自主CPU受Meltdown和Spectre漏洞影响较小

不久前，全球信息安全研究人员发现IntelCPU存在严重漏洞Meltdown和Spectre。黑客可以利用该漏洞窃取机密信息。随后，谷歌公司和一些信息安全研究人员也证实ARM和AMD处理器受Spectre漏洞影响。其中，ARM的CortexA系列处理在安全测试中全军覆没。近日，美国IBM、英伟达等公司也公开表示自己的芯片受到漏洞的影响，并向用户提交了补救方案。

考虑到Intel、AMD、ARM、IBM、英伟达等公司几乎垄断了全球智能手机、个人电脑和服务器、人工智能芯片的绝大部分市场份额，采用上述几家公司芯片的信息系统都存在巨大的安全隐患。

上海市网信办在进行测试后发布公告：1995年以来大部分量产的处理器均有可能受上述漏洞的影响，且涉及大部分通用操作系统。包括以Intel为主，ARM、AMD等大部分主流处理器芯片；Windows、Linux、macOS、Android等主流操作系统都受上述漏洞的影响，尤其以Intel的芯片受上述漏洞影响最为严重。采用这些芯片和操作系统的公有云服务提供商，私有云、电子政务云等基础设施，广大终端用户，都有可能遭遇利用上述漏洞机理发起的组合攻击。

近年来，由于自主处理器技术取得了长足进步，Intel、AMD、IBM、ARM、高通等公司一改过去对中国严格技术封杀的姿态，开始在中国扶持代理人，一些地方政府也非常热衷于“招商引资”，使国外芯片巨头先后在中国设立合资公司或开展技术合作。

虽然在本次漏洞事件后，没有证据证明这是国外科技公司配合西方情报部门留下的“御用漏洞”，却给国内一些热衷于把国外技术买回来，并将之包装为自主可控的专家和企业敲响了警钟。由于技术是从国外买来的，无论如何进行包装，都无法改变核心技术掌握在国外企业手中的事实。

加上斯诺登披露美国谷歌、雅虎、微软、苹果、Facebook等科技公司长期配合美国情报部门搜集情报，这就很难杜绝国外科技公司在处理器和操作系统种植入后门。像在去年全球肆虐的永恒之蓝，就是黑客盗走并利用了原本属于美国国家安全局的“御用漏洞”。

值得一提的是，面对Meltdown和Spectre漏洞，相对于Intel、ARM的全军覆没，中国自主CPU的表现较好。

据自主CPU研发单位相关专家介绍，漏洞的主要原因并不归结于指令集架构，而是与处理器内部关于指令猜测执行的具体实现与处理方式有关。目前爆出来的漏洞与现代CPU微结构中的乱序执行、推测执行机制有直接关系，这可能牵涉到现代CPU的基本设计理念。自主CPU在设计中当然也采用了上述两种机制，是否也会出现meltdown和spectre漏洞，有关专家正在分析。

根据测试结果，国内自主设计的CPU可以免疫Meltdown漏洞和Spectre漏洞的变种二。至于Spectre漏洞的变种一，虽然在理论上，Spectre漏洞的变种一确实能对自主CPU造成影响，但由于Spectre漏洞的变种一要能够实现成功攻击，必须依赖于程序中要存在特殊模式的代码片段。由于在短时间内还无法完成全面核查，国内单位与相关厂家还在核查中。

也就是说，相对于从国外购买技术授权，自主研发在安全性方面的风险要小得多。

退一步讲，即使自主CPU也发现了问题，自主CPU研发团队可以很快拿出CPU修改方案。所谓难者不会，会者不难，都是自己设计的，改起来不会太困难。如果结合国内安全研究力量共同研究，说不定能做出一些创新性的东西出来，走在Intel、AMD、ARM等前面，出现弯道超车机会。

而那些买国外处理器IP攒SoC的国内企业，只能等待国外科技公司打补丁，跟在”洋人身后吃土”。即便这些做技术引进的厂商中有工程师拿出了针对Intel/arm的解决方法，那也是为人作嫁衣裳——只有”建议权”，没有“表决权”，要不要改，什么时候改那是人家说了算。而且Intel、ARM、AMD的产品“升级”后，又可以拿中国人的智力成果，到中国市场再赚一次钱。因此，必须放弃不切合实际的幻想，坚定不移的走独立自主之路。只有这样，才能解决中国信息技术领域产业发展受制于人，信息安全受制于人的困局。