8月10日消息，美國前腳剛允許NVIDIA對華出售H20，后腳國家網(wǎng)信辦就H20算力芯片漏洞后門安全風(fēng)險約談NVIDIA公司。

雖然NVIDIA在自辯聲明中提到，“網(wǎng)絡(luò)安全對我們至關(guān)重要。NVIDIA的芯片不存在‘后門’，并不會讓任何人有遠(yuǎn)程訪問或控制這些芯片的途徑。”

但人民日報發(fā)文表示，回應(yīng)歸回應(yīng)，對于H20芯片存在的“追蹤定位”和“遠(yuǎn)程關(guān)閉”風(fēng)險質(zhì)疑，企業(yè)唯有按照約談要求，拿出令人信服的安全證明，才能消除中國用戶的后顧之憂，重新贏得市場信任。

今天，中央廣播電視總臺旗下的新媒體“玉淵譚天”獨家發(fā)文，首次曝光了美國如何給芯片安“后門”。

先從基本的邏輯說起。

今年5月，美國眾議員比爾·福斯特（Bill Foster）牽頭提出一項法案，要求美國商務(wù)部強制美國芯片企業(yè)在受出口管制的芯片中加入“后門”。

比爾·福斯特是物理學(xué)博士，曾經(jīng)有過芯片設(shè)計的工作經(jīng)驗，所以他十分篤定地說，相關(guān)的技術(shù)十分成熟，完全可以實現(xiàn)。

比爾·福斯特想要實現(xiàn)的，總結(jié)起來就是兩件事，一個是“追蹤定位”，一個是“遠(yuǎn)程關(guān)閉”。

玉淵譚天從專業(yè)人士處了解到，比爾·福斯特的判斷是準(zhǔn)確的，這兩項功能，從技術(shù)上完全可以實現(xiàn)。

“后門”主要分為兩種，硬件“后門”和軟件“后門”。

硬件“后門”是芯片在設(shè)計或制造時留下的物理裝置，主要是具有“后門”功能的邏輯電路。

軟件“后門”可以理解為在軟件中植入具有“后門”功能的指令，通過運行軟件來對用戶的系統(tǒng)造成破壞、竊取機密等。

拿英偉達(dá)H20芯片舉例。

單從硬件“后門”角度考慮，就完全可以實現(xiàn)“遠(yuǎn)程關(guān)閉”等功能。

H20芯片上有多個組件，包括：GPU核心、電源管理模塊等。只要在H20芯片的電源管理模塊中植入“遠(yuǎn)程關(guān)閉”電路，設(shè)定相應(yīng)的觸發(fā)機制，就能在不依靠外部條件的情況下實現(xiàn)這一功能。當(dāng)芯片滿足以下條件：

激活時間達(dá)到提前設(shè)定的指標(biāo)；

溫度、電壓等物理條件符合提前設(shè)定的指標(biāo)。

H20芯片的電源管理模塊就可以執(zhí)行相應(yīng)操作，包括：直接切斷芯片核心電源；將電壓調(diào)整到不穩(wěn)定區(qū)域，導(dǎo)致芯片功能異常等。比如，最簡單直接的操作就是，賣給中國的芯片可以定時，設(shè)置用滿500個小時就自動關(guān)閉。

這樣一來，芯片直接無法使用，毫不夸張地說，所有的投入都相當(dāng)于打水漂了。

另一種實現(xiàn)“遠(yuǎn)程關(guān)閉”的硬件“后門”，是修改H20芯片的固件引導(dǎo)程序。當(dāng)芯片啟動時，引導(dǎo)程序會檢查特定條件（如地理位置信息、授權(quán)狀態(tài)等），如果條件不滿足，就可以拒絕芯片啟動、啟動時禁用部分高級功能或限制芯片性能等。目前H20幾乎是專供中國的，如果芯片里設(shè)置了“后門”，那么“后門”的功能就具有高度的定向性，一旦啟動基本不會有“誤傷”。

奇安信威脅情報中心安全專家告訴玉淵譚天，從技術(shù)層面上來說，在生產(chǎn)階段，特定拒絕服務(wù)功能的硬件“后門”較好實現(xiàn)，但其實，這種方式的成本和代價都相對較高，通過軟件設(shè)置或者軟硬件配合的方式安“后門”，才是最靈活的。

而利用軟件激活“后門”，有一個很重要的抓手，就是CUDA。CUDA（Compute Unified Device Architecture，統(tǒng)一計算設(shè)備架構(gòu)），它不是一個產(chǎn)品，而是一種生態(tài)系統(tǒng)。

全球有超過400萬開發(fā)者在使用CUDA，它覆蓋了全球90%的人工智能研究機構(gòu)。過去近20年間，它形成了一種正向循環(huán)：

越多開發(fā)者使用CUDA，就會催生出越多基于CUDA的應(yīng)用程序，這些程序又吸引更多開發(fā)者和用戶加入CUDA。

也就是說，當(dāng)你想使用CUDA的最新功能，就需要把更新的軟件導(dǎo)進系統(tǒng)里。在這個更新驅(qū)動程序的環(huán)節(jié)中，芯片所在的系統(tǒng)，就有可能被加入激活“后門”的指令，這個安“后門”的方式可以實現(xiàn)很多功能。

如果互聯(lián)網(wǎng)連接存在，通過動態(tài)地接收數(shù)據(jù)解密執(zhí)行，就能實現(xiàn)“追蹤定位”功能，甚至更常規(guī)的文件收集、擊鍵記錄、屏幕截取等“后門”功能也可以實現(xiàn)。也就是說，軟硬件“后門”配合下，信息泄露輕而易舉。

奇安信威脅情報中心安全專家告訴譚主，美國塑造人工智能霸權(quán)的抓手，一個是硬件，一個是軟件生態(tài)系統(tǒng)。對于其他國家來說，不僅要從硬件層面努力做到替代，也要建設(shè)起自主可控的軟件生態(tài)系統(tǒng)。

為了完成上述的這些布置，美方曾經(jīng)系統(tǒng)設(shè)計過一個機制——片上治理機制。這個機制就提到，美國政府需要成立相關(guān)的部門，來協(xié)調(diào)芯片設(shè)計、生產(chǎn)、制造的各個環(huán)節(jié)，包括協(xié)調(diào)企業(yè)和盟友，來達(dá)到對人工智能芯片的控制。
片上治理機制，能實現(xiàn)以下幾種功能：

一是許可鎖定。若發(fā)現(xiàn)違規(guī)情況，廠商將立即停止簽發(fā)新的許可證，芯片則因無法更新而失效。

二是追蹤定位。目標(biāo)芯片與多個地標(biāo)服務(wù)器交互的響應(yīng)速度，可以反映其大致位置。芯片本身能實現(xiàn)主動查詢，只限制在特定地理區(qū)域運行。

三是使用監(jiān)測。內(nèi)置硬件能夠記錄芯片狀態(tài)、訓(xùn)練任務(wù)、計算量等關(guān)鍵信息，要求用戶驗證芯片使用方式，確保開發(fā)符合美國的監(jiān)管要求。

四是使用限制。片上治理機制限制芯片在大型集群計算機和超級計算機中的使用，保護敏感數(shù)據(jù)訪問，并只允許芯片運行經(jīng)過批準(zhǔn)的代碼或模型。

在一份詳細(xì)介紹“片上治理機制”的報告中提到，NVIDIA的人工智能芯片其實已經(jīng)廣泛部署了片上治理所需的大部分功能，只不過有些還沒有激活而已。

新美國安全中心報告《安全、可管控的芯片——使用片上治理機制來管理人工智能和高級計算的國家安全風(fēng)險》，報告中提到，片上治理所需的許多功能已在各類芯片上廣泛部署，包括尖端的人工智能芯片。AMD、蘋果、英特爾和英偉達(dá)等領(lǐng)先企業(yè)銷售的芯片就具備上述諸多政策所需的功能。

而如果芯片上還沒有這些功能，報告也特別提到，美國及其盟友掌握著最先進人工智能芯片的產(chǎn)業(yè)鏈，因此，美國只需要“協(xié)調(diào)”好這些盟友，確保這些芯片都內(nèi)置硬件，還是可以實現(xiàn)控制。

為了獲得芯片企業(yè)的配合，報告還建議，采取一些“激勵”措施，比如“預(yù)先市場承諾”——如果企業(yè)配合，滿足美國政府設(shè)置“后門”的要求，那美國政府可以將其排除在出口管制之外。其中就特別提到，放寬對“中國低風(fēng)險客戶”的出口。

結(jié)合這條信息，再看美國政府允許英偉達(dá)出口H20到中國，不免有些細(xì)思極恐。

無論從哪個角度講，H20對于中國來說，都算不上是一款安全的芯片。

最后，玉淵譚天還表示，除了不安全，H20也不先進。

根據(jù)相關(guān)機構(gòu)數(shù)據(jù)，相比于H20的標(biāo)準(zhǔn)版——H100，H20的整體算力只有約20%，其GPU核心的數(shù)量比H100減少41%，性能降低28%，這也導(dǎo)致H20無法滿足萬億級大模型訓(xùn)練需求。

除了不先進，H20也不環(huán)保。

去年7月，國家發(fā)展改革委聯(lián)合有關(guān)部門印發(fā)了一個名叫《數(shù)據(jù)中心綠色低碳發(fā)展專項行動計劃》的文件?！缎袆佑媱潯分刑岬剑?030年底，全國數(shù)據(jù)中心平均電能利用效率、單位算力能效和碳效達(dá)到國際先進水平。

一般來說，對于采用14nm以下工藝的服務(wù)器GPU，節(jié)能水平的能效比需達(dá)到0.5TFLOPS/W，先進水平需達(dá)到1.0TFLOPS/W。

根據(jù)相關(guān)機構(gòu)測算，H20的能效比大約為0.37TFLOPS/W，不滿足0.5TFLOPS/W的節(jié)能水平。

我們都知道，算力某種程度上也是電力，人工智能的發(fā)展會新增大量的能源需求。而這些新增的需求，也需要符合中國綠色轉(zhuǎn)型的節(jié)奏。

從這個角度來講，H20，當(dāng)然不是一個好選擇。

當(dāng)一款芯片，既不環(huán)保，也不先進，更不安全時，作為消費者，我們當(dāng)然可以選擇，不買。