10月16日下午,中国网络空间安全协会通过官方微信公众号发布了题为《漏洞频发、故障率高 应系统排查英特尔产品网络安全风险》文章,建议对英特尔在华销售产品启动网络安全审查。
该文章称,英特尔CPU安全漏洞问题频发;可靠性差,漠视用户投诉;假借远程管理之名,行监控用户之实;暗设后门,危害网络和信息安全。同时,文章还指出,美政府通过所谓《芯片和科学法案》,对中国半导体产业进行无端排挤和打压,英特尔公司就是这一法案的最大受益者。而英特尔为讨好美国政府,在所谓涉疆问题上积极站位打压中国,要求其供应商不得使用任何来自于新疆地区的劳工、采购产品或服务,在其财报中更是将台湾省与中国、美国、新加坡并列,还主动对华为、中兴等中国企业断供停服,这是典型的“端起碗来吃饭,放下碗就砸锅”。
因此,中国网络空间安全协会建议对英特尔在华销售产品启动网络安全审查,切实维护中国国家安全和中国消费者的合法权益。
根据官网资料显示,“中国网络空间安全协会(简称“网安协会”),于2016年3月25日在北京成立,是由中央网信办主管的全国性、行业性、非营利性社会组织,由国内从事网络空间安全相关产业、教育、科研、应用的机构、企业及个人自愿结成,旨在发挥桥梁纽带作用,组织和动员社会各方面力量参与中国网络空间安全建设,为会员服务、为行业服务、为国家战略服务,促进中国网络空间的安全和发展。”
截至2024年9月,网安协会共有单位会员627家,个人会员326人。囊括了国内主要互联网企业和网络安全企业、权威科研机构及网络安全领域的权威专家。
对英特尔有何影响?
显然,“网安协会”作为具有半官方背景的行业协会组织,此次发文“建议对英特尔启动网络安全审查”在一定程度上代表了产业界的意见,后续“网络安全审查办公室”可能将据此对英特尔启动网络安全审查。
值得注意的是,在2023年3月31日,国家互联网信息办公室下设的“网络安全审查办公室”就曾宣布对美光公司(Micron)在华销售的产品实施网络安全审查。
在依法对美光公司在华销售产品进行了一个多月的网络安全审查之后,5月21日,网络安全审查办公室发布公告称,“发现美光公司产品存在较严重网络安全问题隐患,对我国关键信息基础设施供应链造成重大安全风险,影响我国国家安全。为此,网络安全审查办公室依法作出不予通过网络安全审查的结论。”同时,要求“国内关键信息基础设施的运营者应停止采购美光公司产品。”
作为全球最大的CPU厂商,英特尔一直是的PC及服务器市场的霸主,虽然近年来市场受到了来自AMD和Arm CPU的侵蚀,但是根据Mercury Research二季度的数据显示,其仍占据了超过65%的PC(包括桌面端、移动端)及服务器CPU市场份额。
虽然网安协会公布的数据称,2021年英特尔公司的CPU占国内台式机市场约77%,在笔记本市场占约81%;2022年英特尔在中国的x86服务器市场份额约91%。但是近两年来,随着国内信创产业的发展以及来自英伟达等AI服务器的冲击,英特尔在中国PC市场及服务器CPU市场的份额已经出现了一定程度的下滑。不过,即便如此,英特尔仍占据了中国PC及服务器CPU市场最大的市场份额。
根据财报显示,2023财年英特尔总营收约为542亿美元,其中中国市场贡献的营收占英特尔总营收的27%。
如果后续后续“网络安全审查办公室”正式对于英特尔在华销售产品实施“实施网络安全审查”,并做出“不予通过网络安全审查的结论”,那么可能将和美光在华销售的产品一样,国内的关键信息基础设施的运营商或将被要求停止采购英特尔公司的产品。而这无疑将会极大影响英特尔在中国市场的营收,特别是对于英特尔在国内的服务器业务来说。在目前英特尔正遭遇严重财务危机的背景之下,这或将又是沉重一击。
当然以上只是基于有可能发生的最坏的结果的推演,但是截至目前“网络安全审查办公室”尚未对此事进行表态。后续是否会真的启动“网络安全审查”尚不清楚。
受该消息影响,10月16日美股开盘后,英特尔股价一度下跌4%,不过随后股价逐步回升,截至收盘仍下跌1.54%。
利好国产CPU
如果后续真的会限制英特尔产品进入国内关键信息基础设施市场,那么这对于国产CPU厂商来说则将是一大利好。特别是对于海光、兆芯等国产X86 CPU厂商来说,在一些中低端的PC及服务器市场,可以实现对英特尔CPU的平滑的替代。在高端市场,还有AMD的产品可以平替,并不会对国内对于高端x86 CPU有依赖的相关基础设施的建设和运转造成太大影响。
作为基于AMD Zen技术平台开发的海光CPU,可以完美兼容国际主流x86处理器架构和技术路线,目前已经实现了海光一号、海光二号、海光三号三代CPU产品的商用。其中,海光三号最高支持8核、3.0GHz主频,整机性能较上一代产品提升30%。此外在面向AI应用的海光DCU产品方面,海光也已经商用了深算一号、深算二号,目前深算三号研发进展顺利,预计其面对大模型训推等场景有更大提升。
同样,得益于收购自威盛的x86知识产权,兆芯近年来也持续推出了多代的开先(KX)系列PC CPU以及开胜(KH)系列服务器CPU,可以完美兼容x86生态,性能也是持续在提升。目前最新的PC CPU产品是KX-7000/8,3.7GHz,8核8线程,性能接近十代酷睿六核。去年年底,国内主流的整机厂商以及方案厂商包括联想开天、同方、紫光等都有推出基于该CPU的产品;最新的服务器CPU是KH-40000/32,最高频率2.7GHz,32核心32线程,具备64MB高速缓存,支持8通道DDR4内存。今年年初,基于兆芯自研处理器开胜KH-40000/32的双路通用超云服务器正式落地,型号为R3210Z11。
此外,也将在一定程度上利好基于Arm架构的国产CPU厂商,比如飞腾、鲲鹏;基于自研的LoongArc指令集架构的CPU厂商龙芯中科;基于Alpha指令集的申威等。
不过从市场价值量和替代的难易度来看,海光、兆芯这两家具有国产x86服务器CPU供应能力的厂商或将最为受益。从产品的性能和市场认可度来看,其中海光的服务器CPU无疑将更具优势,Arm CPU阵营的鲲鹏CPU也有望从中受益。
资料显示,在中国移动2021-2022年PC服务器集采项目中,整体国产服务器占比高达41.43%,其中基于海光CPU的服务器采购量达59982台,占比20.90%,而采用鲲鹏CPU的服务器达58901台,占比20.53%;在采购总额为80亿元的中国电信AI算力服务器(2023-2024年)集采项目中,国产服务器的采购数量占比也达到了47.5%。其中,基于鲲鹏CPU的服务器中标金额约28亿元;2024年3月,中国移动公布的2024年PC服务器产品集中采购项目的中标结果显示,基于鲲鹏CPU的服务器占据了最大份额。
值得注意的是,澜起科技旗下的津逮CPU似乎也有望从中受益。津逮CPU是澜起科技联合英特尔、清华大学合作开发的“融合可重构计算和英特尔X86架构技术的新型通用CPU”,实际上就是在英特尔现有的服务器CPU基础上叠加了一个安全芯片封装到了一起,可以防止CPU后门发送数据。去年12月,澜起科技就发布了第五代津逮CPU:基于英特尔第五代至强处理器,最高48核96线程。
虽然津逮CPU算不上自主CPU,也并未进入到信创市场,但是如果英特尔CPU被限制进入国内关键信息基础设施,那么加了安全芯片的津逮CPU或将不受影响,因此可能也将更容易在非信创领域的关键信息基础设施领域替代英特尔CPU。
小结:
中国网络空间安全协会建议对英特尔在华销售产品启动网络安全审查一事,“网络安全审查办公室”尚未回应,后续是否会启动“网络安全审查”也未可知,所以暂时也不会对于英特尔以及相关国产CPU厂商造成多大影响。
即便是后续对英特尔产品启动了网络安全审查,也还得看最终的结果是什么。如果审查不通过,具体是不是会像对美光那样,限制其进入关键信息基础设施领域。
这里需要注意的是,10月16日,“国家国安部”公众号发布公告称,国家安全机关工作发现,某境外企业A公司通过与我国具有测绘资质的B公司合作,以开展汽车智能驾驶研究为掩护,在我国内非法开展地理信息测绘活动。外界普遍猜测该境外A公司是英特尔旗下的以色列辅助驾驶芯片厂商Mobileye。
结合这个消息来看,如果外界猜测属实,那么后续确实很有可能会启动对于英特尔产品的“网络安全审查”。
编辑:芯智讯-浪客剑
附《漏洞频发、故障率高 应系统排查英特尔产品网络安全风险》原文:
1.安全漏洞问题频发
2023年8月,英特尔CPU被曝存在Downfall漏洞,该漏洞是一种CPU瞬态执行侧信道漏洞,利用其AVX2或者AVX-512指令集中的Gather指令,获取特定矢量寄存器缓冲区之前存储的密钥、用户信息、关键参数等敏感数据。该漏洞影响英特尔第6代至第11代酷睿、赛扬、奔腾系列CPU,以及第1代至第4代至强处理器。实际上,早在2022年,就有研究者向英特尔报告过该漏洞,但英特尔在明知漏洞存在的情况下,既不予承认,也未采取有效行动,还持续销售有漏洞的产品,直至漏洞被公开报道,英特尔才被迫采取漏洞修复措施。已有五位受害者以自身及“全美CPU消费者”代表的名义,于2023年11月在美国北加州联邦地方法院圣何塞分院,针对上述情况向英特尔发起集体诉讼。
无独有偶,2023年11月谷歌研究人员,又披露英特尔CPU存在高危漏洞Reptar。利用该漏洞,攻击者不仅可以在多租户虚拟化环境中获取系统中的个人账户、卡号和密码等敏感数据,还可以引发物理系统挂起或崩溃,导致其承载的其他系统和租户出现拒绝服务现象。
2024年以来,英特尔CPU又先后曝出GhostRace、NativeBHI、Indirector等漏洞,英特尔在产品质量、安全管理方面存在的重大缺陷,表明其对客户极不负责任的态度。
2.可靠性差,漠视用户投诉
从2023年底开始,大量用户反映,使用英特尔第13、14代酷睿i9系列CPU玩特定游戏时,会出现崩溃问题。游戏厂商甚至在游戏中添加了弹窗处理,警告使用这些CPU的用户。视觉特效工作室ModelFarm的虚幻引擎主管和视觉特效负责人Dylan Browne发帖说,其所在公司采用英特尔处理器的电脑故障率高达50%。
在用户反映集中、无法遮掩的情况下,英特尔公司最终不得不承认产品存在稳定性问题,给出所谓初步调查报告,将问题归咎于主板厂商设置了过高的电压。但随机遭到主板厂商的驳斥,表示其生产的主板是按照英特尔提供的数据进行BIOS程序开发,崩溃原因不在主板厂商。2024年7月,英特尔才发布声明,对于CPU频繁崩溃事件给出了解释,承认由于错误的微代码算法向处理器发出过高的电压请求,导致了部分第13、14代处理器出现不稳定现象。
2023年底就频现崩溃问题,半年以后英特尔公司方才确定问题并给出更新程序,且半年内给出的缓解措施也不奏效,充分反映出英特尔在面对自身产品缺陷时,不是积极坦诚面对问题,而是一味漠视、推诿和拖延。有专业人士推测,其根本原因是英特尔为了获得性能提升,重获竞争优势,而主动牺牲产品稳定性。另据报道,美国“Abington Cole + Ellery”律师事务所,已开始调查英特尔第13、14代处理器不稳定的问题,并将代表最终用户提起集体诉讼。
3.假借远程管理之名,行监控用户之实
英特尔联合惠普等厂商,共同设计了IPMI(智能平台管理接口)技术规范,声称是为了监控服务器的物理健康特征,技术上通过BMC(基板管理控制器)模块对服务器进行管理和控制。BMC模块允许用户远程管理设备,可实现启动计算机、重装操作系统和挂载ISO镜像等功能。该模块也曾被曝存在高危漏洞(如CVE-2019-11181),导致全球大量服务器面临被攻击控制的极大安全风险。
除此之外,英特尔还在产品中集成存在严重漏洞的第三方开源组件。以英特尔M10JNPSB服务器主板为例,该产品支持IPMI管理,目前停止售后,2022年12月13日发布了最后一次固件更新包,分析可知其web服务器为lighttpd,版本号为1.4.35,竟然是2014年3月12日的版本,而当时lighttpd的最新版本已升级至1.4.66,两者竟然相差9年之久,时间跨度之大令人惊讶。这种不负责任的行为,将广大服务器用户的网络和数据安全,置于巨大的风险之中。
4.暗设后门,危害网络和信息安全
英特尔公司开发的自主运行子系统ME(管理引擎),自2008年起被嵌入几乎所有的英特尔CPU中,是其大力推广的AMT(主动管理技术)的一部分,允许系统管理员远程执行任务。只要该功能被激活,无论是否安装了操作系统,都可以远程访问计算机,基于光驱、软驱、USB等外设重定向技术,能够实现物理级接触用户计算机的效果。硬件安全专家Damien Zammit指出ME是一个后门,可以在操作系统用户无感的情况下,完全访问存储器,绕过操作系统防火墙,发送和接收网路数据包,并且用户无法禁用ME。基于ME技术实现的英特尔AMT(主动管理技术),曾在2017年被曝存在高危漏洞(CVE-2017-5689),攻击者可通过设置登录参数中响应字段为空,实现绕过认证机制,直接登录系统,获得最高权限。
2017年8月,俄罗斯安全专家Mark Ermolov和Maxim Goryachy通过逆向技术找到了疑似NSA(美国国家安全局)设置的隐藏开关,该开关位于PCHSTERP0字段中的HAP位,但此次标志位并没有在官方文档中记录。戏剧性的是,HAP全称为High Assurance Platform(高保障平台),属于NSA发起的构建下一代安全防御体系项目。
如果NSA通过开启HAP位隐藏开关直接关闭ME系统,与此同时全球其他英特尔CPU都默认运行ME系统,这就相当于NSA可以构建一个只有其自己有防护,其他所有人都在“裸奔”的理想监控环境。这对于包括中国在内世界各国的关键信息基础设施来说,都构成极大地安全威胁。目前,ME上的软硬件是闭源的,其安全保障主要靠英特尔公司的单方面承诺,但事实表明英特尔的承诺苍白无力,难以令人信服。使用英特尔产品,给国家安全带来了严重隐患。
5.建议启动网络安全审查
据报道,英特尔公司500多亿美元的全球年收入,近四分之一来自中国市场。2021年英特尔公司的CPU占国内台式机市场约77%,在笔记本市场占约81%;2022年英特尔在中国的x86服务器市场份额约91%。可以说英特尔在中国赚得盆满钵满,但这家公司反而不断做出损害中国利益、威胁中国国家安全的事情。
此前,美政府通过所谓《芯片和科学法案》,对中国半导体产业进行无端排挤和打压,英特尔公司就是这一法案的最大受益者。英特尔公司首席执行官帕特∙基辛格成功地将英特尔与美国政府绑定在一起,成为美国芯片战略的最大合作公司,不仅得到了85亿美元的直接补助,还有110亿美元的低息贷款。
为讨好美国政府,英特尔在所谓涉疆问题上积极站位打压中国,要求其供应商不得使用任何来自于新疆地区的劳工、采购产品或服务,在其财报中更是将台湾省与中国、美国、新加坡并列,还主动对华为、中兴等中国企业断供停服,这是典型的“端起碗来吃饭,放下碗就砸锅”。
建议对英特尔在华销售产品启动网络安全审查,切实维护中国国家安全和中国消费者的合法权益。
编辑:芯智讯-浪客剑
