玉渊谭天丨美国如何给芯片安“后门”

前几天，国家互联网信息办公室就H20算力芯片漏洞后门安全风险约谈英伟达公司。

英伟达在随后的自辩声明中提到，芯片没有“后门”，他们还专门提到了“Clipper芯片”事件。

英伟达公司于2025年8月5日发表声明称：芯片不存在“后门”、终止开关和监控软件。

1992年，美国电话电报公司（AT&T）面向美国的商务人士推出了一款硬件设备，它可以对电话的语音传输进行加密，确保信息安全。

这引发了美国政府的不满。很快，他们就要求美国电话电报公司（AT&T）在这个设备中换入一款新的微芯片——“Clipper芯片”。它采用美国国家安全局（NSA）的加密算法，由美国政府指定的承包商生产，包含一个“加密后门”。

这个“加密后门”，让美国政府可以“解码”设备上的通信信息。

“Clipper芯片”推出后，受到各方的抵制，不到三年这个项目就宣告终止。而美国政府也吸取了教训，对于“加密后门”这种事，开始只做不说。

但就在今年，美国政府又开始堂而皇之地把“加密后门”这种事，拿到桌面上来讲。既然美国人这么说了，我们就得从技术层面起底一下，美国如何给芯片安“后门”。

今年5月，美国众议员比尔·福斯特（Bill Foster）牵头提出一项法案，要求美国商务部强制美国芯片企业在受出口管制的芯片中加入“后门”。

比尔·福斯特是物理学博士，曾经有过芯片设计的工作经验，所以他十分笃定地说，相关的技术十分成熟，完全可以实现。

比尔·福斯特想要实现的，总结起来就是两件事，一个是“追踪定位”，一个是“远程关闭”。

谭主从专业人士处了解到，比尔·福斯特的判断是准确的，这两项功能，从技术上完全可以实现。

“后门”主要分为两种，硬件“后门”和软件“后门”。

硬件“后门”是芯片在设计或制造时留下的物理装置，主要是具有“后门”功能的逻辑电路。

软件“后门”可以理解为在软件中植入具有“后门”功能的指令，通过运行软件来对用户的系统造成破坏、窃取机密等。

拿英伟达H20芯片举例。

单从硬件“后门”角度考虑，就完全可以实现“远程关闭”等功能。

H20芯片上有多个组件，包括：GPU核心、电源管理模块等。只要在H20芯片的电源管理模块中植入“远程关闭”电路，设定相应的触发机制，就能在不依靠外部条件的情况下实现这一功能。当芯片满足以下条件：

激活时间达到提前设定的指标；

温度、电压等物理条件符合提前设定的指标。

H20芯片的电源管理模块就可以执行相应操作，包括：直接切断芯片核心电源；将电压调整到不稳定区域，导致芯片功能异常等。比如，最简单直接的操作就是，卖给中国的芯片可以定时，设置用满500个小时就自动关闭。

这样一来，芯片直接无法使用，毫不夸张地说，所有的投入都相当于打水漂了。

另一种实现“远程关闭”的硬件“后门”，是修改H20芯片的固件引导程序。当芯片启动时，引导程序会检查特定条件（如地理位置信息、授权状态等），如果条件不满足，就可以拒绝芯片启动、启动时禁用部分高级功能或限制芯片性能等。目前H20几乎是专供中国的，如果芯片里设置了“后门”，那么“后门”的功能就具有高度的定向性，一旦启动基本不会有“误伤”。

奇安信威胁情报中心安全专家告诉谭主，从技术层面上来说，在生产阶段，特定拒绝服务功能的硬件“后门”较好实现，但其实，这种方式的成本和代价都相对较高，通过软件设置或者软硬件配合的方式安“后门”，才是最灵活的。

而利用软件激活“后门”，有一个很重要的抓手，就是CUDA。CUDA（Compute Unified Device Architecture，统一计算设备架构），它不是一个产品，而是一种生态系统。

全球有超过400万开发者在使用CUDA，它覆盖了全球90%的人工智能研究机构。过去近20年间，它形成了一种正向循环：

越多开发者使用CUDA，就会催生出越多基于CUDA的应用程序，这些程序又吸引更多开发者和用户加入CUDA。

也就是说，当你想使用CUDA的最新功能，就需要把更新的软件导进系统里。在这个更新驱动程序的环节中，芯片所在的系统，就有可能被加入激活“后门”的指令，这个安“后门”的方式可以实现很多功能。

如果互联网连接存在，通过动态地接收数据解密执行，就能实现“追踪定位”功能，甚至更常规的文件收集、击键记录、屏幕截取等“后门”功能也可以实现。也就是说，软硬件“后门”配合下，信息泄露轻而易举。

“追踪定位”功能与英特尔管理引擎中的远程识别功能类似。2018年，这一功能引发了计算机“后门”安全性的讨论

奇安信威胁情报中心安全专家告诉谭主，美国塑造人工智能霸权的抓手，一个是硬件，一个是软件生态系统。对于其他国家来说，不仅要从硬件层面努力做到替代，也要建设起自主可控的软件生态系统。

为了完成上述的这些布置，美方曾经系统设计过一个机制——片上治理机制。这个机制就提到，美国政府需要成立相关的部门，来协调芯片设计、生产、制造的各个环节，包括协调企业和盟友，来达到对人工智能芯片的控制。

片上治理机制，能实现以下几种功能：

一是许可锁定。若发现违规情况，厂商将立即停止签发新的许可证，芯片则因无法更新而失效。

二是追踪定位。目标芯片与多个地标服务器交互的响应速度，可以反映其大致位置。芯片本身能实现主动查询，只限制在特定地理区域运行。

三是使用监测。内置硬件能够记录芯片状态、训练任务、计算量等关键信息，要求用户验证芯片使用方式，确保开发符合美国的监管要求。

四是使用限制。片上治理机制限制芯片在大型集群计算机和超级计算机中的使用，保护敏感数据访问，并只允许芯片运行经过批准的代码或模型。

在一份详细介绍“片上治理机制”的报告中提到，英伟达的人工智能芯片其实已经广泛部署了片上治理所需的大部分功能，只不过有些还没有激活而已。

新美国安全中心报告《安全、可管控的芯片——使用片上治理机制来管理人工智能和高级计算的国家安全风险》，报告中提到，片上治理所需的许多功能已在各类芯片上广泛部署，包括尖端的人工智能芯片。AMD、苹果、英特尔和英伟达等领先企业销售的芯片就具备上述诸多政策所需的功能。

而如果芯片上还没有这些功能，报告也特别提到，美国及其盟友掌握着最先进人工智能芯片的产业链，因此，美国只需要“协调”好这些盟友，确保这些芯片都内置硬件，还是可以实现控制。

为了获得芯片企业的配合，报告还建议，采取一些“激励”措施，比如“预先市场承诺”——如果企业配合，满足美国政府设置“后门”的要求，那美国政府可以将其排除在出口管制之外。其中就特别提到，放宽对“中国低风险客户”的出口。

结合这条信息，再看美国政府允许英伟达出口H20到中国，不免有些细思极恐。

无论从哪个角度讲，H20对于中国来说，都算不上是一款安全的芯片。

除了不安全，H20也不先进。

根据相关机构数据，相比于H20的标准版——H100，H20的整体算力只有约20%，其GPU核心的数量比H100减少41%，性能降低28%，这也导致H20无法满足万亿级大模型训练需求。

除了不先进，H20也不环保。

去年7月，国家发展改革委联合有关部门印发了一个名叫《数据中心绿色低碳发展专项行动计划》的文件。《行动计划》中提到，到2030年底，全国数据中心平均电能利用效率、单位算力能效和碳效达到国际先进水平。

一般来说，对于采用14nm以下工艺的服务器GPU，节能水平的能效比需达到0.5TFLOPS/W，先进水平需达到1.0TFLOPS/W。

根据相关机构测算，H20的能效比大约为0.37TFLOPS/W，不满足0.5TFLOPS/W的节能水平。

我们都知道，算力某种程度上也是电力，人工智能的发展会新增大量的能源需求。而这些新增的需求，也需要符合中国绿色转型的节奏。

从这个角度来讲，H20，当然不是一个好选择。

当一款芯片，既不环保，也不先进，更不安全时，作为消费者，我们当然可以选择，不买。

原标题：《玉渊谭天丨美国如何给芯片安“后门”》

栏目主编：秦红 文字编辑：宋慧 题图来源：上观题图

来源：作者：玉渊谭天