从StackWarp漏洞看国产CPU安全性

近日，AMD Zen系列处理器被发现受StackWarp漏洞影响。

在这场风波中，基于x86指令集但采用自主研发加密虚拟化方案CSV3的海光处理器未受到StackWarp漏洞影响。

StackWarp漏洞的核心在于AMD SEV-SNP（Secure Encrypted Virtualization - Secure Nested Paging）机制中的特定实现方式。

海光通过其自研的CSV3（Converged Security and Virtualization）技术体系，实现了内存加密与安全虚拟化的硬件级支持，从根本上杜绝了StackWarp攻击路径的存在。

这种架构上的根本性差异，使得即使在面对类似的底层硬件逻辑时，海光能保持免疫状态。

不过，这并非意味着海光可以抱枕无忧，只能说海光CPU不受StackWarp漏洞影响。

CPU漏洞的发现概率与时间积累和产业生态成熟度成正比，也就是说，一款CPU上市的时间越长，使用的范围越广，用户数量越大，被发现漏洞的概率就越高。

短期来看，海光因为自研加密虚拟化方案和后发优势，规避了StackWarp漏洞，这是技术实力的体现。

长远来看，随着海光应用范围扩大，随着境外国家级黑客研究的深入，海光肯定也会暴露出属于自己的漏洞。

CPU由几十亿各晶体管构成，整个系统过于复杂，如此复杂的系统工程容易出纰漏。

当下的任何一款CPU都不敢立军令状，保证不存在任何漏洞。

何况厂家在设计和测试时，为了方便调试，也会预先留后门，这些后门没被发现也就罢了，一旦被发现就成了漏洞。

因此，信息安全其实是动态安全，而非一劳永逸的静态安全。

安全归根结底是形成自主能力，就是具备预防安全漏洞，发现安全漏洞，修补安全漏洞的能力。

经过本次事件，一方面要看到海光在架构创新上取得的进步，ARM芯片的支持者将海光视为AMD马甲的观点已经过时了。

另一方面也要清醒的认识到，真正的安全是经过时间和市场的检验才能成熟，必须经过无数次发现问题、解决问题，进而实现螺旋式提升才能实现安全可控。

这才是事物发展的一般规律，不论是技术引进的X86、ARM CPU，还是龙芯、申威这样的自主CPU，均要经历这样的发展过程。