自中国网络空间安全协会发布建议启动针对英特尔网络安全审查文章后，网络安全的讨论仍在持续。

10月17日，英特尔对于中国网络空间安全协会发文进行回应，称将“将与相关部门保持沟通，澄清相关疑问，并表明对产品安全和质量的坚定承诺。”

及时应对CPU漏洞风险

中国网络空间安全协会发文内容显示，英特尔产品漏洞频发、故障率高。

安全漏洞问题方面，据文章披露，2023年8月，英特尔CPU被曝存在Downfall漏洞，该漏洞影响英特尔第6代至第11代酷睿、赛扬、奔腾系列CPU，以及第1代至第4代至强处理器。

另在2023年11月，谷歌研究人员披露英特尔CPU存在高危漏洞Reptar。利用该漏洞，攻击者不仅可以在多租户虚拟化环境中获取系统中的个人账户、卡号和密码等敏感数据，还可以引发物理系统挂起或崩溃，导致其承载的其他系统和租户出现拒绝服务现象。2024年以来，英特尔CPU又先后曝出GhostRace、NativeBHI、Indirector等漏洞。

可靠性问题方面，据文章披露，从2023年底开始，大量用户反映，使用英特尔第13、14代酷睿i9系列CPU玩特定游戏时，会出现崩溃问题。

另外，中国网络空间安全协会发文表示英特尔产品存在监控与后门问题。英特尔联合惠普等厂商，共同设计了IPMI（智能平台管理接口）技术规范，声称是为了监控服务器的物理健康特征，但模块也曾被曝存在高危漏洞（如CVE-2019-11181），导致全球大量服务器面临被攻击控制的极大安全风险。同时，英特尔还在产品中集成存在严重漏洞的第三方开源组件。

据此，中国网络空间安全协会建议对英特尔在华销售产品启动网络安全审查，切实维护中国国家安全和中国消费者的合法权益。公开资料显示，中国网络空间安全协会于2016年3月25日在北京成立的全国性、行业性、非营利性社会组织，接受业务主管单位中华人民共和国国家互联网信息办公室和社团登记管理机关中华人民共和国民政部的业务指导和监督管理。

英特尔方面回应称：始终将产品安全和质量放在首位，一直积极与客户和业界密切合作，确保产品的安全和质量。将与相关部门保持沟通，澄清相关疑问，并表明英特尔对产品安全和质量的坚定承诺。

另外，进行全面的风险评估也是必要的，以确定漏洞可能带来的影响，并根据风险等级制定相应的应对策略。在确认漏洞被修复之前，企业应将受影响的系统从网络中隔离，以防止潜在的攻击扩散。同时，增强网络安全监控和日志记录，可以帮助企业快速响应异常行为，及时处理安全事件。定期备份关键数据也是一种有效的防护措施，以确保在发生安全事件时能够迅速恢复业务。

网络安全视角转变

实际上，除了英特尔，半导体行业领域多家企业近年来持续曝出漏洞问题。

就在今年10月，高通公司（Qualcomm）发布安全警告称，其多达64款芯片组中的数字信号处理器（DSP）服务中存在一项潜在的严重的“零日漏洞”——CVE-2024-43047，且该漏洞已出现有限且有针对性的利用迹象。根据高通公告，CVE-2024-43047源于使用后释放（use-after-free）错误，可能导致内存损坏。

该漏洞影响范围广泛，涉及高通FastConnect、Snapdragon（骁龙）等多个系列共计64款芯片组，涵盖了智能手机、汽车、物联网设备等多个领域，将影响非常多的品牌厂商，如小米、vivo、OPPO、荣耀等手机品牌厂商都有采用高通骁龙4G/5G移动平台及相关5G调制解调器-射频系统，苹果iPhone12系列也有采用骁龙X555G调制解调器-射频系统。

AMD在2023年被曝出Inception（CVE-2023-20569）漏洞，该漏洞是一种新的瞬态执行攻击，影响所有AMDZen架构的处理器。结合了“Phantomspeculation”和“TraininginTransientExecution”（TTE）技术，允许攻击者从非特权进程中泄露任意数据，影响包括从Zen1到Zen4的所有Ryzen和EPYC处理器。

AMDSinkclose（CVE-2023-31315）漏洞允许攻击者在系统管理模式（SMM）中运行恶意代码，可能导致系统管理中断（SMI）处理程序被利用，影响包括Ryzen3000及第一代EPYC及更新的CPU。AMDZen2处理器寄存器漏洞（CVE-2023-20593）影响所有Zen2处理器，攻击者可以在虚拟机内监听宿主机数据。

2022年，NVIDIAGPU被曝出CVE-2022-28181漏洞，NVIDIAGPUDisplayDriver内核模式层中的越界写入漏洞，允许非特权普通用户通过craftedshader导致越界写入。2021年，NVIDIA被曝出CVE-2021-1056漏洞，系NVIDIAGPU驱动程序中的设备隔离漏洞，允许攻击者在容器中创建特殊的字符设备文件，从而获取宿主机上所有GPU设备的访问权限。

2019年，清华大学计算机系研究团队发现电压管理机制漏洞骑士漏洞（VolJokey），影响ARMTrustZone和IntelSGX等可信执行环境。攻击者可以通过该漏洞突破安全区限制，获取核心密钥并运行非法程序，广泛存在于彼时主流处理器芯片中。

推动产业链发展完善

网络安全漏洞包括多种类型，如攻击者注入恶意脚本代码的跨站脚本攻击（XSS），通过在应用程序的用户输入中插入恶意SQL语句欺骗数据库执行非法操作的SQL注入攻击，攻击者通过伪装成合法用户向应用程序发送恶意请求，利用用户在应用程序中的身份执行未经授权操作的跨站请求伪造（CSRF），应用程序意外或故意将敏感数据（如密码、信用卡信息等）泄露给未经授权的用户，导致用户隐私受到侵犯或经济损失的敏感数据泄露等形式。

CPU安全漏洞类型的安全风险并不会非常频繁地发生，但一旦发生，将影响范围非常广泛，且修复难度较大。例如，2018年曝光的“熔断”（Meltdown）和“幽灵”（Spectre）漏洞影响了全球大多数处理器芯片，几乎涵盖了所有主流的智能终端设备。这些漏洞允许攻击者绕过内存访问的安全隔离机制，通过恶意程序获取操作系统和其他程序的被保护数据，造成内存敏感信息泄露。

李国强表示，一家芯片公司在某个领域几近一家独大带来一定隐患，但对于半导体行业，这种情况难以避免。当规模越大、成本越低、效益越好的逻辑成立时，行业天然会形成接近垄断的局面。而要找到更安全的路径，国内还是要发展自己的PC和服务器芯片。目前国产CPU在一些对信息安全要求高的领域已经在应用，但基于性能要求，可能仍无法完全替代最先进的英特尔芯片或者要靠数量来获得足够的性能。

艾瑞咨询在研报中分析称，相关国产化软硬件成熟度提升，从“可用”进入到“好用”阶段，在政策的大力支持下国产化网络安全硬件设备将会成为未来行业增长的主要动力；在复杂多变的网络环境下，需求方对于网络安全产品的要求将继续提升，专用网络安全硬件平台将逐步替代通用网络安全硬件设备。