前幾天，國(guó)家互聯(lián)網(wǎng)信息辦公室就H20算力芯片漏洞后門安全風(fēng)險(xiǎn)約談了英偉達(dá)公司。英偉達(dá)在隨后的聲明中表示，芯片沒有“后門”，并提到了“Clipper芯片”事件。

1992年，美國(guó)電話電報(bào)公司面向美國(guó)商務(wù)人士推出了一款硬件設(shè)備，可以對(duì)電話的語(yǔ)音傳輸進(jìn)行加密。這引發(fā)了美國(guó)政府的不滿，要求AT&T在該設(shè)備中換入一款新的微芯片——“Clipper芯片”。這款芯片采用美國(guó)國(guó)家安全局的加密算法，包含一個(gè)“加密后門”，使美國(guó)政府能夠解碼設(shè)備上的通信信息。“Clipper芯片”推出后受到各方抵制，不到三年項(xiàng)目便終止。此后，美國(guó)政府對(duì)于“加密后門”采取了低調(diào)處理的方式。

今年5月，美國(guó)眾議員比爾·福斯特牽頭提出一項(xiàng)法案，要求美國(guó)商務(wù)部強(qiáng)制美國(guó)芯片企業(yè)在受出口管制的芯片中加入“后門”。比爾·福斯特是物理學(xué)博士，曾有芯片設(shè)計(jì)工作經(jīng)驗(yàn)，他確信相關(guān)技術(shù)已經(jīng)成熟。他的目標(biāo)是實(shí)現(xiàn)“追蹤定位”和“遠(yuǎn)程關(guān)閉”功能。專業(yè)人士證實(shí)，這兩項(xiàng)功能從技術(shù)上完全可以實(shí)現(xiàn)。

“后門”主要分為硬件“后門”和軟件“后門”。硬件“后門”是芯片在設(shè)計(jì)或制造時(shí)留下的物理裝置，如具有“后門”功能的邏輯電路；軟件“后門”則是在軟件中植入具有“后門”功能的指令，通過運(yùn)行軟件來對(duì)用戶的系統(tǒng)造成破壞或竊取機(jī)密。

以英偉達(dá)H20芯片為例，單從硬件“后門”角度考慮，就可以實(shí)現(xiàn)“遠(yuǎn)程關(guān)閉”等功能。H20芯片上有多個(gè)組件，包括GPU核心、電源管理模塊等。在電源管理模塊中植入“遠(yuǎn)程關(guān)閉”電路，設(shè)定相應(yīng)的觸發(fā)機(jī)制，就能實(shí)現(xiàn)這一功能。當(dāng)芯片滿足特定條件時(shí)，如激活時(shí)間達(dá)到提前設(shè)定的指標(biāo)，溫度、電壓等物理?xiàng)l件符合提前設(shè)定的指標(biāo)，電源管理模塊可以執(zhí)行相應(yīng)操作，例如直接切斷芯片核心電源或?qū)㈦妷赫{(diào)整到不穩(wěn)定區(qū)域，導(dǎo)致芯片功能異常。另一種實(shí)現(xiàn)“遠(yuǎn)程關(guān)閉”的方式是修改H20芯片的固件引導(dǎo)程序，當(dāng)芯片啟動(dòng)時(shí)，引導(dǎo)程序會(huì)檢查特定條件，如果條件不滿足，可以拒絕芯片啟動(dòng)或限制芯片性能。

奇安信威脅情報(bào)中心的安全專家指出，從技術(shù)層面上來說，在生產(chǎn)階段特定拒絕服務(wù)功能的硬件“后門”較好實(shí)現(xiàn)，但成本較高。通過軟件設(shè)置或軟硬件配合的方式安“后門”更為靈活。利用軟件激活“后門”的一個(gè)重要抓手是CUDA，這是一個(gè)生態(tài)系統(tǒng)，全球有超過400萬(wàn)開發(fā)者在使用它。通過更新驅(qū)動(dòng)程序的環(huán)節(jié)，芯片所在的系統(tǒng)就有可能被加入激活“后門”的指令，從而實(shí)現(xiàn)多種功能，如“追蹤定位”、文件收集、擊鍵記錄、屏幕截取等。

美國(guó)塑造人工智能霸權(quán)的抓手之一是硬件，另一個(gè)是軟件生態(tài)系統(tǒng)。其他國(guó)家不僅需要在硬件層面努力替代，也要建設(shè)自主可控的軟件生態(tài)系統(tǒng)。為了實(shí)現(xiàn)這些布置，美方曾經(jīng)設(shè)計(jì)過一個(gè)片上治理機(jī)制，該機(jī)制可以實(shí)現(xiàn)許可鎖定、追蹤定位、使用監(jiān)測(cè)和使用限制等功能。報(bào)告提到，英偉達(dá)的人工智能芯片已廣泛部署了片上治理所需的大部分功能，只是有些尚未激活。

為了獲得芯片企業(yè)的配合，報(bào)告建議采取一些激勵(lì)措施，如“預(yù)先市場(chǎng)承諾”，即企業(yè)若滿足美國(guó)政府設(shè)置“后門”的要求，可將其排除在出口管制之外。結(jié)合這條信息，再看美國(guó)政府允許英偉達(dá)出口H20到中國(guó)，不免令人擔(dān)憂。

無論從哪個(gè)角度看，H20對(duì)中國(guó)來說都不是一款安全的芯片。此外，H20也不先進(jìn)。根據(jù)相關(guān)機(jī)構(gòu)數(shù)據(jù)，相比于H20的標(biāo)準(zhǔn)版H100，H20的整體算力只有約20%，其GPU核心數(shù)量減少41%，性能降低28%，無法滿足萬(wàn)億級(jí)大模型訓(xùn)練需求。H20也不環(huán)保，其能效比大約為0.37TFLOPS/W，不符合中國(guó)綠色轉(zhuǎn)型的要求。因此，作為消費(fèi)者，我們當(dāng)然可以選擇不買。