前几天,国家互联网信息办公室就H20算力芯片漏洞后门安全风险约谈了英伟达公司。英伟达在随后的声明中表示,芯片没有“后门”,并提到了“Clipper芯片”事件。
1992年,美国电话电报公司面向美国商务人士推出了一款硬件设备,可以对电话的语音传输进行加密。这引发了美国政府的不满,要求AT&T在该设备中换入一款新的微芯片——“Clipper芯片”。这款芯片采用美国国家安全局的加密算法,包含一个“加密后门”,使美国政府能够解码设备上的通信信息。“Clipper芯片”推出后受到各方抵制,不到三年项目便终止。此后,美国政府对于“加密后门”采取了低调处理的方式。
今年5月,美国众议员比尔·福斯特牵头提出一项法案,要求美国商务部强制美国芯片企业在受出口管制的芯片中加入“后门”。比尔·福斯特是物理学博士,曾有芯片设计工作经验,他确信相关技术已经成熟。他的目标是实现“追踪定位”和“远程关闭”功能。专业人士证实,这两项功能从技术上完全可以实现。
“后门”主要分为硬件“后门”和软件“后门”。硬件“后门”是芯片在设计或制造时留下的物理装置,如具有“后门”功能的逻辑电路;软件“后门”则是在软件中植入具有“后门”功能的指令,通过运行软件来对用户的系统造成破坏或窃取机密。
以英伟达H20芯片为例,单从硬件“后门”角度考虑,就可以实现“远程关闭”等功能。H20芯片上有多个组件,包括GPU核心、电源管理模块等。在电源管理模块中植入“远程关闭”电路,设定相应的触发机制,就能实现这一功能。当芯片满足特定条件时,如激活时间达到提前设定的指标,温度、电压等物理条件符合提前设定的指标,电源管理模块可以执行相应操作,例如直接切断芯片核心电源或将电压调整到不稳定区域,导致芯片功能异常。另一种实现“远程关闭”的方式是修改H20芯片的固件引导程序,当芯片启动时,引导程序会检查特定条件,如果条件不满足,可以拒绝芯片启动或限制芯片性能。
奇安信威胁情报中心的安全专家指出,从技术层面上来说,在生产阶段特定拒绝服务功能的硬件“后门”较好实现,但成本较高。通过软件设置或软硬件配合的方式安“后门”更为灵活。利用软件激活“后门”的一个重要抓手是CUDA,这是一个生态系统,全球有超过400万开发者在使用它。通过更新驱动程序的环节,芯片所在的系统就有可能被加入激活“后门”的指令,从而实现多种功能,如“追踪定位”、文件收集、击键记录、屏幕截取等。
美国塑造人工智能霸权的抓手之一是硬件,另一个是软件生态系统。其他国家不仅需要在硬件层面努力替代,也要建设自主可控的软件生态系统。为了实现这些布置,美方曾经设计过一个片上治理机制,该机制可以实现许可锁定、追踪定位、使用监测和使用限制等功能。报告提到,英伟达的人工智能芯片已广泛部署了片上治理所需的大部分功能,只是有些尚未激活。
为了获得芯片企业的配合,报告建议采取一些激励措施,如“预先市场承诺”,即企业若满足美国政府设置“后门”的要求,可将其排除在出口管制之外。结合这条信息,再看美国政府允许英伟达出口H20到中国,不免令人担忧。
无论从哪个角度看,H20对中国来说都不是一款安全的芯片。此外,H20也不先进。根据相关机构数据,相比于H20的标准版H100,H20的整体算力只有约20%,其GPU核心数量减少41%,性能降低28%,无法满足万亿级大模型训练需求。H20也不环保,其能效比大约为0.37TFLOPS/W,不符合中国绿色转型的要求。因此,作为消费者,我们当然可以选择不买。
