智東西
作者 陳駿達(dá)
編輯 漠影

當(dāng)大模型參數(shù)規(guī)模邁向萬億級、AI算力集群規(guī)模不斷刷新紀(jì)錄時，算力已越來越像工業(yè)時代的“電力”與“石油”，成為新一輪產(chǎn)業(yè)競爭中的重要變量。

但與此同時，一個過去并未被充分重視的問題也正在浮出水面：當(dāng)算力成為核心生產(chǎn)力之后，生產(chǎn)力本身也開始成為攻擊對象。

近年來，圍繞AI基礎(chǔ)設(shè)施的安全事件明顯增多。比如，2023年曝出的全球GPU資源被黑客組織劫持用于加密貨幣挖礦事件，就讓大量企業(yè)算力資源在不知情的情況下被長期占用。

與此同時，供應(yīng)鏈層面的風(fēng)險也在持續(xù)擴(kuò)大，從固件后門到開源組件漏洞，再到云端多租戶環(huán)境中的橫向滲透，AI時代的攻擊面已經(jīng)遠(yuǎn)遠(yuǎn)超出傳統(tǒng)網(wǎng)絡(luò)安全邊界。

因此，除了算力規(guī)模和性能指標(biāo)之外，安全性、可信性以及持續(xù)穩(wěn)定運(yùn)行能力，也開始成為企業(yè)評估AI基礎(chǔ)設(shè)施的重要標(biāo)準(zhǔn)。

過去那種“先上車后補(bǔ)票”的思路，已經(jīng)越來越難適應(yīng)AI時代的需求。對于很多AI基礎(chǔ)設(shè)施而言，安全能力正在從附屬配置變成前置條件，甚至?xí)苯佑绊懫脚_能否進(jìn)入關(guān)鍵行業(yè)和核心場景。

一、AI時代，“外掛式安全”為何失靈？

過去很長一段時間里，行業(yè)對于安全的理解，更多是一種外掛式防護(hù)邏輯。比如在服務(wù)器層面部署防火墻、入侵檢測系統(tǒng)、加密軟件、權(quán)限管理平臺，或者通過虛擬化隔離和安全代理實現(xiàn)訪問控制。這類方案本質(zhì)上是在計算系統(tǒng)之外，再額外疊加一層安全模塊。

在傳統(tǒng)IT時代，這種模式曾經(jīng)非常有效。因為當(dāng)時的計算架構(gòu)相對穩(wěn)定，業(yè)務(wù)邊界清晰，數(shù)據(jù)流動路徑也更可控。然而進(jìn)入AI時代后，這種“外掛式安全”開始暴露出明顯短板。

首先，大模型訓(xùn)練和推理對于性能極其敏感。一次安全檢查、多一次數(shù)據(jù)拷貝、一次額外加解密，都可能帶來顯著延遲。尤其是在大規(guī)?；A(chǔ)設(shè)施中，任何安全機(jī)制如果需要頻繁介入主計算鏈路，都會嚴(yán)重影響算力利用率。

其次，AI基礎(chǔ)設(shè)施正在走向高度異構(gòu)化。CPU、GPU、NPU等不同類型的芯片、高速網(wǎng)絡(luò)、分布式存儲共同組成復(fù)雜計算體系，數(shù)據(jù)會在不同芯片、不同節(jié)點(diǎn)之間高速流動。傳統(tǒng)軟件安全方案往往很難覆蓋如此復(fù)雜的底層協(xié)同環(huán)境，很多機(jī)制甚至無法感知芯片內(nèi)部狀態(tài)。

更關(guān)鍵的問題在于，軟件層安全本身也建立在“底層可信”的前提上。如果芯片、固件已經(jīng)被篡改，那么運(yùn)行在其上的安全軟件就可能從根源失效。

AI時代正在推動安全理念發(fā)生一次重要轉(zhuǎn)向：安全需要成為計算架構(gòu)本身的一部分。這也正是“內(nèi)生安全”概念受到行業(yè)關(guān)注的重要原因。

所謂內(nèi)生安全，本質(zhì)上是把安全能力直接嵌入系統(tǒng)組件（如中央處理器）內(nèi)部，讓安全機(jī)制像人體“自主神經(jīng)反射”一樣，在系統(tǒng)運(yùn)行過程中自動發(fā)揮作用，而不是依賴額外外掛安全組件進(jìn)行補(bǔ)救。

比如，在芯片內(nèi)部構(gòu)建可信根，通過硬件級認(rèn)證確保系統(tǒng)啟動可信；通過內(nèi)置加密引擎實現(xiàn)數(shù)據(jù)實時高效加解密；通過內(nèi)存隔離和可信執(zhí)行環(huán)境，讓不同任務(wù)即便共享同一硬件資源，也無法相互竊取數(shù)據(jù)。

更重要的是，這些能力要與計算架構(gòu)同構(gòu)運(yùn)行。換句話說，安全能力不再需要頻繁“打斷”計算流程，而是在芯片內(nèi)部同步完成。相比傳統(tǒng)軟件安全，這種模式既減少性能損耗，也降低了被繞過、被篡改的風(fēng)險。

二、海光的答案：讓芯片具備“免疫系統(tǒng)”

從產(chǎn)業(yè)趨勢來看，內(nèi)生安全正在成為AI基礎(chǔ)設(shè)施發(fā)展的重要方向。尤其是在金融、政務(wù)、能源、科研等高敏感領(lǐng)域，客戶對于“可信算力”的需求已經(jīng)越來越明確。

國內(nèi)不少企業(yè)也已經(jīng)開始意識到這一變化，并嘗試從芯片架構(gòu)層面重構(gòu)AI時代的安全體系。其中，海光信息近年來在“芯片級內(nèi)生安全”方向上的布局，就極具代表性。

海光信息已提出了覆蓋密碼技術(shù)、機(jī)密計算、可信計算、漏洞防御四大方向的內(nèi)生安全能力，希望從底層硬件層面構(gòu)筑AI時代的安全底座。

首先是密碼技術(shù)。

傳統(tǒng)軟件加密往往存在兩個問題：一是性能消耗較大；二是密鑰容易暴露在系統(tǒng)內(nèi)存或軟件鏈路中。而海光的方案，則是在芯片內(nèi)部集成密碼協(xié)處理器、密碼學(xué)指令集、安全處理器和抗量子密碼算法引擎，將加密能力直接嵌入硬件。

這種設(shè)計核心的價值，在于實現(xiàn)密鑰的“可用不可見”。也就是說，應(yīng)用系統(tǒng)可以調(diào)用密鑰完成加密計算，但密鑰本身不會暴露給操作系統(tǒng)或普通應(yīng)用層。整個生命周期，包括生成、存儲、調(diào)用，都在芯片可信環(huán)境中完成。

其次是機(jī)密計算。

在云計算和AI訓(xùn)練場景中，多租戶共享資源已經(jīng)非常普遍，不同用戶任務(wù)往往會同時運(yùn)行在同一臺物理服務(wù)器甚至同一組算力節(jié)點(diǎn)上。一旦隔離機(jī)制出現(xiàn)問題，就可能引發(fā)數(shù)據(jù)泄露、任務(wù)竊取等風(fēng)險。

海光采用的是基于安全虛擬化的機(jī)密計算體系。虛擬機(jī)之間通過SM4進(jìn)行加密，不同應(yīng)用資源彼此隔離，同時支持計算隔離、啟動度量、遠(yuǎn)程認(rèn)證、磁盤加密、密鑰卸載等能力。

從技術(shù)演進(jìn)路徑來看，海光的CSV機(jī)密計算已經(jīng)從最初的“內(nèi)存加密”，逐步擴(kuò)展到“內(nèi)存加密+狀態(tài)加密”，再到“內(nèi)存加密、狀態(tài)加密、內(nèi)存隔離”的完整保護(hù)體系，安全邊界正在不斷向底層延伸。同時，海光CPU和DCU還可以通過安全通道連接，共享同一安全域。

第三是可信計算。

海光C86芯片支持可信計算3.0和TCM2.0等標(biāo)準(zhǔn)，并兼容TCG規(guī)范與中國商密體系，能夠?qū)崿F(xiàn)安全啟動、動態(tài)度量等功能。

其中，安全啟動主要用于防止系統(tǒng)被篡改風(fēng)險，在開機(jī)階段就對BIOS、固件等關(guān)鍵組件進(jìn)行可信驗證；動態(tài)度量則會持續(xù)監(jiān)控系統(tǒng)運(yùn)行狀態(tài)，形成動態(tài)信任鏈。

簡單理解，就是系統(tǒng)從啟動到運(yùn)行的整個過程中，都會不斷確認(rèn)當(dāng)前環(huán)境是否可信。一旦檢測到固件異常、系統(tǒng)組件被篡改或者運(yùn)行狀態(tài)異常，系統(tǒng)就能夠及時識別并阻斷風(fēng)險。

第四則是漏洞防御。

過去幾年，國際芯片行業(yè)曾因“熔斷”、“幽靈”等經(jīng)典漏洞受到巨大沖擊。這類漏洞本質(zhì)上利用了現(xiàn)代CPU亂序執(zhí)行、分支預(yù)測等機(jī)制，通過側(cè)信道方式竊取敏感數(shù)據(jù)。

很多傳統(tǒng)芯片只能依賴后續(xù)軟件補(bǔ)丁修復(fù)，而海光強(qiáng)調(diào)，其基于獨(dú)立演進(jìn)的國產(chǎn)C86架構(gòu)，在設(shè)計階段就已經(jīng)考慮相關(guān)風(fēng)險，因此能夠從架構(gòu)源頭降低漏洞產(chǎn)生概率。

如果說過去的安全體系更多是“圍墻邏輯”，那么內(nèi)生安全更像是“基因邏輯”，讓整個芯片體系天然具備免疫能力。

三、內(nèi)生安全，開始進(jìn)入真實場景

海光在芯片內(nèi)生安全方面的布局，正在從單一芯片能力，逐步擴(kuò)展為完整體系能力。

海光近期發(fā)布的內(nèi)生安全技術(shù)全景圖，就展現(xiàn)了這一布局。在底層，海光以CPU+DCU雙芯為底座，建立統(tǒng)一安全域，讓數(shù)據(jù)在訓(xùn)練、推理、傳輸和存儲過程中始終處于安全可信環(huán)境。

這套體系覆蓋了數(shù)據(jù)采集、傳輸、存儲、使用到銷毀的全生命周期，并面向黨政、互聯(lián)網(wǎng)、金融、電力、石油等領(lǐng)域提供開箱即用的全棧應(yīng)用。

而這一體系化能力，也已經(jīng)開始進(jìn)入真實產(chǎn)業(yè)場景。

隨著量子計算的快速發(fā)展，經(jīng)典公鑰算法未來存在被破解的風(fēng)險。尤其在金融、政務(wù)、通信等場景里，很多敏感數(shù)據(jù)即便今天無法破解，也可能被攻擊者先保存下來，等未來量子計算成熟后再統(tǒng)一解密，也就是所謂“先存儲、后解密”風(fēng)險。

在這一背景下，海光與國泰海通推出了全球首個抗量子密碼平滑遷移方案，通過抗量子商密網(wǎng)關(guān)、抗量子證書體系以及數(shù)據(jù)庫加密方案，構(gòu)建覆蓋通信、安全認(rèn)證、數(shù)據(jù)存儲的量子安全能力。

其中，一個關(guān)鍵點(diǎn)在于“混合密碼”機(jī)制。這一機(jī)制支持客戶通過客戶端配置加密方式，實現(xiàn)商密、商密+抗量子（混合密碼）和純抗量子密碼的平滑切換。既可以保留現(xiàn)有商密體系（如SM2），同時也引入抗量子算法ML-KEM（也稱Kyber）。

這種模式對于證券行業(yè)尤為重要，因為交易系統(tǒng)對低延遲、高并發(fā)和穩(wěn)定性要求極高，激進(jìn)式替換的風(fēng)險較大。

更值得關(guān)注的是，相關(guān)可信密碼模塊已經(jīng)內(nèi)置于海光CPU內(nèi)部，并取得國家密碼管理局商用密碼檢測中心頒發(fā)的商用密碼產(chǎn)品認(rèn)證證書，由芯片直接提供商密計算與安全存儲能力。

結(jié)語：AI時代，安全正在成為“基礎(chǔ)能力”

從行業(yè)演進(jìn)路徑來看，AI時代的安全邏輯正在發(fā)生變化。過去，人們默認(rèn)“性能優(yōu)先、安全補(bǔ)充”；而未來，安全本身可能會成為算力基礎(chǔ)設(shè)施的一部分核心指標(biāo)。

在這個過程中，具備內(nèi)生安全能力的芯片，也很可能從“高配”逐漸變成AI基礎(chǔ)設(shè)施的“標(biāo)配”。誰能率先完成從外掛安全到內(nèi)生安全的范式轉(zhuǎn)移，誰就更有機(jī)會在下一輪AI基礎(chǔ)設(shè)施競爭中掌握主動權(quán)。