日前，國家安全部披露部分境外生產(chǎn)的芯片、智能設(shè)備及軟件可能存在預(yù)埋“技術(shù)后門”的重大安全隱患。這些后門可通過特定信號遠(yuǎn)程激活，實現(xiàn)攝像頭/麥克風(fēng)竊聽、數(shù)據(jù)回傳等功能，直接威脅公民隱私、企業(yè)機密乃至國家安全。

技術(shù)后門的三重滲透路徑

根據(jù)國家安全部披露，境外技術(shù)后門主要通過三種方式侵入設(shè)備：

惡意預(yù)埋（設(shè)備“內(nèi)鬼”）部分境外廠商在芯片或設(shè)備設(shè)計制造階段即植入后門，可通過遠(yuǎn)程指令直接操控設(shè)備。例如，某品牌智能手機曾被檢測出芯片級后門，可在用戶不知情時開啟攝像頭并上傳影像數(shù)據(jù)。

后期破解（服務(wù)“漏洞”）個別廠商為方便維修設(shè)置遠(yuǎn)程訪問接口，但因管理不善或被第三方破解，導(dǎo)致后門淪為竊密工具。2024年某跨國企業(yè)服務(wù)器遭入侵事件中，黑客即利用設(shè)備維護端口長期竊取用戶數(shù)據(jù)。

供應(yīng)鏈投毒（代碼“污染”）不法分子通過污染開源代碼庫、篡改軟件更新包或在供應(yīng)鏈環(huán)節(jié)植入惡意代碼，在設(shè)備使用過程中暗中激活后門。2025年初，某國產(chǎn)智能電視品牌因使用被篡改的第三方組件，導(dǎo)致數(shù)百萬臺設(shè)備面臨數(shù)據(jù)泄露風(fēng)險。

國產(chǎn)化替代可以降低風(fēng)險

從國安部披露的三張入侵方式看，一種方式是利用用戶管理不善，訪問接口被破解，另外兩種方式是植入硬件或軟件后門。對于植入硬件或軟件后門的最佳應(yīng)對措施，就是不用外商的CPU，不用外商軟件和未經(jīng)安全測試認(rèn)證過的開源軟件。

正是因此，國家安全部強調(diào)，政府、軍工、金融、通信等涉密崗位需優(yōu)先采用自主可控的國產(chǎn)芯片和操作系統(tǒng)。某央企技術(shù)負(fù)責(zé)人透露，其單位已全面替換進口路由器，改用國產(chǎn)信創(chuàng)設(shè)備，并部署AI驅(qū)動的異常流量監(jiān)測系統(tǒng)，成功攔截多起境外IP的非法訪問嘗試。

為了保障信息安全，所使用的自主可控的國產(chǎn)芯片和操作系統(tǒng)必須是真自主，而不能是打著自主旗號的技術(shù)引進。

具體來說，當(dāng)下信創(chuàng)行業(yè)中的部分國產(chǎn)ARM CPU，其CPU核、GPU核就是從ARM購買的，源碼原封不動從ARM買過來，就CPU核、GPU核部分而言，沒有一行代碼是自己寫的，然后把買來了IP核“組裝”成SoC。

比如一款國產(chǎn)ARM CPU公司購買了ARMA55和A77，把多個A55和A77集成到一款A(yù)RM CPU上，那么，A77上的漏洞，這款國產(chǎn)ARM芯片必然存在，因為用的就是A77的源碼。

就標(biāo)榜自研，這種ARM芯片其實就是一款商業(yè)芯片，若標(biāo)榜自主、安全就是自欺欺人，掩耳盜鈴。

類似的，當(dāng)下的國產(chǎn)桌面操作系統(tǒng)，其實都是基于開源軟件的二次開發(fā)，雖然Linux、FreeBSD早已開源，但哪家操作系統(tǒng)公司敢立軍令狀聲明已經(jīng)吃透所有技術(shù)細(xì)節(jié)，并保證基于開源軟件二次開發(fā)的操作系統(tǒng)不存在任何漏洞？

從降低安全風(fēng)險的角度看，使用自主指令集、自主CPU核、內(nèi)存控制器、PHY等外網(wǎng)IP全部自研的CPU是最安全的。每一行代碼都自己寫的操作系統(tǒng)，相對于直接購買外商軟件，或直接使用未經(jīng)安全驗證的開源軟件要更安全。

純自主CPU和OS同樣面臨安全考驗

鐵流認(rèn)為，技術(shù)引進肯定不安全，但自主研發(fā)也不一定就百分之百安全。因為即便是純自主技術(shù)，也要面臨國家級攻擊者的攻擊。

誠然，龍芯這樣從指令集到核心IP全部自研的CPU不存在預(yù)埋后門的問題，但海外的國家級攻擊者會查找硬件漏洞。硬件能否安全就是矛與盾的攻防戰(zhàn)，最終還是看龍芯團隊的能力水平，如果能力強，能夠快速迭代技術(shù)，升級的速度比西方黑客找漏洞的速度快，或是在西方黑客發(fā)現(xiàn)漏洞之前就補全存在的漏洞，或者發(fā)現(xiàn)問題后能夠第一時間亡羊補牢，這就能夠保障硬件安全。反之，即便是純自主設(shè)計的CPU，同樣無法保障硬件安全。

操作系統(tǒng)也是如此，特別是國產(chǎn)桌面操作系統(tǒng)都是基于開源軟件做二次開發(fā)，這就對本土技術(shù)團體的漏洞查找能力和修補能力提出了更高的要求。

總體來說，自主研發(fā)的安全性是高于技術(shù)引進的。比如當(dāng)年英特爾、AMD被發(fā)現(xiàn)幽靈和熔斷兩個漏洞時，全球用戶只能等著英特爾、AMD來打補丁，國內(nèi)企業(yè)沒有能力去給英特爾、AMD打補丁。

類似的，當(dāng)ARM發(fā)現(xiàn)漏洞時，國內(nèi)企業(yè)只能等ARM來打補丁，自己只能干瞪眼。因為購買ARM技術(shù)授權(quán)就意味著很多工作是由ARM完成，國內(nèi)ARM CPU公司通過買技術(shù)授權(quán)走捷徑，在很多工作上偷懶了，即便買到了軟核授權(quán)，也不少所有代碼都可讀可寫，ARM對一些模塊是有加密的，何況沒有開發(fā)文檔和注釋，只有源碼也未必能看懂。由于平時走了捷徑，自己沒做過，也就不會做，因而只能等ARM來打補丁。

相比之下，自主CPU因為純自主，所有工作都是自己做，平時沒少鍛煉，自己都會做，源代碼都是自己寫的，干凈又透明，注釋和開發(fā)文檔齊全，因而發(fā)現(xiàn)問題的時候自己能修補。

結(jié)語

實踐上看，自主研發(fā)不一定安全，技術(shù)引進一定不安全。

鐵流認(rèn)為，涉密崗位就應(yīng)該買龍芯和SW，普通辦公電腦可以從海光和龍芯里選。

國產(chǎn)ARM芯片是非常雞肋的，論性能、生態(tài)、性價比都不如海光，論自主性和安全又不如龍芯和SW，在裸CPU性能和性價比上被龍芯壓著打。

在桌面辦公平臺ARM和龍芯的生態(tài)是難兄難弟，在一些特定行業(yè)，ARM的生態(tài)還不如龍芯。

當(dāng)下，金融、通信、黨政、交通、醫(yī)療等行業(yè)大量采購ARM芯片，其中很多ARM芯片集成的CPU核、GPU核就是ARM公版架構(gòu)，一旦面臨緊急狀態(tài)，這些ARM公版架構(gòu)就有可能變成特洛伊木馬，隱患不容小覷。