摘要:
... 作者 | 荣智慧
编辑 | 向现
黄仁勋刚要爬出一个坑,又掉进另一个坑。
7 月 31 日,中国互联网监管机构国家互联网信息办公室约谈英伟达,要求该公司就对华销售的 H20 算力芯片 " 后门 " 风险问题进行说明。
H20 有 " 后门 " 是美国议员的提议:要求商务部规定,受出口限制的人工智能芯片必须配备位置确认机制。
刚去台积电追加 30 万颗 H20、准备在中国大卖一场的英伟达相当尴尬。
CEO 黄仁勋费尽九牛二虎之力,才说动美国总统特朗普 " 高抬贵手 ",放行 " 中国特供版 "H20 芯片,结果美国议员一招 " 背刺 ",英伟达一下子从 " 慷慨解囊 " 变成了 " 不怀好意 " ——在国家间竞争激烈的当下,国家安全这个坑,对获取市场的障碍要远大于贸易政策。
美国的泛安全化大棒,以自己挥棒的方式,敲到了自己头上。
冤有头,债有主。7 月 31 日,中国国家互联网信息办公室约谈英伟达,是对美国参议员汤姆 · 科顿 5 月份提出的一项法案的回应。该法案要求,受美国对中国出口管制的人工智能芯片必须提供 " 位置验证 " 功能。
英伟达 H20 芯片专门为中国市场设计,以遵守美国出口规则。因此,中方监管机构要求英伟达对 H20 芯片的 " 位置验证 " 等 " 后门 " 风险做出解释。
身处中美贸易战风口浪尖的 H20 命途多舛," 敲锣打鼓 " 之时忽然迎来 " 当头一棒 "。
2022 年开始,美国拜登政府先后抛出《芯片法案》及好几百页的 " 芯片管制条款 ",限制英伟达的高阶芯片 H100 向中国销售,英伟达特别设计了 " 减配版 "H20,以便符合当年的规范。其实,那时不光 H100,还有 A100," 中国特供 "H800 和 A800,以及消费级显卡 RTX4090 都收到禁令。
NVIDIA A100 for HGX/ 图源:nvidia
2025 年初,中国生成式 AI 公司 " 深度求索 " 异军突起,其 AI 产品使用 H20 芯片也能达到世界顶级聊天机器人 ChatGPT 的运算能力。
美方深感担忧,于 2025 年 4 月再度禁运 H20。其时,中国科技巨头腾讯、阿里巴巴已经提交大量订单,英伟达因无法交付,承受了超过 50 亿美元的损失。
就此,英伟达 CEO 黄仁勋展开 " 魅力游说 ",频繁出现在白宫和特朗普府邸 " 海湖庄园 ",并于 7 月 16 日高调访问中国,公开表示美国商务部已批准向中国销售 H20 芯片,引发全球瞩目。此次已是黄仁勋本年度第三次访京,从去年穿东北花袄、今年身着 " 唐装 " 用生硬中文赞扬中国科技发展,亦可见其对 " 中国大客户 " 的重视。
穿唐装的黄仁勋 / 图源:腾讯科技
虽然 H20 的运算能力不如 H100 乃至 GH200,但在 AI 推理方面表现出色。H20 基于英伟达的 Hopper 平台打造,运算能力和带宽有所降低,但支持英伟达自身的 CUDA 软件,自带开发和运行 AI 大模型的行业标准平台。
所以,虽然华为等中国本土科技巨头已经推出英伟达芯片的 " 替代方案 ",但 H20 解禁后,多家中国 " 大厂 " 如腾讯、字节跳动等优先向英伟达递交巨额订单,也充分证明 CUDA 生态系统的地位短期内仍然难以取代。
订单一多,本来只想 " 清库存 " 的英伟达也改了主意,连夜向台积电追加了 30 万颗 H20。
CUDA 生态系统 / 图源:nvidia
黄仁勋访问北京后的第五天,中国国家安全部于 7 月 21 日发文警示 " 当心你身边的隐形窃密通道 "。文中指出," 境外生产的芯片、智慧型装置与软件预藏后门 ",呼吁中国国内重点涉密单位应采用 " 自主可控 " 的芯片和国产系统,避免 " 后门 " 风险。
7 月 31 日,中国国家互联网信息办公室约谈英伟达,要求其对后门问题进行说明,并提交相关证明材料。
英伟达随后回应 " 英伟达芯片不存在‘后门’,并不会让任何人有远程访问或控制这些芯片的途径 "。
8 月 1 日,人民日报发表《英伟达,让我怎么相信你?》评论文章。文中表示,回应归回应,企业唯有按照约谈要求,拿出令人信服的安全证明,才能消除中国用户的后顾之忧,重新赢得市场信任。
图源:nvidia
至此,美国参议员的 " 刀子 " 切切实实地递到了中方手里,如果英伟达想卖 H20,就必须要拿出合规性资料——尤其是详细的底层原理,如代码、示例让中方审核、检测。
而在英伟达拿出证据之前,所有 H20 的接收恐怕都会暂停一段落。
芯片 " 后门 ",首先是一个技术问题。从技术的角度看,H20 芯片实现 " 追踪定位 " 和 " 远程关闭 " 功能是完全可行的。
在美国参议员呼吁出口芯片必须配备 " 追踪定位 " 功能之前,有美国人工智能领域专家透露英伟达算力芯片的有关技术已经成熟。
一般而言,硬件后门(Hardware Backdoor)是一种故意植入到硬件设备中的恶意电路和代码,它允许攻击者绕过正常的安全机制,获取对设备的未授权访问。硬件后门通常由两个核心部分组成:触发机制(Trigger)和载荷(Payload)。
像触发机制主要分成三种:组合逻辑触发,需要特定的输入组合,组合设计为正常操作中几乎不能出现的输入模式,常规测试中不容易发现;时序逻辑触发,基于内部计数器或状态机,需要特定的时许序列才能激活;物理条件触发,靠温度、电压等物理条件变化来激活后门,实验室环境很难重现。
像载荷也主要分成三种:信息泄露,通过隐蔽信道传输敏感数据;功能篡改,在特定条件下改变芯片功能,如削弱加密强度、修改权限等;拒绝服务,降低系统性能,或使系统崩溃,如触发断电、重启或功能降级。
一般而言,硬件后门(Hardware Backdoor)是一种故意植入到硬件设备中的恶意电路和代码
硬件后门的通信方式,比如功耗侧信道、电磁辐射、时序侧信道等,都具有很强的隐蔽性。
也就是说,从硬件后门的触发机制、载荷和通信方式三个层面来看,如果手段隐蔽,常规安全检测的话还是相对难发现。
但是,比起软件后门,硬件后门还是 " 明显 " 了一些。假如 H20 专用的驱动程序有 " 猫腻 ",那就更不容易被察觉了。业界有人士猜测,假如用户的计算服务器需要对外提供服务,那么 H20 驱动程序就可以合理与英伟达服务器通信,然后偷偷把客户数据搬走做分析。
搬走数据,或者暗地操控,往往不是为了商业用途。
2017 年,俄罗斯安全公司研究人员在英特尔的管理引擎(ME)固件上发现了不对劲的地方。ME 是一个嵌入在英特尔芯片组上的独立微控制器,自 2008 年起就被集成到几乎所有英特尔 CPU 上。
图源:Intel
不对劲的地方在于,ME 上存在一个名为 "reserve_hap" 的隐藏位,被描述为 "High Assurance Platform ( HAP ) enable"。HAP 是美国国家安全局(NSA)发起的一个安全计算平台的项目。
这个隐藏位就是美国国家安全局留的后门——以便在特定场景下关闭 ME。要知道,对于全球其他用户,ME 是默认开启的。
而英特尔 CPU 在消费级市场上的龙头地位始终难以撼动,2024 年市场占有率还高达 75.4% ——这个 " 后门 " 的威力相当巨大。
芯片后门,表面看是技术问题,本质上还是政治问题。
即使中国产业界完全有能力检测,也没有必要检测。因为用户怀疑不需要理由,证明没有后门是英伟达的责任,它必须 " 自证清白 "。
2019 年,美国将中国华为纳入 " 实体名单 ",禁止华为向美国出售信息与通讯技术和服务。英国紧随其后,由于有意向购买华为的通讯设备,英国政府要求华为提交所有源代码,一行一行地进行审核。虽然没有审核出任何问题,但英国依然给华为下了禁令,理由是 " 有后门 "。
不管 H20 有没有后门,既然美国参议员自己捅了这一刀,中国政府有充分的理由审核英伟达芯片。就算 H20 压根没有后门,但其提供的底层原理,也足够为中国算力芯片的技术发展 " 添砖加瓦 "。
黄仁勋 / 图源:nvidi
无论如何,美国同意英伟达恢复向中国销售 H20,客观上也使英伟达成为中美贸易战的焦点。上个财年,中国市场为英伟达贡献了 170 亿美元的收入。穿着招牌黑色皮夹克的黄仁勋,在人工智能东风下引领英伟达突破市值 4 万亿美元大关的同时,又能在平衡华盛顿和北京意见的外交舞台上纵横捭阖。
" 后门事件 " 暂时挫伤了英伟达的风头,但不会改变算力芯片和人工智能在全球科技、经济、军事竞争中的关键地位。
" 后门事件 " 为中国科技企业争取到了一定的机遇和时间:拿到芯片,中国企业可以加速研发落地的 AI 应用;拿到底层原理,中国企业可以研发学习。
归根结底,跨过这一阶段,中国国产替代方案终会大规模发展。
