英伟达芯片安全争议 - 国家互联网信息办公室约谈英伟达公司，针对H20算力芯片被曝存在"漏洞后门"安全风险问题，要求提交证明材料 [1] - 英伟达首席安全官大卫·雷伯声明旗下所有GPU芯片不存在任何形式的后门、终止开关或监控软件 [1] - 有观点认为任何芯片都存在后门，差别在于后门掌握在谁的手中 [2] 芯片后门分类 - 国家安全部将后门分为三类："恶意自带"、"后期破解"和"暗中植入" [3] - "恶意自带"指境外厂商在芯片或设备设计制造阶段植入后门，可远程操控设备 [3] - "后期破解"指厂商为方便维修设置远程访问接口，因管理不善或被第三方破解导致后门沦为窃密工具 [3] - "暗中植入"指不法分子通过污染开源代码库、篡改软件更新包或在供应链环节植入恶意代码 [3] 西方IC设计公司漏洞历史 - 英特尔近10年的CPU存在高危漏洞，主要存在于英特尔管理引擎（ME）中 [5] - AMD存在类似于Intel ME的AMD PSP，具有高权限且不受用户控制 [6] - 英特尔CPU被曝存在Downfall漏洞，影响第6代至第11代酷睿及第1代至第4代至强 [6] - ARM处理器中指针身份验证代码（PAC）存在硬件设计缺陷，影响所有基于ARM v8的设备 [7] - 英伟达GPU被发现存在GPUHammer漏洞，可使大模型准确率从80%降至0.02% [8] 芯片安全现状 - 自主研发的芯片未必无懈可击，但买来的芯片一定不安全 [9] - 信息安全是相对的、动态的概念，没有绝对安全 [10] - 基于国外技术授权设计的芯片存在知其然不知其所以然的窘境 [11] - 从国外购买的芯片完全是技术黑箱，是否修复补丁完全看外商心情 [12] 中国市场影响 - H20芯片的订单量已达180亿美元，中国市场潜力巨大 [13] - H20这类中国特供版芯片的安全风险比H100更大，因只在中国出售且受影响只局限于中国用户 [13]

技术后门定义与风险 - "技术后门"指绕过正常安全检查机制获取系统访问权的方法 设计初衷是方便开发者调试和修改漏洞 但未及时删除可能被恶意利用 [1] - 境外生产的芯片 智能设备或软件可能在设计阶段被预埋后门 厂商可通过特定信号远程操控设备 如开启摄像头 麦克风或收集回传数据 [3] - 个别厂家为维护便利设置远程访问后门 若管理不善或被破解 可能被用于窃取敏感信息 [3] - 不法分子可能通过软件更新 污染开源代码或供应链篡改等方式植入后门 实现非法操控和窃密 [3] 防范措施 - 重点涉密岗位可采用自主可控芯片和国产操作系统 避免境外软硬件后门风险 [5] - 加强技术防护措施 包括制定补丁策略 定期系统更新 检查设备日志 监控异常流量 [5] - 公民和组织应配合国家安全机关防范网络间谍 发现可疑行为可通过12339举报 [5]

网络安全重要性 - 在高度数字化时代，网络安全关乎个人隐私、企业秘密和国家安全 [1] - 需警惕恶意设计或技术后门成为失泄密导火索 [1] 技术后门类型与风险 - 技术后门可绕过安全检查机制获取系统访问权，设计初衷为调试但可能被恶意利用 [2] - 恶意自带：境外生产的芯片、智能设备或软件可能预埋后门，厂商可远程操控设备或收集数据 [2] - 后期破解：厂家为维修维护设置远程访问后门，管理不善或被破解后可窃取敏感信息 [2] - 暗中植入：不法分子通过软件更新、污染开源代码或供应链篡改植入后门 [2] 安全防护措施 - 重点涉密岗位可采用自主可控芯片和国产操作系统避免境外软硬件后门风险 [3] - 加强技术防护措施如制定补丁策略、定期更新系统、检查设备日志、监控异常流量 [3] - 公民和组织应配合国家安全机关防范网络间谍，发现可疑行为可通过12339等渠道举报 [3]