六巨頭結盟隱藏超級晶元漏洞秘密222天，為何不敢告訴全世界

最新 01-14

一個潛伏了幾十年的晶元漏洞被發現了，它波及了地球上絕大多數現代電子設備。現在，科技大佬們已意識到，要想根治這一「世紀大漏洞」，他們不僅要結盟，還要打一場持久戰。

文 | AI財經社嚴冬雪

編輯 | 趙艷秋

大半年以來，英特爾、微軟、谷歌、蘋果、亞馬遜、ARM等科技大佬一直共同保守著一個秘密：現代晶元上有兩個存在已久的安全漏洞。不論是哪家製造商的晶元，不論是哪種品牌的手機、平板、個人電腦和伺服器，幾乎無一能幸運地逃脫這兩個漏洞的威脅。

這就像鋼鐵俠、美國隊長等人的處境，當一股突強大威脅波及全球時，沒有任何一個超級英雄能單獨抵擋。於是，電影《復仇者聯盟》的故事正在2017和2018之交的科技界上演。

「秘密」被踢爆了

2017年6月1日，谷歌旗下由頂尖白帽黑客組成的Project Zero 團隊，突然向英特爾、AMD、ARM公司通報，發現安全漏洞：熔斷（Meltdown）和幽靈（Spectre）。這兩個晶元級漏洞可以讓黑客訪問到系統內存，從而讀取出敏感信息，竊取核心數據。而它波及的範圍是：絕大多數地球上正在使用現代晶元的設備。

儘管安全問題層出不窮，但影響面如此之廣的漏洞還是極為罕見的。在這個危急時刻，英特爾、AMD、ARM等晶元廠商、谷歌、微軟等操作系統廠商、蘋果、亞馬遜等固件廠商悄然而迅速地結成「史上最強」聯盟，簽訂保密協議，確保在大漏洞被公之於眾前找到解救的辦法。

不論此前明爭暗鬥有多激烈，也不論彼此利益糾葛幾何，在這個史無前例的漏洞危機面前，科技大佬營造出空前團結的氛圍。

這一結盟的最終期限是：2018年1月9日。

按照眾廠商與谷歌Project Zero團隊達成的協議，如果到了1月9日，問題仍未解決，谷歌將把漏洞昭告天下——包括黑客在內的團體，自此將有機可乘。

但若一切順利，這些大佬將在規定的222天時間中，聯合解決這一超級漏洞。那樣，在1月9日大限到來之時，科技界依然欣欣向榮，歌舞昇平，這一驚險將不為外人所知，神鬼不覺地安然渡過。

2018CES電子消費展上，英特爾展台上的5G無線帶寬技術展示。@視覺中國

除了前述公司，由於擁有大型數據中心，雲廠商是此次危機的最大「受害者」。也正因1月9日這個約定，平日里火藥味十足的雲廠商們也出奇默契地在官網競相告知客戶，他們會有一次大型維護，且日期頗為集中——騰訊雲、微軟Azure將在1月10日升級維護，阿里雲、百度雲將在1月12日完成修復升級。

對毫不知情的公眾而言，這種扎堆的「常規維護」只是一種巧合，甚至不會有太多人注意到這一「巧合」。但云廠商們心知肚明。

小範圍的秘密也許容易守護，但如此大面積的危機，終究應了那句中國古話：「世上沒有不透風的牆」。

攪局者出現了。北京時間1月3日，科技媒體The Register爆出這兩個晶元漏洞，並表示即使修復漏洞，也會造成設備性能下降。

一時嘩然。

也許因為已被攪局，漏洞發現者、谷歌Project Zero團隊索性將詳情公開。北京時間1月4日早晨6點27分，Project Zero團隊在官網發布博客，公布了漏洞細節。

「我們沸騰了。」微軟雲市場總監金亞威告訴AI財經社，谷歌這篇博客披露了如何攻擊特定晶元，其詳盡程度足夠讓一些高階黑客去復現攻擊。微軟Azure雲相關負責人意識到：原定在1月10日的修復維護必須提前。

北京時間1月4日8點多，微軟Azure給全球用戶發送緊急通知：當天上午10點將進行一次重啟。即使微軟Azure在中國的運營由本地企業世紀互聯負責，需要溝通協調，也僅晚於美國總部一個半小時後，啟動了修復升級。

此時，雖然距離谷歌那篇揭秘博客發布剛剛過去幾小時，但卻比Azure原定1月10日的升級時間提前了整整6天。這種緊急提前的操作，不僅考驗技術水平，更需要承擔巨大的商業風險——根據合同，Azure對其用戶承諾，會提前5個工作日通知維護。而這一次，從通知到啟動升級，僅間隔一兩個小時。

AI財經社獲知，這次緊急決定確實讓微軟對客戶進行了相關賠償。

事後證明，微軟的擔心和冒險不無道理——在谷歌博客披露攻擊詳情後不到8小時，就有黑客成功復現攻擊，並公布在網上。而在當天復現攻擊的，有好幾個獨立組織。

英特爾「背鍋」

比起微軟Azure這場驚心動魄但不為人知的行動，英特爾則直接掉進了大漏洞事件的中心漩渦，成為眾矢之的。前述踢爆秘密的科技媒體，在其爆料文章標題里，直接點出「Intel」一詞。

輿論隨後發酵，所有矛頭都指向了這家在伺服器和個人電腦晶元市場佔據主導地位的公司。「Intel晶元門」、「Intel晶元漏洞」等信息迅速擴散，直到兩三天後，才逐漸有其他聲音發出：此次安全漏洞不是一家晶元企業獨有，而是覆蓋幾乎所有現代晶元，並由此席捲整個現代電子設行業，是名符其實的大漏洞事件。

但不管怎樣，這家第一大晶元公司總要成為擋箭牌，漏洞公布後，股價持續走低。甚至有媒體注意到，去年11月底，英特爾CEO科再奇拋售了價值3900萬美元的英特爾股票，僅保留25萬股——這是英特爾公司規定高管最少持有的股份數量。由於這是一場科技圈內事先知悉的秘密，有人將科再奇的拋售與漏洞事件掛鉤，直指「CEO提前跑路」。

製圖AI財經社@張哲

除了英特爾，從1月3日被科技媒體踢爆開始，接下來的幾天成為科技界狂亂的一周，各大公司的反應足以繪製一卷「眾生相」：

1月4日，在漏洞詳情被公之於眾的當天，英特爾緊急公布公布受影響的晶元產品清單，最新安全研究結果及產品說明。移動晶元公司ARM，也在當天給出詳單，具體指出哪些晶元受到什麼影響。

1月5日，AMD、高通紛紛發布官方聲明，承認部分產品存在安全漏洞，正在修復，但均未指明受影響晶元。

1月9日，IBM鬆口，公布此漏洞對其部分晶元的潛在影響。

1月10日，因人工智慧而極速崛起的晶元紅人英偉達才發布聲明，稱旗下部分晶元遭遇漏洞影響，並發布補丁。

其他科技大佬，諸如蘋果、微軟、亞馬遜，則在第一時間承認產品大面積受到波及，但相關修復已完成，或持續進行中。

製圖AI財經社@張哲

在這卷「眾生相」中，最早承認並發布詳情的英特爾雖表現誠懇，每天都發布相關評測，針對客戶反饋的問題詳情，給出解決方案，但公眾並不買賬，人們仍有質疑，集中在兩點：為什麼科技大佬知情已久卻隱瞞至今？漏洞修復到底會不會影響現代設備的性能？

對於後一個問題，蘋果、亞馬遜、谷歌和微軟評估並表態，該安全更新對性能影響很小甚至沒有影響。英特爾官方則針對不同晶元給出了不同程度影響的評估結果。微軟雲、阿里雲、金山雲相關安全專家也均對AI財經社說明，性能影響取決於具體執行何種業務。對大多數個人用戶而言，修復此次漏洞帶來的性能影響可以忽略不計。

剩下的問題只在於：為何對公眾隱瞞許久？

阿里雲相關人士對AI財經社說，此次安全漏洞引發的是一次史無前例的技術危機。網路安全基金蘋果資本創始人胡洪濤則告訴AI財經社，以覆蓋面而言，這是一個「超級漏洞」。這意味著，包括晶元廠商、操作系統服務商、電腦手機等硬體廠商、各軟體廠商、雲廠商等，整個計算機行業鏈條上的各方，都需要做出相應修復，才能相互補充，徹底消除隱患。這種前所未有的聯動修復，決定了它需要比此前漏洞更久的解決時間。

如果不是被提前踢爆，早已知情的科技大公司們本打算按原計劃，在1月9日各方已全面做好準備，發布補丁之後，再行宣布。

多家雲廠商均向AI財經社透露，它們確實早就知情，但出於協同保密考慮，並未公開，只私下進行修復。只待1月9日之後，各家分別以「日常維護」的名義，完成這次修復升級。

此外，包括晶元廠商、雲廠商、網路安全專家等多方人士均向AI財經社表示：該漏洞具有一定門檻，雖然覆蓋面廣，但也不容易被利用。到目前為止，全網尚未發生一例正式攻擊報告。

基於以上種種原因，這次的「超級漏洞」從2017年6月1日，到媒體曝光，隱瞞7月有餘。

這不是結束

只因媒體曝光，就早於協議時間公布漏洞細節，谷歌錯了嗎？谷歌到底在這個大漏洞事件中扮演了怎樣的角色？

在安全圈「大牛」、騰訊玄武實驗室負責人於暘（業界人稱TK）看來，漏洞披露機制不是什麼新鮮事，早在一二十年前就開始討論。如今，全世界對於漏洞披露機制都有一個共識——那就是「要披露」。

尤其在美國，人們認為漏洞披露是言論自由的一部分，受憲法修正案保護。

從廠商角度而言，被指出產品有漏洞，既丟面子，也要投入成本修復。因此，有些廠商提出要「負責任地披露」，以免公開後被黑客利用，影響用戶利益。但在TK看來，這是個「道貌岸然」的說法，如果沒有公開的壓力，廠商大可出於成本顧慮，枉顧用戶安全風險，獲知漏洞而不補。

多方妥協的結果是：從內部告知到公開漏洞，中間相隔一個緩衝期。美國CERT（計算機安全應急響應組）組織的普遍緩衝期是45天，到期之後，不管廠商是否修復，都會公開。

而對谷歌而言，其對漏洞披露的緩衝期是90天。這一數字，是經過「多年認真考慮和行業討論的結果」，谷歌安全研究人員已使用大致同樣的披露原則達15年之久……最終效果顯示，大多數漏洞都在90天的披露日期之前被修復，這正是廠商努力負責的一個證明。

但谷歌也不得不承認，安全威脅發生變化時，披露原則也要相應的變化——這正解釋了，向來只給90天緩衝期的谷歌，為什麼給這次晶元大漏洞開出了一份長達222天的保密協議。

這顯然是針對「超級漏洞」的一次特事特辦。從這方面而言，谷歌仁至義盡了。即使是受影響最大的英特爾，其CEO科再奇也在最新的一封公開信中，「特別感謝」谷歌團隊「負責任的披露」，為整個行業協調解決這些問題創造了條件。

然而，英特爾、AMD、ARM等晶元廠商對此漏洞的修復速度不盡如人意。媒體先於協議到期日一周踢爆此事，使得谷歌隨後公開漏洞細節，將其呈現於公眾——尤其是黑客眼皮底下，這給各家廠商的修復工作帶來了更大難度，以及時間上的空前緊迫感，也打亂了廠商一開始想要秘密解決，以平緩渡過危機的計劃。

在科再奇最新的公開信中，他承諾英特爾會在修復過程中保持「透明而及時的溝通」，呼籲產業界的夥伴繼續支持這次修復，「每個人扮演的角色都非常重要」。

在科技界的共同努力下，截至發文，英特爾宣布，已針對過去5年推出的大多數晶元產品發布了軟體和固件更新。到1月15日，英特爾發布的更新預計將覆蓋過去5年內推出的90%以上的晶元產品。而針對其他產品的更新將在今年1月底前發布。至於隨修復造成的性能損失，也將逐步減少到最低。

由於此次漏洞由晶元設計缺陷導致，是硬體層面的問題。多家雲廠商對AI財經社表示，經此一役，不排除更換數據中心硬體的可能。不過，他們同時強調，比起普通用戶，雲廠商的硬體更換頻率，本來就要高出好幾倍。

不過，關於如何修復此次漏洞，計算機科學「聖地」卡耐基梅隆大學的CERT（計算機安全應急響應組）已將建議從「更換CPU」調整為「保持更新」。

此次漏洞源自晶元設計理念上的缺陷，源於上世紀60年代IBM發明的OOO（Out of Order亂序執行）技術，後被Intel、ARM、AMD等現代處理器廠商廣泛採納。換句話說，這是一個存在了幾十年的漏洞，是幾乎所有現代晶元設計源頭的通病。怎麼解決？是換掉所有晶元？還是去修復漏洞？就像現代人理所當然地用鋼筋水泥修建高樓大廈，突然有一天被告知：不行。是從此城市只用木頭石頭蓋房，還是盡量去彌補鋼筋水泥的缺陷？答案不言而喻。

截至發文，AWS、微軟Azure、阿里雲、騰訊雲、百度雲等已陸續在1月4日、1月10日、1月12日完成了針對此次漏洞的修復更新。

但人們必須意識到，這不意味著風波平息。事實上，一切才剛開始。

安全信息網站安全牛主編李少鵬認為，隨著時代發展，類似晶元這種底層設計會暴露出一些新問題，將來可能還有新的晶元漏洞出來。

金山雲安全專家張娜也告訴AI財經社，對於雲廠商而言，漏洞是不可避免的，只是程度會有輕重緩急之分。此次漏洞對雲廠商而言，除了及時修補，更多的影響在於提示他們持續加大底層研究的投入。

蘋果資本創始人劉洪濤認可了這些說法，在他看來，「只要是人做的東西，都有漏洞」。比如，特斯拉也有硬體級別的漏洞被中國白帽子發現，但最終只對廠商通報，而沒有公佈於眾，畢竟人命關天。