日前，媒體報道一名黑客公布了從英特爾竊取的 20GB 絕密芯片工程數據，這些數據可能會給多個平臺的用戶帶來新的“零日漏洞”，攻擊威脅黑客鏈接到加密信息平臺 Telegram 上的一篇帖子詳細說明了竊取的內容，并在底部附上了 Mega 文件。雖然這些內容本身是無害的，但它們包含可用于構建惡意軟件的 BIOS 信息和英特爾專有技術的源代碼。

這名黑客自稱為“英特爾機密湖”，聲稱這些數據還沒有在任何地方發布，而且大部分信息都受到嚴格的保密協議（NDA）保護。這些數據來自匿名消息來源，他在 2020 年早些時候入侵了英特爾。如果黑客找到操縱代碼并將其安裝到目標計算機上的方法，Kabylake 和其他處理器的 BIOS 代碼可能會給這些用戶帶來麻煩。也許最具破壞性的是 TigerLake 平臺的工具和固件，這可能會導致該產品上市前惡意軟件泛濫。

近年來，英特爾漏洞頻發。此前，媒體報道 Intel 官方正式確認并發布了清華大學計算機系汪東升、呂勇強、邱朋飛和馬里蘭大學 Gang Qu 等發現的“騎士”漏洞。“騎士”漏洞將影響 Intel 公司第 6， 7， 8， 9 和第 10 代 Core? 核心處理器，以及 Intel 至強處理器 E3 v5 & v6 和 Intel 至強 E-2100 & 和 -2200 等系列處理器。

“騎士”漏洞是中國研究團隊發現的首個處理器硬件漏洞，該漏洞是因為動態電源管理模塊 DVFS 存在安全隱患造成的。DVFS 模塊的設計初衷是降低處理器的功耗，允許多核處理器根據負載信息采用相應的頻率和電壓運行。一般說來，高運行頻率配備高電壓，反之采用低電壓。但是，當某一個核出現電壓和頻率不太匹配的情形，如電壓偏低無法滿足較高頻率運行需求時，系統就會出現短暫“故障”，就像是電壓不穩燈泡閃爍一樣，有時雖然不會影響系統整體運行，但如果該故障發生在安全等級較高的操作過程中，如加解密程序，會因為故障對系統行為結果的干擾會泄露出重要的系統行為信息，影響系統安全。“騎士”攻擊正是利用這一漏洞，采用電壓故障精準注入的方式，迫使處理器可信執行區（TEE，如 ARM TrustZone、Intel SGX 等）內的高安全等級程序運行出現故障，從而逐漸暴露其隱含的秘鑰信息或者繞過正常的簽名驗證功能。

針對“騎士”漏洞的攻擊完全是在 DVFS 允許的電壓范圍內進行，且攻擊過程可以完全使用軟件在線、遠程實現，不需要額外的硬件單元或者線下輔助。“騎士”漏洞廣泛存在于目前主流處理器芯片中，可能嚴重波及當前大量使用的手機支付、人臉 / 指紋識別、安全云計算等高價值密度應用的安全，影響面廣。

目前，英特爾的處理器已經被發現存在熔斷、幽靈、PortSmash、Spoiler 等一系列漏洞，這一系列的事情證明，自主研發的 CPU 未必安全，但買來的 CPU 一定不安全。誠然，鐵流相信，其他國外廠商的 CPU 漏洞不一定比 Intel 少，只不過 Intel 處于風口浪尖，大家用的多，研究它的安全人員多，所以問題暴露的也就多。

當下，信息安全非常重要，其中風險是顯而易見的，如果中國在 CPU 等關鍵元器件上依賴英特爾、ARM 等西方公司，那么，西方公司可以利用這些漏洞輕易癱瘓中國的信息系統，這將對中國的政府管理、經濟和人民生活造成巨大影響。政府管理信息化水平倒退 30 年，金融系統、軌道交通系統基本癱瘓，數控機床和智能工廠趴窩，電腦和智能手機變成磚塊 。..。.

不僅僅是基礎硬件，基礎軟件上的威脅同樣非常巨大。永恒之藍在全球肆虐就是最佳例子。不久前，國外一個黑客小組用勒索病毒敲詐勒索，賺了 20 億美元后金盆洗手。由于勒索病毒來錢太快，連墨西哥毒梟都轉行勒索病毒，然后被逮住了。網傳國內一公司被勒索病毒鎖定后，拿出 197 萬元去解密。

鐵一般的現實都表明，依賴 Wintel 這樣的國外基礎軟硬件是存在巨大風險的。風險不僅存在于直接買芯片，也包括買 IP 做集成，以及買國外源碼做修改。老祖宗有句話，欲速則不達，引進國外技術，從洋人那里買源碼，看似走了捷徑，其實是撿了芝麻，丟了西瓜。洋人的東西再好，也是洋人的東西，外國公司預留的后門，我們很難全面的進行全面排查，很難做到不留任何漏洞。而中國人自己寫的 CPU，則能避免后門，或是說實現預留的后門全部掌握在自己手里。這就避免了外國科技公司事先預留后門背后捅刀子的問題。

從治標又治本的角度看，最有效的途徑就是構建其自主的基礎軟硬件體系。誠然，這個體系在初期會存在這樣或那樣的不足，但因為銷量少，專門針對自主 CPU 找漏洞做病毒的黑客估計會餓死，因而被針對的可能性低，漏洞會比較少。當自主 CPU 成長起來之后，則會在成長中發現問題解決問題，逐漸提升其安全度。當然，這不可能一蹴而就，需要一個過程。

必須指出的是，做自主技術體系有一個巨大的好處，那就是可以自己改，可以自己打補丁，而依賴英特爾、ARM 的話，只能等洋人給我們打補丁。
責任編輯:pj