“CPU漏洞門”事件爆發，作為全球最大的CPU公司英特爾率先中槍，處于事件的風口浪尖之上。不過，這個波及面堪比此前IT業界遭遇的“千年蟲危機”的事件，影響絕不僅僅是英特爾一家。隨著事件的發展，中國CPU廠商是否也會受到影響？在我國大力發展自主CPU產業，確保國家信息安全的當下，中國企業應從這一事件中借鑒哪些東西？這些均成為目前業界思考的焦點。

軟件補丁無法根本修補硬件漏洞

日前，科技媒體The Register發表的一篇曝光CPU安全漏洞文章，引發業界一片嘩然，也導致了英特爾市值在兩日內蒸發超過110億美元。

英特爾除為旗下大多數處理器產品發布更新補丁之外，也加緊進行了一系列的危機公關。在2018年國際消費電子展（CES）主題演講中，英特爾公司CEO科再奇針對安全問題發言，表示正夜以繼日地努力解決問題，以確保用戶數據的安全。安全是英特爾關注的第一要務。

隨著事件發酵，各路芯片廠商紛紛發聲。1月4日，IBM公布這一漏洞對POWER系列處理器的潛在影響。1月5日ARM承認CPU存安全漏洞，安卓iOS設備都有影響。1月5日，AMD發布官方聲明，承認部分處理器存在安全漏洞。1月5日，高通就CPU漏洞發聲，表示正在修復，但未指明受影響芯片。

據了解，在“CPU漏洞門”中扮演重要角色的兩個漏洞分別為“熔斷”和“幽靈”，這兩個設計缺陷能夠引起兩種網絡黑客的攻擊，黑客可以利用漏洞讀取設備內存，進而獲得用戶安全密碼等敏感信息。由于兩個安全漏洞涉及現代的計算機處理器芯片通常使用“推測執行”和“分支預測”等技術，其波及面并不僅局限于英特爾一家。而且這種硬件架構層面的問題很難通過操作系統廠商打補丁來徹底修復。“實際上，操作系統廠商提供的軟件補丁不過是部分解決了用戶態軟件利用該漏洞獲取操作系統內存信息的問題，并未杜絕這兩種漏洞被惡意利用的可能。”清華大學微電子研究所所長魏少軍指出。這兩個漏洞在現代主流的CPU里將長期存在。

中國CPU目前尚未受到影響

那么，中國CPU企業是否受到這兩個安全漏洞的影響呢？記者致電國內部分CPU企業，目前并未受到“熔斷”和“幽靈”兩個安全漏洞的影響。

國產x86通用CPU企業兆芯表示，通過對“熔斷”攻擊原理和兆芯國產x86處理器對應結構的分析，兆芯處理器在設計上不允許低特權級的程序索引高特權級的內存，因此實現了對“熔斷”攻擊的免疫。“幽靈”對于攻擊程序/攻擊序列比較嚴格，不大容易進行攻擊，目前還沒有實用。另外，由于“幽靈”單獨不能攻破處理器特權級保護，目前處于危害較低的狀態。

由于“幽靈”攻擊的條件比較敏感，盡管不能說兆芯開先ZX-C/KX-5000系列處理器平臺在該漏洞下絕對安全，但這個漏洞對于兆芯平臺的用戶近乎零風險。簡單地說，兆芯國產x86處理器在設計上對程序的權限要求很嚴格，不允許低權限的程序訪問高權限程序的內存，無論是“熔斷”還是“幽靈”皆是如此。

修補安全漏洞存在機遇

此次英特爾及ARM等CPU爆出高危漏洞，顯現出發展自主可控芯片的重要意義。此前，中國半導體行業協會原執行副理事長、半導體專家徐小田在接受記者采訪時即表示，國家對于集成電路產業的發展目標是自主安全可控，在明確了發展方向的同時，也就明確了企業責任。集成電路產業要擔負起保障國家信息安全的重任。

特別是高端通用CPU，一方面，PC在桌面辦公領域長期不可替代，大數據、云計算等技術的發展對數據中心的需求也在與日俱增，全球PC、服務器的出貨量或將保持在高位；另一方面，高端通用CPU與集成電路制造工藝的發展緊密相關，是集成電路產業發展和影響我國經濟結構轉型升級的重要因素。

那么，我們可以從此次事件中獲得哪些借鑒呢？對此，魏少軍表示：“隨著信息系統硬件設計的日趨復雜，現代芯片動輒上百億顆晶體管，類似的芯片漏洞、前門、后門，甚至硬件木馬（惡意硬件）等將會更大規模的影響信息系統的硬件安全，進而影響軟件安全，影響系統安全。”我國在保障計算機信息安全上，總的來說還未擺脫被動應對的局面，對暴露出來問題也大多是后知后驗。計算機信息安全工作主要停留在查毒殺毒等被動防御層面，很少去考慮主動防御。“這次‘CPU漏洞門’事件提醒我們：現在是時候扭轉一下我們的思路了，要變‘被動防御’為‘主動防御’。”魏少軍說。

“要想做到真正的安全可控，關鍵還是要掌握核心技術。沒有核心技術的支撐，按照別人的思路和架構去發展，很難逃開與別人一樣的結局。”魏少軍進一步指出，“我們的CPU企業應該在基礎技術上繼續追趕的同時，在架構創新上有所作為。”

賽迪智庫集成電路研究所副所長林雨也指出，英特爾的“CPU漏洞門”事件，是目前主流CPU架構中都會存在的一個普遍性問題，所以現有國產CPU并不能保證不受漏洞門問題影響，因此，此事對國產CPU發展的影響并不大。但從另一個側面也警示我們，在發展自主CPU的同時，與國外企業在架構授權合作方面，一定要拿到對方的完全技術授權，因為只有這樣，我們才能知道“漏洞”在哪里，并依靠自己實力來修補漏洞，并實現自主發展。

危機事件發生的同時也伴隨著機遇，中國企業是否可以抓住這次事件轉危為機？此次兩個CPU漏洞屬于硬件架構層面的問題，短期內或可以通過軟件補丁在一段時間內緩解，但從長遠看還是要通過更換硬件才能夠解決。中國CPU企業如果抓住機遇，有可能實現一次大幅度的進步。對此，魏少軍指出：“國內近年來在芯片領域已經有了不少的進步，特別是在‘可重構計算—軟件定義芯片’技術上領先國際同行，引起全球的高度關注。利用這一技術所實現的CPU外部特性實時監控技術，可以檢出和復現‘熔斷’和‘幽靈’類似的非法操作，并與軟件配合隨時監控可能插入的、企圖利用這些漏洞盜取數據的潛在行為。因此，我國CPU企業應該充分利用這次事件贏取發展先機，實現國產CPU的一次大踏步前進。”