從“鯀”到“禹”：海光分叉AMD，走出芯片堵漏陷阱

在中國古老的文化里，流傳著兩則家喻戶曉的治水故事：鯀奉帝命治水，一味采用“堵”的方式，逢水筑堤，最終洪水沖垮堤壩，治水失敗；大禹則跳出“堵”的思維定式，先夯實地基、再順地勢開鑿河道，既筑牢防洪根基，又保障水流通暢，終成千古功業(yè)。這一“堵”一“筑”的選擇，不僅決定了治水的成敗，更藏著應(yīng)對危機(jī)的底層邏輯——事后修補(bǔ)終是治標(biāo)，事前筑牢方為治本。

如今，這場跨越千年的“治水智慧”，卻在半導(dǎo)體行業(yè)上演了現(xiàn)實版。

德國CISPA亥姆霍茲信息安全中心曝光的StackWarp漏洞，讓海外x86芯片陷入“堵漏洞就丟性能”的困局，恰似鯀治水的窘境；而與AMD實現(xiàn)技術(shù)徹底分叉、架構(gòu)完全自主的海光C86芯片，卻能原生免疫該漏洞，靠的正是類似大禹“先筑根基、再保流轉(zhuǎn)”的創(chuàng)新思路，用底層自主設(shè)計筑牢芯片“防洪大堤”。

01

鯀用土堵水，失敗了

要讀懂這場芯片行業(yè)的“治水博弈”，先搞清楚StackWarp這個“洪水”到底是什么？

StackWarp是一種主機(jī)側(cè)通過修改特定MSR寄存器、結(jié)合單步執(zhí)行機(jī)制，突破AMD SEV-SNP虛擬機(jī)完整性保護(hù)的漏洞。AMD SEV-SNP虛擬機(jī)以主機(jī)不可信任為安全模型。StackWarp漏洞通過主機(jī)更改MSR 0xC001102E的bit 19使得虛擬機(jī)RSP寄存器的值更新發(fā)生異常。由于虛擬機(jī)程序棧中保存了函數(shù)返回地址和程序運(yùn)行數(shù)據(jù)，攻擊者可通過篡改虛擬機(jī)RSP寄存器，實現(xiàn)虛擬機(jī)程序執(zhí)行控制流和數(shù)據(jù)流篡改。攻擊者可以利用SEV-SNP虛擬機(jī)單步執(zhí)行機(jī)制在虛擬機(jī)特定指令處退出到Host實施精確攻擊，因而通過該漏洞可以實現(xiàn)符合意圖的攻擊，例如RSA密鑰恢復(fù)、繞過OpenSSH的密碼認(rèn)證等。

簡單來說，StackWarp是芯片硬件設(shè)計時就留下的“先天缺陷”，相當(dāng)于河流的堤壩從一開始就沒筑牢，地基不牢，水流一急必然潰堤。這種直指CPU核心棧引擎的攻擊，突破安全防護(hù)、入侵系統(tǒng)甚至奪取最高控制權(quán)，對于服務(wù)器、數(shù)據(jù)中心這些關(guān)鍵基礎(chǔ)設(shè)施來說，后果堪比洪水沖垮城市。

要知道，底層架構(gòu)的安全缺陷，再精密的補(bǔ)丁也難以根除。目前，AMD已給出相關(guān)恢復(fù)補(bǔ)丁，并建議用戶關(guān)閉超線程，用CPU核心數(shù)減半的方式保障抵御該漏洞風(fēng)險。

02

大禹換了種方式：不堵，只筑

真正的芯片安全，不是漏洞出現(xiàn)后如何修補(bǔ)，而是從源頭讓漏洞無法產(chǎn)生。海光系列CPU之所以能對StackWarp漏洞完全免疫，核心在于兩點：一是實現(xiàn)了與AMD的技術(shù)徹底分叉，架構(gòu)設(shè)計自主可控；二是手握x86指令集完整永久授權(quán)，從根源杜絕了授權(quán)風(fēng)險，這也正是海光區(qū)別于其他依賴階段授權(quán)、版本授權(quán)廠商的核心優(yōu)勢。

支撐這一成果的核心，就是海光自研的CSV3機(jī)密計算技術(shù)。CSV3是海光完全自主研發(fā)的虛擬化技術(shù)，其硬件實現(xiàn)和AMD的SEV-SNP虛擬化技術(shù)存在本質(zhì)區(qū)別。上文提到，該漏洞被用來實現(xiàn)有意義攻擊的條件是在虛擬機(jī)的特定指令處退出到Host中篡改MSR，而實現(xiàn)這一條件的關(guān)鍵前提是主機(jī)具備更改虛擬機(jī)頁表從而能夠構(gòu)造虛擬機(jī)單步執(zhí)行的能力。AMD SEV-SNP虛擬機(jī)的主機(jī)可以更改NPT頁表，因此其主機(jī)具備虛擬機(jī)單步執(zhí)行能力。海光CSV3技術(shù)能夠阻止主機(jī)篡改CSV3虛擬機(jī)的頁表，避免SEV-SNP虛擬機(jī)存在的單步執(zhí)行的問題。攻擊者在無法構(gòu)造虛擬機(jī)單步執(zhí)行的條件下，僅通過篡改MSR并不能在精確的指令處實現(xiàn)符合目的的攻擊，因此，海光CSV3技術(shù)不存在該漏洞利用的條件，也免疫該漏洞攻擊。

海光的安全設(shè)計是貫穿芯片設(shè)計全流程的系統(tǒng)工程。就像大禹治水要考察全域水系、統(tǒng)籌規(guī)劃一樣，海光在芯片底層架構(gòu)就擴(kuò)充了安全算法指令，內(nèi)置獨(dú)立的安全處理器，把機(jī)密計算、可信計算這些安全功能變成芯片的“天生能力”。這種設(shè)計讓海光CPU實現(xiàn)了“安全和性能并行”——既能保障性能，又能防范漏洞。

03

十年走一條路，把安全變成習(xí)慣

海光能拿出“疏導(dǎo)式”的安全方案，不是一蹴而就的，背后是一條“引進(jìn)吸收—自主創(chuàng)新”的迭代之路。

回溯技術(shù)演進(jìn)歷程，海光于2015年獲得AMD Zen1架構(gòu)授權(quán)，但并未止步于簡單復(fù)刻，而是以此為基礎(chǔ)開啟自主迭代之路，最終形成完全自主的C86架構(gòu)，實現(xiàn)了與AMD后續(xù)技術(shù)路線的徹底切割。更為關(guān)鍵的是，海光獲得的是x86指令集完整永久授權(quán)，涵蓋SSE、AVX等全系列擴(kuò)展指令集，是國內(nèi)唯一獲得該完整授權(quán)的芯片廠商。這種完整授權(quán)與常見的版本授權(quán)、階段授權(quán)有著本質(zhì)區(qū)別：版本授權(quán)僅能使用特定版本的指令集功能，階段授權(quán)存在到期終止、升級受限的風(fēng)險，而海光的完整永久授權(quán)，既確保了與現(xiàn)有x86生態(tài)的無縫兼容，又從法律和技術(shù)層面杜絕了后續(xù)授權(quán)糾紛、功能閹割的隱患，為自主創(chuàng)新提供了穩(wěn)定的底層基礎(chǔ)。

海光C86安全計算架構(gòu)CSCA包含的安全技術(shù)有安全密鑰、安全處理器、安全啟動、安全存儲、密鑰管理及使用、動態(tài)度量保護(hù)、內(nèi)存加密、機(jī)密計算、密碼計算、可信計算標(biāo)準(zhǔn)支持、芯片安全防護(hù)。

作為海光自主創(chuàng)新的核心成果，C86安全計算架構(gòu)的價值體現(xiàn)在三大維度：

一是指令集層面的自主擴(kuò)充。海光在兼容主流x86指令的基礎(chǔ)上，自主新增了國密算法指令、安全校驗指令等核心安全指令，讓芯片具備“原生安全運(yùn)算能力”。

二是內(nèi)核架構(gòu)的安全重構(gòu)。C86架構(gòu)將安全邏輯深度融入CPU內(nèi)核設(shè)計，從指令執(zhí)行、內(nèi)存管理到虛擬化交互，每一個環(huán)節(jié)都嵌入安全校驗機(jī)制，從架構(gòu)底層杜絕類似StackWarp的漏洞利用空間。

三是全生態(tài)的安全適配。海光C86架構(gòu)已完成與國產(chǎn)操作系統(tǒng)、數(shù)據(jù)庫、中間件等全產(chǎn)業(yè)鏈的適配，形成了“芯片-軟件-應(yīng)用”的全棧安全生態(tài)。

持續(xù)的“根基建設(shè)投入”換來了扎實的技術(shù)壁壘。海光服務(wù)器CPU已通過權(quán)威安可測評，其中C86系列核心產(chǎn)品C86-4G于2024年5月入選中國信息安全測評中心安全可靠測評結(jié)果公告，斬獲安可測試最高等級“二級”標(biāo)準(zhǔn)，同時其處理器及可信密碼模塊還通過國家密碼管理局商用密碼檢測中心認(rèn)證，符合《GM/T 0008 安全芯片密碼檢測準(zhǔn)則》《GM/T 0028密碼模塊安全技術(shù)要求》等核心規(guī)范并獲得商用密碼產(chǎn)品認(rèn)證證書。這一系列安可測評的通過，不僅印證了其安全設(shè)計的合規(guī)性與可靠性，更實現(xiàn)了在保障生態(tài)兼容的前提下，核心計算部件安全可控的落地目標(biāo)，為后續(xù)大規(guī)模進(jìn)入信創(chuàng)市場筑牢了資質(zhì)根基。

04

堵不如筑，補(bǔ)不如防

千年治水智慧，今朝芯片回響。當(dāng)海外芯片還在“堵漏洞”的困局中左右為難時，海光用“先筑安全根基”的創(chuàng)新思路給出了更優(yōu)解。這背后的核心邏輯只有一個：自主創(chuàng)新才能掌握芯片安全的主動權(quán)。

當(dāng)下數(shù)字時代，數(shù)據(jù)成為核心生產(chǎn)要素，而芯片作為數(shù)據(jù)計算、存儲、傳輸?shù)暮诵娜肟冢浒踩苯記Q定了數(shù)據(jù)的機(jī)密性、完整性和可用性。從底層架構(gòu)來看，芯片的安全缺陷并非單一設(shè)備的故障問題，而是會形成全鏈路的安全漏洞，不僅會導(dǎo)致企業(yè)核心數(shù)據(jù)泄露、業(yè)務(wù)系統(tǒng)癱瘓，更會讓國家關(guān)鍵基礎(chǔ)設(shè)施面臨網(wǎng)絡(luò)攻擊的風(fēng)險，直接影響數(shù)據(jù)主權(quán)與產(chǎn)業(yè)安全。尤其在服務(wù)器、數(shù)據(jù)中心等高負(fù)載場景中，芯片承擔(dān)著萬億級計算、高頻交易、大模型訓(xùn)練等核心任務(wù)，其安全防護(hù)能力更是成為保障業(yè)務(wù)連續(xù)運(yùn)行、規(guī)避經(jīng)營風(fēng)險與合規(guī)風(fēng)險的關(guān)鍵。也正因如此，芯片安全早已從單純的技術(shù)問題，升級為關(guān)乎產(chǎn)業(yè)自主可控、數(shù)字基建穩(wěn)固的核心命題，從設(shè)計源頭筑牢芯片安全防線，成為行業(yè)發(fā)展的必然選擇。

未來，隨著國產(chǎn)芯片技術(shù)的持續(xù)演進(jìn)和生態(tài)的不斷完善，中國信息產(chǎn)業(yè)的“芯河道”必將因扎實的安全根基而更加通暢、安全，為數(shù)字經(jīng)濟(jì)的高質(zhì)量發(fā)展提供堅實支撐。