芯片安全风险 - 国家互联网信息办公室就H20算力芯片漏洞后门安全风险约谈英伟达公司 英伟达方面表示H20芯片没有后门 但专家认为美国政府部门有多种技术途径为芯片设置后门 甚至可能连厂商自己都不知道[1] - 美国议员提出《芯片安全法》提案 要求所有高端AI GPU和AI芯片在180天内设置位置追踪技术 以确保芯片不会流入特定国家 对于未获得出口许可的芯片将远程阻止其启动[2] - 英伟达算力芯片追踪定位和远程关闭技术已成熟 引发对中国特供版H20芯片可能存在后门漏洞的广泛猜测 由于芯片设计细节高度保密且关键驱动与固件闭源 增加了芯片级后门检测难度[2] 硬件后门技术 - 硬件后门是一种被故意植入到硬件设备中的恶意电路或代码 允许攻击者绕过正常安全机制获取对设备的未授权访问[3] - 芯片厂商可能为主CPU增加一个小CPU 用于控制和监视主CPU工作状态 这种小CPU自带微型操作系统 具备通信功能 能够根据厂商预置软件执行特定任务[3] - 美国国家安全局曾要求为保密通话设备安装Clipper芯片 确保政府部门能够通过密钥托管系统获取通话内容 但后来发现该系统存在重大缺陷[4] - 英特尔管理引擎是一个嵌入在英特尔芯片组上的独立微控制器 2017年研究人员在其固件中发现特殊隐藏位 如果设置为1可以禁用ME功能 美国国家安全局可能要求英特尔在ME中预留此后门开关[4] 软件后门技术 - 从软件层面安置后门程序无需硬件改动且更易实现 GPU驱动程序非常复杂 更容易隐藏后门程序[5] - 隐藏在驱动程序里的后门代码可以根据WiFi信息收集设备位置和工作时长等信息 实现追踪定位功能[5] - GPU驱动程序不定期升级 很难对所有升级包进行全面安全检查 这给在某次驱动程序升级时安插后门提供了机会[5] - 芯片后门可能软硬兼施 如在芯片电源管理单元植入特殊电路 当接收到特定远程指令时可直接切断芯片核心电源或调整电压导致功能异常[5] - 另一种实现方式是修改芯片引导程序 当芯片启动时会检查特定条件如地理位置信息或授权状态 如果条件不满足就会拒绝启动或降级功能[5] 后门安置方式 - 即便美国芯片等硬件厂商不配合 美国情报部门也可能私自在其产品内安置后门[6] - 美国情报机构人员曾入侵一家美国硬盘公司 在公司全新生产的硬盘固件中安置有问题代码 进而收集硬盘用户的涉密信息[6]

事件背景 - 国家互联网信息办公室于2025年7月31日约谈英伟达公司 要求其对华销售的H20算力芯片漏洞后门安全风险问题进行说明并提交证明材料 [1] 公司回应 - 英伟达于8月6日通过官方微信号声明其芯片不存在后门、终止开关和监控软件 [4] - 公司强调GPU不存在也不应该设置终止开关和后门 认为此类设计会降低误用风险但违反网络安全基本原则 [4] - 公司引用1993年美国Clipper芯片案例 指出政府后门存在根本性缺陷 会导致集中式漏洞和用户信心受损 [4] - 声明指出终止开关和内置后门会造成单点故障 与网络安全基本原则相违背 [4]

英伟达H20芯片安全风险分析 - 国家互联网信息办公室就H20算力芯片漏洞后门安全风险约谈英伟达公司[3] - 英伟达声明芯片不存在"后门"、终止开关和监控软件[6] - 美国政府曾通过"Clipper芯片"事件要求AT&T植入加密后门[6][7] 芯片后门技术实现方式 - 硬件后门通过在芯片设计或制造时植入具有特定功能的逻辑电路实现[11][12] - 软件后门通过在软件中植入具有破坏或窃密功能的指令实现[12] - H20芯片可通过电源管理模块植入远程关闭电路实现定时关闭功能[14][15] - 修改固件引导程序可根据地理位置信息限制芯片启动或性能[16] 片上治理机制功能 - 许可锁定功能可使违规芯片因无法更新而失效[20] - 追踪定位功能通过地标服务器交互反映芯片位置[20] - 使用监测功能记录芯片状态和计算量等关键信息[20] - 使用限制功能控制芯片在大型计算机中的使用[20] H20芯片性能问题 - H20整体算力只有H100的20%[27] - GPU核心数量比H100减少41%[27] - 性能降低28%无法满足万亿级大模型训练需求[27] - 能效比仅0.37 TFLOPS/W未达0.5的节能标准[28] 美国政策动向 - 美国众议员提出法案要求强制在出口管制芯片中加入后门[8] - 报告显示英伟达AI芯片已广泛部署片上治理所需功能[21][23] - 美国可能通过放宽对"中国低风险客户"出口来激励企业配合[23]

英伟达芯片后门争议 - 英伟达声明芯片不存在"后门"、终止开关和监控软件 [3] - 公司提及1992年"Clipper芯片"事件作为历史参照 [1][3] - 美国政府近期推动法案要求芯片企业加入后门功能 [3] 芯片后门技术实现方式 - 硬件后门可通过电源管理模块植入远程关闭电路 [6] - 固件引导程序修改可实现地理位置限制功能 [8] - 软件后门通过CUDA生态系统更新植入指令 [8][9] - 片上治理机制已部署多项控制功能但未完全激活 [12] H20芯片性能分析 - 算力仅为H100的20% [17] - GPU核心数量比H100减少41% [17] - 能效比0.37TFLOPS/W低于节能标准0.5TFLOPS/W [18][19] - 无法满足万亿级大模型训练需求 [17] 美国政府管控措施 - 法案要求芯片加入追踪定位和远程关闭功能 [6] - 通过预先市场承诺激励企业配合后门设置 [14] - 协调盟友控制先进人工智能芯片产业链 [14] 行业生态影响 - CUDA生态系统覆盖全球90%人工智能研究机构 [8] - 美国通过硬件和软件生态系统塑造AI霸权 [11] - 建设自主可控的软件生态系统成为替代关键 [11]

芯片安全争议 - 英伟达声明其芯片不存在"后门"、终止开关和监控软件[1][2] - 美国政府要求芯片企业加入"后门"功能，包括"追踪定位"和"远程关闭"[8][10] - 硬件"后门"可通过电源管理模块或固件引导程序实现定向控制[13][14] 技术实现路径 - 硬件"后门"通过物理电路实现，如切断电源或限制性能[13][14] - 软件"后门"利用CUDA生态系统更新时植入指令，可实现信息收集[16][18][19] - 片上治理机制已部署在主流芯片中，具备许可锁定、使用监测等功能[25][27] 产品性能分析 - H20芯片算力仅为H100的20%，GPU核心减少41%，性能降低28%[33] - H20能效比0.37TFLOPS/W，未达到0.5TFLOPS/W的节能标准[36][37] - 芯片不符合中国绿色转型要求，无法满足大模型训练需求[35][38][39] 行业生态影响 - CUDA覆盖全球90%人工智能研究机构，形成400万开发者生态[17] - 美国通过协调产业链企业实现芯片控制，可能放宽对特定客户出口限制[30] - 建设自主可控的软硬件生态系统是应对霸权的关键路径[23]