2026年開年��,德國CISPA亥姆霍茲信息安全中心披露的處理器漏洞“StackWarp”���,如同一顆投入平靜湖面的石子,在全球算力產業(yè)激起了巨大漣漪���。該漏洞波及AMD Zen全系處理器��。目前官方已經給出了修復方案���。不過,在硬件級修復之前,部分防護措施需要以關閉同步多線程為代價���,對系統(tǒng)算力和部署成本造成影響���。這也引發(fā)了業(yè)內的熱議:安全與性能,究竟該如何兼得���?
而國產處理器的安全能力也遭到了審視��,尤其是獲得x86永久授權和Zen架構的海光��。但這場風波卻意外成了照亮國產CPU自主化進程的一束強光��。據了解��,海光信息(SH688041)的C86 CPU已被驗證對該漏洞實現“原生免疫”��。在看似同源的X86技術河流中���,以海光C86為代表的國產CPU,早已悄然筑起獨立的技術航道與堅固的安全堤壩��。這背后��,是中國芯片產業(yè)走過的一條從引進消化、到再創(chuàng)新���、最終實現技術路線分叉與生態(tài)獨立的艱辛而清晰路徑���。海光所構建的不僅是一顆性能優(yōu)異的CPU,更是一套從硅基物理層開始構筑的��、深度融入國家網絡安全體系的內生安全架構��。
StackWarp漏洞照出的“分水嶺”:
從技術追隨到生態(tài)獨立
StackWarp(CVE-2025-29943)漏洞的本質��,是攻擊者利用AMD SEV-SNP(安全加密虛擬化)技術的設計缺陷��,通過主機側篡改特定寄存器��,實現對虛擬機內存數據的確定性攻擊��。這對于將安全托付于云端的企業(yè)和機構而言���,無異于“釜底抽薪”。
目前來看���,官方給出的修復方案需更新固件并禁用同步多線程(SMT���,即超線程)技術���。超線程技術是通過讓單個物理核心模擬出兩個邏輯核心,顯著提升處理器在多任務環(huán)境下的吞吐能力��,禁用則意味著可用計算資源大幅削減���。對于動輒部署數萬乃至數十萬顆CPU的云計算巨頭和超算中心��,這一修復成本堪稱天文數字���。這也讓不少用戶陷入兩難:要安全,還是要性能��?
在這一窘境中���,海光信息的聲音顯得格外有力��。經技術驗證��,海光C86處理器對StackWarp漏洞具備原生免疫力���。其根本原因并非幸運���,而是源于一場始于數年前靜默而堅定的技術“分叉”。彼時��,海光通過永久性授權���,合法獲得了X86指令集架構的使用許可��,為公司提供了一個與世界主流生態(tài)兼容的高起點���。
其成果便是今天具有完全自主知識產權的“C86”計算架構。需要注意的是��,C86并非對原有技術的簡單套用���,而是在兼容主流生態(tài)的基礎上���,于芯片微架構、安全模塊��、能效管理等多個核心層面進行了深度重構與自主擴充��。特別是在安全領域���,海光前瞻性地將安全能力視為芯片的“第一屬性”進行硬件原生設計���。例如,StackWarp漏洞利用的關鍵前提是主機能篡改虛擬機頁表以構造單步執(zhí)行環(huán)境���,而與AMD SEV-SNP技術對應的海光CSV3技術���,從硬件層面就阻斷了主機對安全虛擬機頁表的非法訪問,根本上杜絕了此類攻擊路徑��。
如今���,海光C86已然完成了從“技術授權跟隨”到“架構分叉獨立”的關鍵演變���。這一事件清晰地劃出了一道“分水嶺”:全球X86生態(tài)正在形成兩條并行且差異化的技術路線——一條是延續(xù)傳統(tǒng)設計、面臨周期性安全挑戰(zhàn)的國際路線��;另一條則是以海光C86為代表���,以前沿安全理念驅動���、實現內生免疫與自主可控的中國路線���。這條獨立的技術道路,正是海光應對當前復雜國際科技博弈���、支撐國內關鍵信息系統(tǒng)安全的底氣所在��。
解剖“免疫”基因:
內置三道“金剛鎖”的國產自主安全體系
面對層出不窮的硬件級安全威脅���,傳統(tǒng)“軟件打補丁”的模式已力不從心。海光的答案是將安全能力深度“硬化”到硅片之中���,構建起從芯片底層出發(fā)的主動防御體系���。這集中體現在其廣受業(yè)內認可的三道硬件級“金剛鎖”上:芯片原生密碼技術、可信計算與機密計算���。共同構成了海光CPU區(qū)別于普通商用芯片的核心安全護城河���。
第一道鎖是芯片原生密碼技術,讓每顆CPU成為高性能密碼機���。傳統(tǒng)的數據加密往往依賴外置的密碼卡或軟件算法��,前者增加成本與復雜度���,后者存在性能瓶頸和安全風險。海光創(chuàng)新性地在CPU內部集成了獨立的安全處理器(PSP)和密碼協處理器(CCP)��,并擴充了支持國密算法(SM2/SM3/SM4)的專用指令集��。這意味著��,每一臺搭載海光CPU的服務器��,其本身就成為一個無需外接密碼卡的高性能“虛擬密碼機”���。
第二道鎖是可信計算3.0“中國方案”���,能實現從啟動到運行的全周期主動免疫。與依賴主板外置可信芯片的傳統(tǒng)方案不同��,海光將國際主流的TPM2.0���、國內的TCM2.0以及代表更先進主動防御理念的TPCM(可信平臺控制模塊)等三大可信標準��,全部以固件形式集成于CPU內部的安全處理器中��。一旦發(fā)現篡改即可實時告警甚至干預���,實現了對未知威脅的主動防御���。目前,在通過國家認證的可信計算產品名單中��,基于海光CPU的方案占比已過半��,成為金融��、能源等關鍵行業(yè)構建高等級安全系統(tǒng)的首選���。
第三道鎖是機密計算(CSV)��,也是為云上數據流動打造的“絕對安全屋”��。通過在CPU內部創(chuàng)建基于硬件的可信執(zhí)行環(huán)境(TEE)���,海光自主研發(fā)的CSV3機密計算技術將虛擬機的內存數據進行實時加密,且密鑰由CPU自身生成與管理���,永不外泄��。目前���,海光已與阿里云��、騰訊云、聯通云等主流云服務商合作推出基于CSV的機密云服務��。在隱私計算領域���,海光還與超90%的頭部廠商合作��,聯合推出了十余款隱私計算一體機��,應用于政務數據開放��、聯合醫(yī)療科研�����、金融風控等場景�,確保數據“可用不可見”,在釋放數據價值的同時牢牢守住安全底線����。
這三道深度融合于硅片的“金剛鎖”���,使得安全不再是海光CPU的“附加功能”,而是其與生俱來的“核心基因”�����。它們共同回應了一個根本性問題:在算力基礎層面����,如何實現真正的、不依賴妥協的自主可控����。
超越硬件:從芯片安全
到國家數字基座的“戰(zhàn)略安全”
海光在芯片安全技術上的縱深布局,其意義早已超越單一的硬件產品競爭����。它所指向的,是一個更高維度的命題——國家數字基礎設施的戰(zhàn)略安全�。
在中美科技競爭長期化的背景下,高端計算芯片的供應鏈穩(wěn)定已成為產業(yè)發(fā)展的“生命線”����。海光C86實現從架構迭代到生產制造的全流程國內主導��,意味著在最為核心的算力層��,中國擁有了一條不受制于人��、可自主供給和升級的備份路線�。當國際技術軌道出現類似StackWarp的“急剎車”甚至“斷供”風險時��,海光代表的自主體系能夠確保關鍵信息系統(tǒng)的連續(xù)�����、穩(wěn)定運行�。
更為關鍵的是����,在數字經濟時代,數據是核心生產要素�,其處理全過程的安全直接關系到國家安全、商業(yè)機密與個人隱私��。以海光為代表的國產廠商們從硬件根源上為數據的產生����、傳輸、存儲、計算乃至銷毀的全生命周期提供了可信環(huán)境��。特別是在金融���、能源�、通信等關鍵信息基礎設施領域���,搭載具備內生安全芯片的設備���,是落實網絡安全等級保護制度、抵御高級別持續(xù)性威脅(APT)的物理基礎��。
另外�,一顆自主可控且安全可靠的芯片,能夠向下帶動國內半導體設備�、材料、制造工藝的進步�,向上支撐操作系統(tǒng)、數據庫����、中間件乃至各類應用軟件的創(chuàng)新與遷移,形成良性的國內信息技術應用創(chuàng)新(信創(chuàng))生態(tài)閉環(huán)����。以海光C86為例�����,其對主流軟件生態(tài)的兼容性���,極大地降低了整個產業(yè)鏈的遷移成本,加速了從“可用”到“好用”的進程��,從而在整體上提升了我國數字產業(yè)的韌性與競爭力�。
在全球數字主權競爭日益激烈的今天,算力就是國力���,而安全的算力則是基石����。它關乎在波濤洶涌的數字浪潮中�����,我們能否擁有自己設計�、自己建造且自己掌舵的“萬噸巨輪”�����,以確保數據資產與數字未來,從而航行在一條自主��、安全���、可控的廣闊航道上����。
文/胡曉
(本文不構成任何投資建議��,信息披露內容以公司公告為準�。投資者據此操作,風險自擔��。)
