安全权衡：芯片设计中难以平衡的问题

参与讨论的专家有：

是德科技首席安全分析师妮可・费恩

微软硅基人工智能战略师塞尔日・利夫

拉姆布斯硅安全产品高级总监斯科特・贝斯特

西门子 EDA 泰森特汽车 IC 解决方案总监李・哈里森

新思科技架构高级总监莫希特・阿罗拉

新思科技首席安全技术专家兼科学家迈克・博尔扎

佛罗里达大学电子与计算机工程系杰出教授、卡斯皮亚科技联合创始人马克・特拉尼普奥尔

不同应用领域（如可穿戴设备、低功耗物联网设备与家庭网络等）在安全权衡方面有何差异？设计团队和工程管理层是如何做出安全相关决策的？

阿罗拉：安全、唤醒时间和功耗构成了物联网的三角关系，牵一发而动全身。例如，在可穿戴设备中，如果我倾斜手腕，我希望确保手表在低功耗模式下不会再次进行完整的安全启动。但由于要运行预渲染图形，仍需保持可信度。如何在确保快速唤醒时间的同时，不牺牲安全性和内存保持能力，这对实时操作系统（RTOS）应用至关重要。如果唤醒时间不够快，添加再多安全措施也无济于事。另一个方面是，信任根需要具备功耗感知能力，因为随着架构向极具挑战性的功耗模式扩展，其复杂性日益增加。需要确保测试边界得以维持，安全策略设置得以保留。如果进入信任根关闭的极低功耗模式，仍需确保安全设置不被改变。信任根需要全面掌握功耗模式的运行状态，以便能够拦截异常并发出 “我将拒绝该操作” 的指令。可以将其与异常检测结合，在此基础上构建更完善的机制，但核心仍应是硬件信任根。不能仅凭人工智能就做出所有决策，必须在这些方面取得平衡。

利夫：你提到了不同的应用领域，但我更想从设计风格的角度谈谈。看看系统级芯片（SoC）和专用集成电路（ASIC），业内人士在防御这类芯片不同攻击面方面已经做得相当不错。但如今，3D-IC 的发展使得攻击面不断扩大。由于业内已开发出多种应对措施，针对 SoC 和 ASIC 的攻击已逐渐成为国家层面的行为，经济型攻击者已难以对这些设备发起有效攻击。然而，当我们考虑异构集成 —— 比如采用具有大尺寸几何结构中介层的 2.5D 平台时，瓦片与衬底之间存在信号传输，这就需要在这类系统中采用分布式的创新安全架构。但同时，这也为经济型攻击者（而非国家层面攻击者）打开了一系列新的攻击面。这对业界而言算是一种 “重置”，需要重新思考相关问题。现在，许多新的攻击点暴露出来。中介层虽然为隐藏秘密提供了绝佳机会，但也极易被访问。它既是注入安全措施的契机，也扩大了攻击面。因此，防御策略的有趣之处在于，正从单芯片集成电路转向异构集成。

费恩：我常听到芯粒和高带宽内存与人工智能相关联，也听说中介层的几何结构与 ASIC 略有不同。由于线路更粗，这可能会导致侧信道泄漏问题，高带宽内存也存在类似情况。芯片堆叠对行锤攻击（rowhammer attacks）有何影响？一些研究人员已开始研究这一问题，但由于行锤攻击（一种软件诱导的故障注入攻击）的威胁，这一领域无疑需要更多关注。此类攻击不仅可能来自边缘设备，还可能来自数据中心。我想提的另一点是安全经济学。向人们推销安全理念很难，因为它难以量化。我们都清楚芯片设计流程、所有工具以及评估指标 —— 功耗、性能和面积（PPA）。在工具中调整设置，很容易看到 “芯片面积或占用空间减少了 10%”。但在安全领域，如果对设计进行修改，如何得知安全性是提高还是降低了？向他人推销 “我修改了设计，面积更小、功耗更低” 会更容易。由于安全缺乏明确的量化方式，因此安全指标的制定至关重要，它需要成为与 PPA 同等重要的指标。

博尔扎：安全的另一个特点是，若安全措施成功，就能避免攻击。但问题是，避免一次攻击能节省多少成本？这无法量化，因为你不知道攻击原本会造成什么后果。你只知道，你让攻击变得足够困难，以至于攻击者转向了其他目标。这是安全成本计算的一大难题。

利夫：2018 年，我们在 DARPA（美国国防高级研究计划局）制定 ACE 项目时，安全指标是最大的挑战。因为 DARPA 的工作模式是：“这是当前的技术水平，这是未来的技术水平，这些是技术挑战，这些是解决挑战的策略”。要明确未来技术水平中哪些必须是可客观衡量的，这是我在该项目中最头疼的部分。

贝斯特：功耗、性能和面积至关重要，但功耗、性能、面积与标准认证也同样关键。我们所有客户都要求标准认证。现在，如果不满足 FIPS 140-3 标准，就无法进入航空航天 / 国防领域；不满足 ISO 26262 标准，就无法进入汽车领域；不满足 CSIP（网络安全战略与实施计划）3 级标准，就无法与许多物联网厂商合作。过去三年，商业标准化程度比五年前高出一个数量级，这固然很好，但存在一个天然局限 —— 只有非常大的公司才能承担大量的认证工作。拉姆布斯有足够资源做到这一点，但我能想象，对于小型初创公司而言，他们必须有所取舍，因为可能只有一两个人，没有专门负责认证的团队。因此，标准在行业中始终存在这种局限性，但它与 PPA 一样，都在发挥重要的推动作用。

ISO 21434 标准的采用情况如何？它在普及和认知方面仍落后数年

贝斯特：确实如此，不过我们的客户现在比以往任何时候都更了解它。几年前，他们只知道需要侧信道保护；现在，当你接触他们时，他们会说：“我们需要 TVLA（测试向量泄漏评估）报告和故障注入报告”。因此，我要感谢像 [马克・特拉尼普奥尔] 这样的教授，是他们培养出了知识渊博的客户。我最后想指出的是，2.5D 架构存在重大安全问题，因为子系统的设计使得子系统内部的通信更容易被监听。此外，3D 芯片堆叠集成在防篡改方面有一些非常有趣的优势，我觉得很有吸引力。

利夫：美国芯片办公室的政府项目中，有一个关于 3D-IC 安全的项目，这可能为所有这些创新提供机会。去年 12 月，他们收集了初步提案，我刚与他们会面，他们很快会发布相关意见，鼓励或不鼓励某些方向。有人将其称为 3D-IC 安全的第二阶段，因此会有政府资金支持。

特拉尼普奥尔：总体而言，硬件安全面临的一个重要挑战是缺乏核心人才。加州大学洛杉矶分校的杰森・康（在设计自动化会议的主题演讲中）估计，软件开发者接近 200 万，而硬件开发者仅约 8 万人。计算机开发者占硬件开发者的比例很小，其中真正理解并重视安全的人更是少之又少。这一点很重要，因为当我们向客户提供解决方案时，还必须同时提供相关培训。这是我们目前与客户打交道时面临的最大挑战之一。卡斯皮亚科技正在尝试排除人为因素的影响。你刚才问的是物联网与其他系统的对比，以及我们如何做决策、成本如何等问题。几年后，生成式人工智能（GenAI）在决策方面可能会比工程师做得更好，原因有几点：一是工程师对安全的重视程度不够；二是工程师在做安全决策时，还需考虑对 PPA 等指标的影响。生成式人工智能可以做出所有这些决策。事实上，我们的一个智能体可以与用户互动，共同确定需要关注的问题：“我来帮你，我给你一个测试计划”。通过这种互动，它会提出各种问题，下一个问题取决于你之前的回答，而不是一成不变的问题列表。生成式人工智能会努力理解你的关注点，然后据此制定详细的测试计划，并告诉你：“你应该从这里开始，先关注 x，再关注 y、z 和 d”。当然，它不会对 PPA 产生影响，因此这种前瞻性的解决方案在未来某个时候还能提供一定程度的优化，因为它能自主做出决策。目前这种方案还未问世，但这是我们应该努力的方向。

有相关的衡量指标吗？

特拉尼普奥尔：指标一直是个挑战，这不仅限于硬件安全，软件安全也存在同样问题。有一家名为 Tenable 的公司，市值 40 亿美元，它所做的就是检测 CWE（常见弱点枚举），并从中赚了很多钱。重要的是，在安全领域，无法真正理解 “覆盖范围” 的含义。为什么？因为你面对的是人类智能，而非物理模型。物理模型更容易处理 —— 进行测试时，你知道什么会导致缺陷。但涉及人类智能时，你不知道攻击者会发现哪些你遗漏的漏洞，这是最关键的问题。因此，安全指标的制定很困难。永远不会有一个完美的安全指标，我们最终只能定义 “新的覆盖范围”，即尽可能多地检测漏洞，当然还要有认证。前面提到了一些认证，比如许多汽车公司参考的 ISO 21434。要实现安全开发生命周期，就需要提供覆盖范围，但当你阅读这种认证标准时，会感到困惑 —— 它真正要求的是什么？你必须自己去解读，或者由标准委员会来共同定义。总之，制定安全指标始终是最大的挑战，10 年后我们可能还在讨论这个问题，因为它是一个无法彻底解决、无法建模的问题。当然，有些攻击（如侧信道攻击等）与人类智能无关，而与设备能力有关 —— 测量越精确，建模就越容易。但有人可能会发现我们都忽略的问题，这就完全是另一类问题了。因此，我认为我们还会在未来很多年里讨论安全指标。

生成式人工智能本身的基本安全性如何？如何看待其在老化、算法、模型、幻觉以及供应链等方面的安全问题？

博尔扎：我简单理解为，需要提供一个可靠的平台来运行人工智能程序或进程。首先，在开始运行人工智能之前，需要硬件层面的坚实安全（或硬件根安全），此外还有完整的软件栈，以及任何可能存在的加速器。加速器在有相应程序之前无法工作。当我们谈论加速器内部运行的程序时，称之为 “模型”，但它始终需要与操作系统和用户应用程序交互。因此，首先要确保硬件安全，然后再考虑所有与人工智能相关的问题。像我这样主要关注硬件安全及上层安全，但并非人工智能专家的人，无法解决一些人工智能问题，因为人工智能领域存在大量独特的挑战。我们讨论过利用人工智能作为 “神谕” 来获取信息，这种情况会持续存在，这需要人工智能专家来解决。但我能做的是提供一个可靠的运行平台，确保其可信度，至少可以将问题分解为两个领域，减少它们之间的相互影响和控制。

哈里森：这里的关键词是 “可信度”。现在有很多关于 “可信人工智能” 的说法，即确保数据来自可信来源。在供应链中，当我们从更高层面审视安全时，会发现一些新的安全问题正在浮现，尤其是在芯粒方面，供应链中的安全攻击问题突出。去年我做过一些分析，与许多硅供应商交流，询问他们认为大多数攻击发生在哪个环节。令人惊讶的是，攻击既不在芯片层面，也不在设备层面，而是在供应链中。作为硬件设计者，我们必须在硬件层面尽最大努力减轻一些供应链攻击。新的挑战层出不穷，人工智能训练数据的供应只是供应链中的另一个环节。我们已经从一个封闭系统（在一个安全的地方完成硅片的制造、测试和封装），走向了使用来自世界各地的芯粒。我们的训练数据也来自许多不同的来源。因此，供应链是一个巨大的挑战。

阿罗拉：芯粒增加了攻击面。以前的单芯片集成电路很难被精准攻击 —— 因为所有元件都在大量逻辑门中优化过，很难说 “这是我的目标门，我要攻击它”。但现在有了芯粒，互连暴露在外。以前成本很高的局部攻击，现在即使不传递秘密，也能通过传递元数据来操纵并破坏芯片。

利夫：我觉得有必要谈谈大语言模型（LLM）的污染和幻觉问题。我们在此面对的几乎是 “自然之力”。每三个月，就有巨额资金投入大语言模型研发。我在微软内部能接触到首席技术官办公室的微软研究院，了解到最新进展。每三个月，过去三个月的成果都让我们惊叹不已 —— 无论是数据量、数据理解能力还是推理能力都有巨大提升。因此，无论我们在此讨论数据来源何处、是否存在 “毒丸”，都无关紧要。我们必须开始思考这个问题，因为巨额资金正以前所未有的速度投入，我们的讨论无法改变这一现状。唯一的问题是，我们能对潜在的数据污染或幻觉做些什么。有一些技术可以应对。当我想到大语言模型的知识量时，就会想到第一部《夺宝奇兵》电影的结尾 —— 那个无限延伸的仓库，大语言模型的知识量大概就有这么多。与大语言模型交互的真正挑战是，将重要信息置于优先位置。如果你随机提问，它会搜索人类产生的所有知识；但如果你限定条件、设置适当语境，它就会明白 “哦，他们在说这个”。你必须帮助大语言模型聚焦重点。现在可以假设它已获取你的用户数据，这也是可以处理的。通过高度复杂的提示词构建，能解决很多问题。最后，关于人工智能幻觉，我个人认为这也与和大语言模型的交互方式有关。如果你向大语言模型提出开放式问题，那就是自找麻烦；但如果你提出问题并给出多个选项，且事先知道其中一个是正确答案，让它选择，就能基本上消除幻觉的可能。我看到有人在提出查询时，会在结果呈现给人类之前先拦截候选答案，然后应用启发式方法（就像我们在 EDA 行业做的那样）处理这些候选答案。他们不相信大语言模型能选出正确答案，而是用启发式方法做最终决策。