权用途时，通过暂停授权灵活地限制或关闭其算力。

其三，在芯片中内置带宽限制机制。大型人工智能模型的训练依赖大量芯片在短时间内高速互联。为防止消费级芯片被用于构建大型计算集群或超级计算机，可采用一种“固定集”方案，限制芯片间的互联速度。该方案严格限制集群扩展能力，仅在授权的小规模集群内部，芯片间可实现高速通信；跨集群连接则被限制在低速传输，难以有效提升整体算力。由此，多个集群无法协同训练大型模型，从而遏制算力的非授权聚合。

其四，在芯片中内置运行检测机制。除定位外，还可通过硬件机制远程监控出口芯片的实际用途。可在芯片内集成嵌入式遥测模块，实时采集并回传浮点运算次数、功耗、数据传输量、带宽利用率等运行指标，监测处理器、内存和通信路径等核心单元。由于相关功能在高端人工智能芯片中已有硬件基础，部署较为便捷。该机制有助于出口方或来源国监管机构快速判断用户是否进行大规模模型训练，以及是否超出合规算力范围。

尽管不少科技企业强烈反对在芯片中植入“后门”，但此类抗议并不能实质性地阻止个别西方国家通过立法、行政指令将硬件赋能机制武器化的意图。外媒披露，追踪定位装置已被应用于涉及高端人工智能芯片的设备运输环节——有的被放置于设备的外包装上，有的则被安装在设备内部。当然，相较于现有手段，那些正被积极讨论、探索的硬件赋能机制武器化应用方案，无疑更为隐蔽、更难察觉，也将给全球的芯片供应链及关联的数字产业造成新的冲击。

首先，在技术层面，硬件赋能机制武器化或将增加网络设施、算力设施等数字基础设施的脆弱性。早在20世纪90年代，Clipper芯片的失败就已经表明，芯片的内置“后门”既不是无懈可击，也无法由一方长期垄断。硬件赋能机制一旦被武器化，除了作为芯片供应方的工具，其也会自动成为网络恶意行为体眼中的攻击目标和入侵路径。硬件“后门”一旦被攻破，难以通过补丁快速修复。这增加了数字基础设施面临暴露、篡改及瘫痪的威胁程度。

其次，在经济层面，硬件赋能机制武器化或将给全球芯片供应商造成额外的合规成本与信任危机。若面对强制性的要求，个别国家的芯片企业将不得不挪用原本用于创新研发的资源，来满足政策所要求的“后门”功能。虽然这种规定可能只局限在个别国家，但其会引发全球范围内针对芯片供应商的信任危机。其他国家的芯片供应商同样可能因“无法证明不存在芯片后门”而受到怀疑，被迫在合规方面投入更多的资源，来证明产品的安全性。

再次，在政治层面，硬件赋能机制的武器化或将在全球的芯片产业链、供应链中引发更激烈的碰撞。由于在经济高质量发展、军事现代化建设中的突出作用，人工智能芯片的战略意义早已超越了科技层面，成为新一轮科技革命和产业变革中衡量一国实力地位与发展前景的重要象征。在此背景下，芯片硬件“后门”所引发的技术主权问题与国家安全担忧，不仅会加剧大国围绕芯片的技术权力竞争，也将进一步加速全球芯片产业链、供应链的重塑进程。

最后，在舆论层面，硬件赋能机制武器化将打击国际社会对“人工智能＋”产业融合的信心与热情。硬件赋能机制武器化这一技术动向，与安全、可靠、可控的人工智能治理目标形成强烈的反差。有关报告显示，尽管人工智能的技术能力、发展潜力得到国际社会普遍认可，但围绕安全、隐私、伦理等方面的担忧也在加剧。硬件赋能机制武器化无疑会引发更多的威胁感知和安全焦虑，进而压低人工智能技术在国际层面的整体接受水平。

在人工智能技术迅猛发展的时代浪潮中，硬件赋能机制武器化设想既不利于全球半导体产业的技术创新与国际合作，也不利于维持全球芯片产业链供应链的弹性与稳定，更不利于构建开放、包容、普惠、共赢的全球人工智能技术发展生态。与地缘政治相似，芯片领域的安全问题也是联动的、相互的、不可分割的。利用武器化的硬件赋能机制，以牺牲别国安全、发展利益为代价，片面追求自身的绝对安全与领先优势，只会造成新的矛盾和风险。

我国作为负责任大国，为推动全球芯片供应链的稳定与人工智能产业的向善发展，具体可以从以下三条路径着手。

一是加快人工智能芯片的技术攻关与自主化进程。在技术上取得更高的自主性与相对独立性，是抵御硬件赋能机制武器化的前提条件。国产替代人工智能芯片的成熟与规模化生产，不仅降低了中国对外的芯片依赖水平，也同时增加了市场反制措施的威慑力与可信度。利润来源的丧失将削弱芯片“后门”的植入动机，或倒逼相关行为体搁置硬件赋能机制武器化的尝试。

二是建立健全人工智能进口芯片的安全评估机制。充分发挥政府的主导作用，构建行业监督、企业参与、社会协同、法律规制与科技支撑相结合的芯片“后门”审查体系。执法机关应在多元主体的协助下，具备硬件解剖分析和组件深度检测的能力。特别是对应用于关键基础设施的人工智能芯片，需采取全生命周期监控方案，持续关注相关芯片的运行状态与安全表现。

三是推动构建防范芯片“后门”的国际技术治理规则。国务院发布的《关于深入实施“人工智能+”行动的意见》对共建人工智能全球治理体系作出了具体指示。确保人工智能芯片的完整性与安全性、拒绝硬件赋能机制武器化的技术设想，应成为中方与联合国等国际组织及相关专业机构深化交流合作，加强治理规则、技术标准对接的重要议题，以凝聚更多全球性共识。

（来源：学习时报）

分享网络安全知识 强化网络安全意识

欢迎关注《中国信息安全》杂志官方抖音号