——访清华大学微电子研究所所长魏少军

“CPU漏洞门”事件爆发以来，社会的关注不断扩大，其核心问题已经不仅是几家公司是否存在“不做为”的嫌疑，而是关系到现代社会对于信息安全的保障。集成电路产业在其中应当承担起应有的社会责任。近年来，中国大力发展集成电路产业，目的之一就是确保国家信息的安全可控。借鉴这一事件，中国的CPU企业在发展过程中，应当如何避免类似的事件发生？《中国电子报》采访了清华大学微电子研究所所长魏少军。

漏洞影响将长期存在

目前态度仍过于乐观

记者：“CPU漏洞门”事件不断扩大。有观点认为，此事件已经堪比十几年前IT业界遭遇的“千年虫”危机。对此事件，你如何评价？

魏少军：此次发生的“CPU漏洞门”事件涉及的两个漏洞“熔断（Meltdown）”和“幽灵（Spectre）”与之前发生的类似事件有很大不同，具体来说，有如下几个特点：一是涉及面很宽。根据报道，不仅英特尔的CPU中招，AMD、IBM，甚至ARM也承认其CPU产品也存在类似风险。二是漏洞源自CPU本身的架构和指令执行机理缺陷。现在看来，之前为了提升CPU性能所采取的一些技术，如分支预测、乱序执行、超标量和高速缓存等，是导致这两个漏洞出现的根本原因。这与我们经常谈的“硬件木马”有根本的不同。三是影响非常深远。对现有的国际玩家而言，要消除已经出货的数十亿颗CPU存在的漏洞问题几乎是不可能的事情，不仅要付出巨大代价，还需要很长的时间。四是解决的难度很大。由于这种漏洞出现在硬件上，而且是CPU架构和指令执行机理所造成的，无法简单地打补丁。通过软件进行修复又会使CPU性能受到不同程度的影响。相关说法表明会有5%～30%不等的性能损失。更为可怕的是，是否可以彻底修复仍然未知。五是对这个行业的其他人的影响不可忽视。根据现有知识，凡是在CPU设计中采用了分支预测、乱序执行、超标量和高速缓存技术的，大概都会碰到同样的问题，产品也都存在留有类似漏洞的风险。

至于评价，此次事件应该引起我们的高度重视。这类由于架构和指令执行机理缺陷引发的漏洞，通常很难发现；且由于涉及硬件，也很难修改。一旦发生，影响面会非常宽，也会持续很长时间。从目前的情况来看，虽然没有证据表明这两个漏洞是处理器厂商有意为之，或者是他们在设计之初就已知晓此事，但由于利用这两个漏洞的门槛不高，也很难断言在这两个漏洞大规模公开前没有被恶意利用过，也就无从知晓已经造成了多达的损失。

记者：长期来看，这一事件将对行业带来哪些影响？

魏少军：所谓漏洞是软硬系统本身存在的技术缺陷，可以让攻击者在未获授权的情况下访问或破坏系统。漏洞有两个特点，一是不可避免，二是难以修复。以这次的“熔断”和“幽灵”漏洞为例，所有应用了乱序执行、分支预测、超标量和高速缓存等技术的CPU几乎都无一例外存在这两个漏洞。针对这两个漏洞的修复，大多数人或许都太过于乐观了。不少人认为微软等操作系统厂商能够通过打补丁来修复，最坏不过是引起CPU性能的下降。而实际上，操作系统厂商提供的软件补丁不过是部分解决了用户态软件利用该漏洞获取操作系统内存信息的问题，并未杜绝这两种漏洞被恶意利用的可能。即使打了操作系统补丁，别有用心的黑客仍旧可以利用该漏洞获取用户不被允许访问的数据。说的更直接一些，操作系统厂商不过是通过打补丁的方式来撇清自己跟这两个漏洞的关系而已，并没有也不可能消除这些漏洞。事实上，黑客能否通过其他方式绕过操作系统来利用这两个漏洞，已不是他们关心的事了。这两个漏洞在现代主流的CPU里，以前存在、现在存在、恐怕今后还将存在，无论是操作系统软件厂商还是处理器硬件厂商都没有办法进行修复。从长远来看，这些漏洞暴露事件将会对主流CPU性能的提升产生一定阻碍。主流的设计厂商在未来的微架构中可能会因为顾忌安全性而更趋于保守。但我们认为，这种影响对于信息技术的长远发展是有利的，只有安全的信息化产品才能够更好服务于人民的生活。

2018年或可定义为

全球硬件安全元年

记者：中国CPU企业是否也将会受到两个漏洞的波及？

魏少军：目前还不是很清楚我国CPU企业是否也受到这两个漏洞的波及，因为到目前为止，还没有国内企业承认自己的产品存在类似的漏洞。这有可能是根本就不清楚自己是否被波及到了，也有可能是知道了不说，但更可能是在产品设计中还没有采用乱序执行和分支预测等技术。这可以让我们从侧面探窥国产CPU产品性能之所以远远落后国际同行的原因。当然，我们非常希望看到，国内企业采用了乱序执行和分支预测等技术但又规避了前述漏洞。如果真的做到这一点，也说明国产CPU在设计技术上有了巨大的突破。

记者：国家大力投入发展集成电路产业，一个主要的目的就是保障信息安全。借鉴这一事件，中国CPU企业在发展过程中，应当如何避免类似的事件发生？

魏少军：这两个漏洞的影响之深远程度可能需要更长的时间来观察，但是毋庸置疑的是，这是第一次硬件安全问题从学术层面走进大众视野。虽然我们不愿意承认，但是随着信息系统硬件设计的日趋复杂，现代芯片动辄上百亿颗晶体管，类似的芯片漏洞、前门、后门，甚至硬件木马（恶意硬件）等将会更大规模的影响信息系统的硬件安全，进而影响软件安全，影响系统安全。因此，完全可以把2018年定义为全球硬件安全的元年。

这次“熔断”和“幽灵”漏洞暴露后，有两件事情非常值得我们深思。第一，为什么这次发现漏洞的不是传统从事信息安全的专业机构？第二，到目前为止似乎也没有从事信息安全的专业机构能拿出有效的解决方案。这是否说明，在信息安全的发展思路上也出现了“漏洞”？

长久以来，我国在保障计算机信息安全上做了大量的工作，也取得了不少的成绩。但总的来说还未摆脱被动应对的局面，对暴露出来问题也大多是后知后验。计算机信息安全工作主要停留在查毒杀毒等被动防御层面，很少去考虑主动防御，在主动防御上建树不多。我国一些从事CPU研发的单位和企业寄希望于采取行政手段或通过制定标准规范来达到目的。显然，在本次“熔断”和“幽灵”漏洞面前，这些手段和方法都显得十分苍白无力。这次“CPU漏洞门”事件提醒我们：现在是时候扭转一下发展思路了，要变“被动防御”为“主动防御”。

要想做到真正的安全可控，关键还是要掌握核心技术。没有核心技术的支撑，按照别人的思路和架构去发展，很难逃开与别人一样的结局。这次“熔断”和“幽灵”漏洞事件给了所有从事CPU研发的人一个重新审视自己工作的机会。中国的CPU发展由于发展水平不高，有可能侥幸绕过了“熔断”和“幽灵”的影响，但不等于今后就可以高枕无忧。我们的CPU企业应该在基础技术上继续追赶的同时，在架构创新上有所作为。

另外，还需要强调的一点是，我们还可以抓住这次事件的机遇，转危为机。本次“熔断”和“幽灵”暴露出的硬件漏洞，短期内可以通过软件补丁在一段时间内缓解，但长远看还是要通过更换硬件才能够解决。显然，我们需要回答几个问题，第一，软件补丁到底会对CPU的性能带来多大的影响？第二，如何防止黑客再利用这些漏洞，毕竟这些漏洞现在成为了公开的秘密，也就是“潘多拉的盒子”已经打开了，只靠软件是否能够彻底防护住？第三，新的CPU产品如何能够彻底避免此类架构和运行机制上的漏洞？尤以第二个问题最为严重，寻求明确的答案也最为紧迫。很不幸的是，答案很可能是否定的。在这三个问题上，我国企业与国外企业处在同一起跑线上，如果抓住机遇，有可能实现国产CPU的一次大幅度进步。例如，国内近年来在芯片领域已经有了不少的进步，特别是在“可重构计算-软件定义芯片”技术上领先国际同行，引起全球的高度关注。利用这一技术所实现的CPU外部特性实时监控技术，可以检出和复现“熔断”和“幽灵”类似的非法操作，并与软件配合随时监控可能插入的、企图利用这些漏洞盗取数据的潜在行为。因此，我国CPU企业应该充分利用这次事件赢取发展先机，实现国产CPU的一次大踏步前进。