2026年開年��,德國CISPA亥姆霍茲信息安全中心披露的處理器漏洞“StackWarp”����,如同一顆投入平靜湖面的石子,在全球算力產(chǎn)業(yè)激起了巨大漣漪�����。該漏洞波及AMD Zen全系處理器���。目前官方已經(jīng)給出了修復(fù)方案。不過�,在硬件級修復(fù)之前,部分防護(hù)措施需要以關(guān)閉同步多線程為代價(jià)�,對系統(tǒng)算力和部署成本造成影響。這也引發(fā)了業(yè)內(nèi)的熱議:安全與性能��,究竟該如何兼得�?
而國產(chǎn)處理器的安全能力也遭到了審視����,尤其是獲得x86永久授權(quán)和Zen架構(gòu)的海光���。但這場風(fēng)波卻意外成了照亮國產(chǎn)CPU自主化進(jìn)程的一束強(qiáng)光��。據(jù)了解��,海光信息(SH688041)的C86 CPU已被驗(yàn)證對該漏洞實(shí)現(xiàn)“原生免疫”�。在看似同源的X86技術(shù)河流中����,以海光C86為代表的國產(chǎn)CPU,早已悄然筑起獨(dú)立的技術(shù)航道與堅(jiān)固的安全堤壩�����。這背后�����,是中國芯片產(chǎn)業(yè)走過的一條從引進(jìn)消化�����、到再創(chuàng)新、最終實(shí)現(xiàn)技術(shù)路線分叉與生態(tài)獨(dú)立的艱辛而清晰路徑�。海光所構(gòu)建的不僅是一顆性能優(yōu)異的CPU,更是一套從硅基物理層開始構(gòu)筑的����、深度融入國家網(wǎng)絡(luò)安全體系的內(nèi)生安全架構(gòu)。
StackWarp漏洞照出的“分水嶺”:
從技術(shù)追隨到生態(tài)獨(dú)立
StackWarp(CVE-2025-29943)漏洞的本質(zhì)���,是攻擊者利用AMD SEV-SNP(安全加密虛擬化)技術(shù)的設(shè)計(jì)缺陷����,通過主機(jī)側(cè)篡改特定寄存器�,實(shí)現(xiàn)對虛擬機(jī)內(nèi)存數(shù)據(jù)的確定性攻擊。這對于將安全托付于云端的企業(yè)和機(jī)構(gòu)而言����,無異于“釜底抽薪”�����。
目前來看�,官方給出的修復(fù)方案需更新固件并禁用同步多線程(SMT,即超線程)技術(shù)�。超線程技術(shù)是通過讓單個(gè)物理核心模擬出兩個(gè)邏輯核心�����,顯著提升處理器在多任務(wù)環(huán)境下的吞吐能力���,禁用則意味著可用計(jì)算資源大幅削減。對于動(dòng)輒部署數(shù)萬乃至數(shù)十萬顆CPU的云計(jì)算巨頭和超算中心�,這一修復(fù)成本堪稱天文數(shù)字。這也讓不少用戶陷入兩難:要安全���,還是要性能�����?
在這一窘境中��,海光信息的聲音顯得格外有力��。經(jīng)技術(shù)驗(yàn)證�����,海光C86處理器對StackWarp漏洞具備原生免疫力�。其根本原因并非幸運(yùn),而是源于一場始于數(shù)年前靜默而堅(jiān)定的技術(shù)“分叉”��。彼時(shí)�����,海光通過永久性授權(quán)���,合法獲得了X86指令集架構(gòu)的使用許可����,為公司提供了一個(gè)與世界主流生態(tài)兼容的高起點(diǎn)�。
其成果便是今天具有完全自主知識產(chǎn)權(quán)的“C86”計(jì)算架構(gòu)。需要注意的是����,C86并非對原有技術(shù)的簡單套用,而是在兼容主流生態(tài)的基礎(chǔ)上�����,于芯片微架構(gòu)�、安全模塊�����、能效管理等多個(gè)核心層面進(jìn)行了深度重構(gòu)與自主擴(kuò)充。特別是在安全領(lǐng)域��,海光前瞻性地將安全能力視為芯片的“第一屬性”進(jìn)行硬件原生設(shè)計(jì)�����。例如���,StackWarp漏洞利用的關(guān)鍵前提是主機(jī)能篡改虛擬機(jī)頁表以構(gòu)造單步執(zhí)行環(huán)境����,而與AMD SEV-SNP技術(shù)對應(yīng)的海光CSV3技術(shù)���,從硬件層面就阻斷了主機(jī)對安全虛擬機(jī)頁表的非法訪問��,根本上杜絕了此類攻擊路徑�����。
如今��,海光C86已然完成了從“技術(shù)授權(quán)跟隨”到“架構(gòu)分叉獨(dú)立”的關(guān)鍵演變�。這一事件清晰地劃出了一道“分水嶺”:全球X86生態(tài)正在形成兩條并行且差異化的技術(shù)路線——一條是延續(xù)傳統(tǒng)設(shè)計(jì)、面臨周期性安全挑戰(zhàn)的國際路線����;另一條則是以海光C86為代表,以前沿安全理念驅(qū)動(dòng)��、實(shí)現(xiàn)內(nèi)生免疫與自主可控的中國路線����。這條獨(dú)立的技術(shù)道路,正是海光應(yīng)對當(dāng)前復(fù)雜國際科技博弈�、支撐國內(nèi)關(guān)鍵信息系統(tǒng)安全的底氣所在。
解剖“免疫”基因:
內(nèi)置三道“金剛鎖”的國產(chǎn)自主安全體系
面對層出不窮的硬件級安全威脅��,傳統(tǒng)“軟件打補(bǔ)丁”的模式已力不從心����。海光的答案是將安全能力深度“硬化”到硅片之中,構(gòu)建起從芯片底層出發(fā)的主動(dòng)防御體系���。這集中體現(xiàn)在其廣受業(yè)內(nèi)認(rèn)可的三道硬件級“金剛鎖”上:芯片原生密碼技術(shù)��、可信計(jì)算與機(jī)密計(jì)算�。共同構(gòu)成了海光CPU區(qū)別于普通商用芯片的核心安全護(hù)城河�。
第一道鎖是芯片原生密碼技術(shù),讓每顆CPU成為高性能密碼機(jī)�。傳統(tǒng)的數(shù)據(jù)加密往往依賴外置的密碼卡或軟件算法,前者增加成本與復(fù)雜度���,后者存在性能瓶頸和安全風(fēng)險(xiǎn)��。海光創(chuàng)新性地在CPU內(nèi)部集成了獨(dú)立的安全處理器(PSP)和密碼協(xié)處理器(CCP)��,并擴(kuò)充了支持國密算法(SM2/SM3/SM4)的專用指令集����。這意味著�,每一臺搭載海光CPU的服務(wù)器,其本身就成為一個(gè)無需外接密碼卡的高性能“虛擬密碼機(jī)”����。
第二道鎖是可信計(jì)算3.0“中國方案”,能實(shí)現(xiàn)從啟動(dòng)到運(yùn)行的全周期主動(dòng)免疫��。與依賴主板外置可信芯片的傳統(tǒng)方案不同�,海光將國際主流的TPM2.0、國內(nèi)的TCM2.0以及代表更先進(jìn)主動(dòng)防御理念的TPCM(可信平臺控制模塊)等三大可信標(biāo)準(zhǔn)�����,全部以固件形式集成于CPU內(nèi)部的安全處理器中。一旦發(fā)現(xiàn)篡改即可實(shí)時(shí)告警甚至干預(yù)��,實(shí)現(xiàn)了對未知威脅的主動(dòng)防御��。目前�����,在通過國家認(rèn)證的可信計(jì)算產(chǎn)品名單中��,基于海光CPU的方案占比已過半�,成為金融、能源等關(guān)鍵行業(yè)構(gòu)建高等級安全系統(tǒng)的首選�。
第三道鎖是機(jī)密計(jì)算(CSV),也是為云上數(shù)據(jù)流動(dòng)打造的“絕對安全屋”�����。通過在CPU內(nèi)部創(chuàng)建基于硬件的可信執(zhí)行環(huán)境(TEE)�,海光自主研發(fā)的CSV3機(jī)密計(jì)算技術(shù)將虛擬機(jī)的內(nèi)存數(shù)據(jù)進(jìn)行實(shí)時(shí)加密,且密鑰由CPU自身生成與管理��,永不外泄�。目前,海光已與阿里云�����、騰訊云、聯(lián)通云等主流云服務(wù)商合作推出基于CSV的機(jī)密云服務(wù)����。在隱私計(jì)算領(lǐng)域�,海光還與超90%的頭部廠商合作,聯(lián)合推出了十余款隱私計(jì)算一體機(jī)���,應(yīng)用于政務(wù)數(shù)據(jù)開放�、聯(lián)合醫(yī)療科研���、金融風(fēng)控等場景���,確保數(shù)據(jù)“可用不可見”,在釋放數(shù)據(jù)價(jià)值的同時(shí)牢牢守住安全底線���。
這三道深度融合于硅片的“金剛鎖”�����,使得安全不再是海光CPU的“附加功能”����,而是其與生俱來的“核心基因”。它們共同回應(yīng)了一個(gè)根本性問題:在算力基礎(chǔ)層面���,如何實(shí)現(xiàn)真正的����、不依賴妥協(xié)的自主可控����。
超越硬件:從芯片安全
到國家數(shù)字基座的“戰(zhàn)略安全”
海光在芯片安全技術(shù)上的縱深布局,其意義早已超越單一的硬件產(chǎn)品競爭����。它所指向的,是一個(gè)更高維度的命題——國家數(shù)字基礎(chǔ)設(shè)施的戰(zhàn)略安全��。
在中美科技競爭長期化的背景下���,高端計(jì)算芯片的供應(yīng)鏈穩(wěn)定已成為產(chǎn)業(yè)發(fā)展的“生命線”��。海光C86實(shí)現(xiàn)從架構(gòu)迭代到生產(chǎn)制造的全流程國內(nèi)主導(dǎo)�����,意味著在最為核心的算力層���,中國擁有了一條不受制于人�、可自主供給和升級的備份路線��。當(dāng)國際技術(shù)軌道出現(xiàn)類似StackWarp的“急剎車”甚至“斷供”風(fēng)險(xiǎn)時(shí)���,海光代表的自主體系能夠確保關(guān)鍵信息系統(tǒng)的連續(xù)、穩(wěn)定運(yùn)行����。
更為關(guān)鍵的是,在數(shù)字經(jīng)濟(jì)時(shí)代�����,數(shù)據(jù)是核心生產(chǎn)要素���,其處理全過程的安全直接關(guān)系到國家安全����、商業(yè)機(jī)密與個(gè)人隱私����。以海光為代表的國產(chǎn)廠商們從硬件根源上為數(shù)據(jù)的產(chǎn)生�����、傳輸��、存儲�、計(jì)算乃至銷毀的全生命周期提供了可信環(huán)境�����。特別是在金融�、能源、通信等關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域����,搭載具備內(nèi)生安全芯片的設(shè)備,是落實(shí)網(wǎng)絡(luò)安全等級保護(hù)制度�、抵御高級別持續(xù)性威脅(APT)的物理基礎(chǔ)。
另外�,一顆自主可控且安全可靠的芯片,能夠向下帶動(dòng)國內(nèi)半導(dǎo)體設(shè)備�、材料、制造工藝的進(jìn)步,向上支撐操作系統(tǒng)����、數(shù)據(jù)庫、中間件乃至各類應(yīng)用軟件的創(chuàng)新與遷移�,形成良性的國內(nèi)信息技術(shù)應(yīng)用創(chuàng)新(信創(chuàng))生態(tài)閉環(huán)。以海光C86為例�����,其對主流軟件生態(tài)的兼容性��,極大地降低了整個(gè)產(chǎn)業(yè)鏈的遷移成本����,加速了從“可用”到“好用”的進(jìn)程���,從而在整體上提升了我國數(shù)字產(chǎn)業(yè)的韌性與競爭力����。
在全球數(shù)字主權(quán)競爭日益激烈的今天��,算力就是國力����,而安全的算力則是基石�。它關(guān)乎在波濤洶涌的數(shù)字浪潮中����,我們能否擁有自己設(shè)計(jì)、自己建造且自己掌舵的“萬噸巨輪”��,以確保數(shù)據(jù)資產(chǎn)與數(shù)字未來�����,從而航行在一條自主����、安全、可控的廣闊航道上��。
文/胡曉
(本文不構(gòu)成任何投資建議���,信息披露內(nèi)容以公司公告為準(zhǔn)����。投資者據(jù)此操作����,風(fēng)險(xiǎn)自擔(dān)�����。)
