BBC: 何为英伟达H20芯片后门及潜在风险

美国宣布解除对AI芯片龙头辉达（Nvidia）H20芯片（芯片）销往中国的禁令后不久，中国国家网信办于7月31日突发声明，宣布已约谈辉达，要求其针对拟销往中国的H20算力芯片存在漏洞与后门安全风险的问题，作出说明并提交相关证明材料。

此事不仅令人关注辉达在中国市场面临的新挑战，更将焦点转向芯片如何被植入后门系统，以及网信办所指控的“追踪定位”或“远端关闭”等功能的可能性。

辉达此后在官网发文称，辉达芯片中没有后门、终止开关和监控软体，并称“这些绝不是构建可信系统的方式，也永远不会是。”

芯片的“后门系统”（backdoor system），泛指一种隐藏的机制，允许未经授权的访问绕过标准安全措施。

专家向BBC指出，在某些极端情况下，这类后门构成严重的安全威胁，因其可能让攻击者取得控制权、窃取数据或操控设备功能，甚至实现远端监控。此类后门可能使攻击者在不被察觉的情况下，监视用户行为、窃取敏感资料（如AI模型参数或用户数据），甚或干扰关键基础设施的运作。例如，在军事或金融应用场景中，后门可能引发灾难性后果，进而引发对芯片供应链安全的广泛质疑。

“后门”定义存在争议

科技安全专家向BBC表示，关于“后门”的定义，确实存在争议与诸多隐忧。业界对后门的认知分为技术性和恶意两种观点：部分被标记为后门的功能，可能是设计中的正常部分，却也可能因疏忽或恶意被利用。

美国网络安全专家、知名科技网站“安全硬体”(SecurityHardware.com)总监乔・费兹派崔克（Joe FitzPatrick）向分析指出，每家制造商的每款芯片皆具备调试功能，尽管实现方式与细节各异，但当客户需探究设备故障原因时，制造商希望能提供协助。他进一步阐释，这些调试功能通常用于“诊断硬体问题”或优化性能，例如透过JTAG（联合测试行动小组）介面存取芯片内部状态。他强调，部分研究人员曾误将这些调试功能视为恶意后门，但后来证实其为未记录的调试功能，而非蓄意设计的恶意机制。

金融时报:北京要求美国放宽HBM芯片限制

英伟达AMD:上缴中国高端芯片营收15％给川普政府

芯片巨头为何处于中美高科技争夺战的核心

尽管如此，他也坦言，这些调试功能可能存在漏洞，或被制造商滥用，但仅因这些必要功能的存在，便推断其具“恶意”意图，并不公允。

费兹派崔克进一步解释，区分设计缺陷与故意植入的后门，需仰赖精密的技术分析，而非仅凭臆测。他强调，另一类威胁为“硬体木马”，学术研究对此颇多探讨，聚焦于单一行为者可能造成的破坏。例如，一名设计者能否在不被其他设计者、制造厂或测试流程察觉的情况下植入后门？制造厂能否修改设计，绕过验证流程？厘清这些问题需耗费巨大心力。

费兹派崔克称，H20芯片专为中国市场设计，符合美国对中国市场的出口管制要求。但这块芯片复杂的供应链（涉及台积电等代工厂和多家第三方IP供应商）增加了后门风险。他向记者表示，说到底，辉达的设计流程高度依赖全球合作，这使得确保每一环节的安全性成为挑战，尤其在当前地缘政治紧张的背景下。但他也补充强调称，昂贵的高阶AI芯片从设计到生产都要经过不同公司及部门的层层把关，要加入后门并不容易。

根据费兹派崔克的研究，已有诸多理论与原型案例，例如在外部刺激触发前禁用附加功能、在非无线设备中加入有限无线功能，或透过功耗、性能变化等外部可见特征泄漏资讯。此外，备受关注的“杀手开关”（kill switch，泛指紧急停止装置，用于在意外情况下迅速关闭或中断机器、设备或程序）亦是焦点之一。

费兹派崔克向BBC强调，他未曾听闻任何机制能透过无线讯号触发独立设备自毁。然而，他也指出，美国与中国均有诸多设备需“启动”才能完整运作的案例，多数在系统层级而非芯片层级，例如游戏主机、智慧手机或智慧无人机。在芯片层级，某些芯片可能内建数位版权管理（DRM）机制，若未获得授权，芯片可能无法正常运行，此机制因而被部分批评者视为潜在的“杀手开关”。

以此次风波主角辉达为例，作为一家无晶圆厂的积体电路公司，辉达设计包含第三方矽晶的系统单芯片（SoC），并外包制造。费兹派崔克向BBC表示，辉达的客户基于这些芯片打造系统，因此每一相关方——设计者、制造商、客户——均有机会篡改设计，但同时也需密切合作以确保产品正常运作。

他指出，由于芯片供应链的复杂性，注入恶意后门极为困难。此举需由单一方完成，且必须绕过所有其他方的检测。

如何植入芯片后门？