amd

欧洲正投入超过 20 亿欧元用于主权云计划，旨在降低受美国法律管辖的风险，欧盟的 IPCEI-CIS 计划为基础设施建设提供资金，法国根据 SecNumCloud 框架对运营商进行资质认证，该框架包含近 1200 项技术要求，承诺“免受域外法律管辖”。
但大多数数据中心和合格的云运营商仍然严重依赖英特尔或 AMD 的处理器，而这些处理器内部还隐藏着一台底层计算机：运行在 Ring -3 层、位于操作系统之下、不受主机安全软件控制的管理引擎，即使机器看似关机，它们依然存在。
根据美国 2024 年《情报改革与美国安全法案》（RISAA），硬件制造商被视为“电子通信服务提供商”，受制于政府的秘密指令。
欧洲的认证框架是对云服务进行认证，而不是对芯片进行评估。
操作系统无法识别的计算机
计算机底层的那个计算机有一个名字，在英特尔处理器上，它叫做管理引擎（ME），更准确地说是融合安全与管理引擎（CSME），在 AMD 处理器上，它叫做平台安全处理器（PSP），它们都运行在安全研究人员所称的 Ring -3 层，位于操作系统和虚拟机管理程序之下，其特权级别主机无法查看或记录。
“它就像你电脑里的一台电脑。”计算机体系结构教授、英国耗资 2 亿英镑的“数字安全设计”项目前主任 John Goodacre 解释道，他非常清楚这在实践中意味着什么，这个管理单元（ME）拥有自己的内存、时钟和网络协议栈，而且由于它可以共享主机的 MAC 地址和 IP 地址，因此它产生的任何流量都与主机发送到防火墙的流量无法区分。
这种架构并非纸上谈兵，CSME 嵌入在平台控制器中心（PCH）中，是一个独立于主机运行的微控制器，拥有主机操作系统无法监控的直接内存访问、设备访问和网络连接，AMD 的 PSP 也采用相同的工作原理。
英特尔主动管理技术（AMT）是 ME 启用的远程管理功能，它会在已配置的设备上暴露至少 TCP 端口 16992、16993、16994 和 16995，Goodacre 指出，未配置的硬件也存在攻击面，这些端口为远程管理设备群的管理员提供键盘-视频-鼠标重定向、存储重定向、串行 LAN 通信和电源控制等功能，该功能具有合法用途，但它也提供了一个低于欧洲主权框架所能保障的权限级别的通道。
微软在 2017 年记录了 PLATINUM 国家级黑客组织如何利用英特尔的串行 LAN（SOL）技术作为隐蔽的数据泄露通道，SOL 流量会经过管理引擎和网卡边带路径，并在主机 TCP/IP 协议栈运行之前到达管理引擎，主机防火墙和终端检测系统均未检测到任何异常流量，而受感染主机上运行的任何安全工具也同样束手无策，PLATINUM 并未利用任何漏洞，而是利用了其一项功能，该功能仅需启用 AMT 并获取凭据即可，在已记录的案例中，这些凭据是出厂默认的 admin 用户名，且未设置密码。
Goodacre 在一份长达 37 页的风险评估报告中详细列举了这种情况以及相关场景，该报告是为评估连接到企业网络的 Intel vPro 硬件的首席信息安全官（CISO）准备的，其结论直截了当：将未经改装的 ME 设备连接到企业资源“会使组织面临一种攻击风险，这种风险会彻底破坏主机安全体系”。
即使机器看似关机，管理引擎（ME）也不会停止运行，用户会发现这样的现象：一台关机存放数周的笔记本电脑，下次启动时电池电量却已耗尽，在现代轻薄平台上，微软文档中所谓的“现代待机”并非指“所有子系统都断电”，管理引擎运行所依赖的片上系统组件仍处于低功耗状态，持续消耗约 100-200 毫瓦的功率，足以在数周内耗尽一块 55 瓦时的电池。
Goodacre 的风险评估报告中记录了这一影响：“无线电模块是否处于无线局域网唤醒监听状态取决于固件策略，如果设备的固件在供应链运输过程中被篡改，则无法从可见的电源状态推断出答案。”一台看似关机的笔记本电脑放在包里，也可能连接到用户毫不知情的恶意网络。
法国工程学院 EURECOM 的安全研究员 Aurélien Francillon 教授多年来一直致力于研究这类问题，他与同事合作，在硬盘驱动器固件中构建了一个功能齐全的后门 [PDF]，以此验证存储设备如何通过隐蔽通道悄无声息地窃取数据，在一次学术会议上展示该后门三个月后，斯诺登泄露了美国国家安全局的 ANT 目录，其中记录了美国国家安全局已部署的类似技术。
“美国国家安全局早就这么做了。” Francillon 直截了当地说：“真是令人震惊。”正是这种背景影响了他对 ME 的评估，“是的，它很可能被用作后门，就像许多其他东西一样，包括 BMC（基板管理控制器）和许多其他固件。”他说，他认为，问题不在于后门是否存在，而在于操作控制措施是否使其在实践中无法被访问。
AMD 也面临着同样的架构问题，2026 年 4 月 14 日，研究人员演示了针对 AMD SEV-SNP 机密计算技术的 Fabricked 攻击，仅使用软件漏洞就实现了 100% 的成功率，平台安全处理器也被证明容易受到同类攻击。
在服务器硬件上，情况也类似，Intel ME 在服务器上以不同的名称“服务器平台服务”（Server Platform Services，简称 SPS）运行，而数据中心硬件中的远程管理控制器标准 BMC 则依赖于它，“服务器版本的情况大同小异。” Francillon 如此评价道。
对于数据中心运营商而言，他进一步强调了这一点：“如果我关注云系统和服务器，我会更关注 BMC。”他指出，已有研究表明，攻击者可以利用 BMC 的漏洞进行远程攻击，从而重新安装系统或完全控制服务器，BMC 与 ME 并非独立存在的问题：在服务器硬件上，它是 SPS 的主要网络入口点，因此也是最容易受到攻击且影响最大的接口。
英特尔和 AMD 的处理器都包含运行在操作系统底层的管理引擎，这些芯片由美国公司设计，并受美国法律程序的约束。
《云法案》未使用的后门
这一法律程序威力强大，却被大多数欧洲政策制定者低估了，2018 年通过的《云法案》（CLOUD Act）赋予美国当局域外管辖权，可以获取美国公司持有的数据，《外国情报监视法》（FISA）第 702 条允许情报机构强制美国公民和公司提供通信记录，这两项法案在欧洲主权讨论中都广为人知，它们通过直接途径运作：向控制数据的公司送达法律命令，鲜为人知的是《2024 年监管信息系统法案》（RISAA 2024），这项法案开辟了一条完全不同的途径。
RISAA 修改了 FISA 中“电子通信服务提供商”的定义，其范围不仅限于云运营商和平台公司，也超出了欧洲决策者赖以构建法律辩护的双边协议，硬件制造商现在也纳入了监管范围，英特尔和 AMD 可能被强制要求配合美国情报部门获取信息，而这一强制令可以通过附带禁言条款的秘密命令执行。
实现这种访问权限的机制是管理引擎：一个持久的、特权的、联网的运行时环境，其运行在主机操作系统无法查看或阻止的任何层级之下，获得 SecNumCloud 认证的运营商可以合法地免受美国数据请求的约束，但其服务器内部的处理器却无法做到这一点，“实际上，你拥有一种策略机制，通过这种机制，任何地方的任何此类机器都可以提供其任何信息。” Goodacre 说道。
RISAA 的两年期限于 2026 年 4 月 20 日到期，但国会在讨论改革方案期间将其延长了 45 天，无论该法案是续期、修订还是失效，其针对的体系都不会改变。
SecNumCloud 的盲点
法国的 SecNumCloud 是欧洲迄今为止最严谨的云认证尝试，旨在使其不受美国法律的约束，它并非凭空而来，法国国家网络安全局（ANSSI）成立于 2009 年，是法国在数字主权领域加强制度建设的更广泛努力的一部分，而当时“数字主权”一词尚未流行。
2013 年，爱德华·斯诺登揭露了美国国家安全局（NSA）的大规模监控后，法国的回应是技术层面的而非空谈：ANSSI 于 2014 年 7 月发布了首个 SecNumCloud 框架，十年后，该框架已发展到包含近 1200 项技术要求。
当时，SecNumCloud 是一项网络安全认证，而非主权工具：它规定了架构、加密标准、访问控制和事件响应的要求，但并未提及谁控制底层基础设施，也未规定适用哪国法律，2018 年通过的《云法案》改变了这一切，该法案赋予美国当局对美国公司持有的数据的域外管辖权，法国的网络安全框架突然间被赋予了其原本不曾涉及的地缘政治维度。
2022 年推出的 3.2 版本新增了第 19 章：一系列针对域外法律的明确要求，规定只有欧盟运营商才能运行该服务，任何非欧盟实体都不得访问客户数据，并且服务提供商可以自主运营，不受外部干预，该法案承诺“免受域外法律约束”。
2025 年 12 月，由法国国防科技集团泰雷兹和谷歌云合资成立的 S3NS 公司，在法国控制下运营谷歌云平台技术，成为首个获得 SecNumCloud 认证的“混合”云平台，该认证引发了激烈的争论：这究竟是真正的自主权，还是披着欧洲旗帜的美国技术？
但这场辩论忽略了一个更根本的问题：SecNumCloud 的认证是否能覆盖到它运行的芯片层面？Francillon 对这个问题的正反两方面都有所了解，他是法国技术科学院云安全工作组的成员，该工作组负责为 SecNumCloud 等框架的技术基础提供建议，此外，他还花费数年时间研究学术文献中的固件后门，并在实践中验证了它们的有效性。
他了解硬件的功能，也知道认证的要求，他的出发点是 SecNumCloud 能提供真正有价值的保护，而芯片间的差异并不会否定这一点，当被问及 SecNumCloud 是否明确针对英特尔管理引擎或 AMD 平台安全处理器漏洞时，他的回答很明确：“没有直接针对固件后门防护的要求。”
该框架并非旨在成为硬件层安全的技术规范，“这份文档力求通用，避免深入技术细节。” Francillon 说道：“它主要关注组织安全。” SecNumCloud 的要求是，服务提供商必须构建完善的威胁模型，考虑缓解机制，并监控可能被利用的外部技术支持管理网关，硬件层并非监管疏忽所致，而是有意为之。
Francillon 的评估并非边缘观点，负责设计和管理 SecNumCloud 的 ANSSI（法国国家信息安全局）局长 Vincent Strubel 也同样明确地阐述了该框架的涵盖范围，在 2026 年 1 月发表于 LinkedIn 的一篇关于 SecNumCloud 适用范围的文章中，他写道，所有云服务，无论是否采用混合云模式，都依赖于电子元件，而这些元件的设计和更新并非完全由欧洲掌控，他认为，如果欧洲与美国或中国的技术隔绝，其结果将是全球性的安全问题，不仅在混合云领域，而且在所有领域都将受到影响。
Strubel 谨慎地将 SecNumCloud 定义为“网络安全工具，而非产业政策工具”，它旨在防范域外执法和恶意终止开关等情况，它的设计初衷并非消除硬件层面的技术依赖，而且没有任何行为体、国家或企业能够完全控制整个云技术栈。
在主权讨论中，OpenTitan 是一项经常被提及的技术，它是谷歌的开源安全元件，部署在其服务器硬件上，并应用于 S3NS 基础设施，Francillon 对 OpenTitan 的定义非常明确，更重要的是，他明确指出了它不是什么。“OpenTitan 是一种安全元件，一个小型芯片，可以安装在服务器侧面，用于保护敏感密钥、提供签名和进行认证。”他解释道：“它有点像 TPM（可信平台模块）。”但它并不能替代主处理器，“Linux 和所有应用程序都无法在其上运行。”
OpenTitan 作为外部信任根与 x86 基础设施并存，独立于 ME（主执行单元），这一点至关重要，因为默认的嵌入式 TPM 位于 ME 内部，因此容易受到 ME 的攻击，而 OpenTitan 则位于 ME 之外，两者解决的是完全不同的问题，而像一些主权倡导者那样将它们混淆，会掩盖实际存在的安全风险。
ANSSI 于 2025 年 10 月发布的关于机密计算的技术立场文件 [PDF] 指出，Intel SGX、TDX 和 AMD SEV-SNP “本身不足以保护整个系统，也无法满足 SecNumCloud 3.2 的主权要求”，物理攻击者“明确超出”供应商安全目标的范围，供应链攻击者也“明确超出”范围。
本文讨论的 ME 攻击面不属于上述任何一类：它是一种远程网络威胁，而非物理威胁，该文件对担心恶意云提供商的用户给出了明确的结论：“切换到他们信任的云提供商，或者使用配备物理安全防护措施的自有硬件。”
这座城堡存在结构缺陷
Francillon 并不否认 SecNumCloud 未对管理引擎（ME）进行评估，他认为这在实践中无关紧要，“我的意思是，如果存在一个可以进入某个房间的后门，如果这个房间位于城堡中，则无法直接使用，你必须先穿过城堡的城墙。”网络隔离、监控和威胁建模就是这些城墙，SecNumCloud 的运行要求规定，管理网关必须隔离，外部技术支持必须受到监控，网络分段必须防止横向移动，管理引擎的后门可能存在，但该框架使其无法访问，除非 Francillon 称之为“非常高端的攻击”。
这个限定词很重要，Francillon 并非声称能做到绝对安全，他声称，适当的操作控制可以将威胁降低到只有拥有雄厚资源的国家行为体才能利用的程度，他认为，对于大多数威胁模型而言，这已经足够了，“因为存在某种我们无法控制的硬件中的后门，就断言 SecNumCloud 毫无用处，这是错误的。”他说，他认为，只要硬件经过仔细评估且固件配置安全，SecNumCloud 就能比没有此类控制的部署方案提高安全性。
Goodacre 的风险评估报告详细记录了城堡墙体的结构性缺陷，企业边界防火墙可以监控设备的流量，但由于 ME 与主机共享 MAC 和 IP 地址，防火墙无法区分 ME 发起的流量和合法的主机流量，Goodacre 写道：“如果没有带外信息，边界防火墙无法将流量归因于主机还是 CSME。”从 ME 到攻击服务器的 443 端口的 TLS 加密隧道，对于边界防火墙来说，看起来就像笔记本电脑建立的任何其他 HTTPS 连接一样，网络过滤可以缩小攻击面，但无法消除风险。
Goodacre 认为：“无论哪种情况，三级供应链的残余影响都依然存在，这是购买任何搭载 Ring -3 管理引擎的芯片的不可避免的成本。”他将三级网络服务定义为国家级网络服务，其运作方式包括：在运输过程中入侵固件、通过国内机构错误颁发 CA 证书，以及在海关或快递中心篡改硬件，美国国家安全局的定制访问行动部门将供应链拦截视为例行业务，其明确的原则是优先植入 BIOS 和固件，而非磁盘级恶意软件。
他的风险评估中关于设备群脆弱性的数据是确凿的，Eclypsium 提供的行业遥测数据分析了生产企业环境，发现约 72% 的受监控设备在公开披露几年后仍然容易受到 INTEL-SA-00391 的攻击，61% 的设备仍然容易受到 INTEL-SA-00295 的攻击，同一份报告还记录了 Conti 勒索软件组织开发了 Intel ME 漏洞利用代码的概念验证版本，其目的是安装高度持久的固件驻留植入程序。
Goodacre 总结道：“将未经改装的 ME vPro 笔记本电脑连接到企业资源，会使组织面临一种攻击风险，这种风险会彻底破坏主机的安全防护体系，暴露的控制措施包括 BitLocker 全盘加密、FIDO2 保护的登录、端点检测与响应、主机防火墙和企业 VPN。”
Francillon 和 Goodacre 之间的分歧不在于漏洞是否存在，双方都确认漏洞存在，双方都确认 AMD 也面临同样的问题，双方都确认仅靠软件无法修复该漏洞，分歧在于，运营控制措施（Francillon 所说的“城堡墙”）究竟能否在实践中使架构后门变得无关紧要，还是仅仅降低了其被利用的可能性，却仍然为国家行为体留下了可乘之机。
对于处理敏感政府或商业数据的 SecNumCloud 运营商而言，这种区别并非纸上谈兵，值得注意的是，SecNumCloud 的设计安全级别高于标准云认证，但并非用于处理机密或受限的政府数据，能够突破 Francillon 安全防线的威胁，恰恰是 SecNumCloud 旨在抵御的威胁。
无人提及的鸿沟
Goodacre 告诉《The Register》，他在 2026 年 4 月举行的英国网络安全大会上测试了与会者对管理引擎的了解程度，他表示，“几乎没有人”知道它的存在，在政策讨论、采购决策或关于数字主权含义的公共辩论中，主权话语与硅谷现实之间的差距并未得到充分体现。
现有的争论，例如混合云与非混合云、谷歌 / Thales 与纯粹的欧洲云服务商之争，主要集中在运营控制和法律结构上，而忽略了共享的底层架构，Strubel 在领英上发表的文章反驳了这种观点：“认为这个问题仅限于混合云服务商纯属幻想，经不起事实的检验。”所有云服务商，无论是否采用混合云模式，都依赖于他们无法完全控制的组件，关键不在于混合云与独立云的区别，而在于你要防范的是什么，以及你实施的控制措施是否能够应对这种威胁。
目前尚无立竿见影的解决方案，欧洲主权倡导者所推崇的开源处理器架构 RISC-V 被视为长期替代方案，但它距离在数据中心工作负载中达到具有竞争力的性能仍需数年时间，“这需要数十年时间。” Francillon 直言不讳地说道，Arm 就是一个值得警惕的先例：从最初的服务器尝试到 Arm 在数据中心领域取得任何实质性进展，用了近 20 年的时间。
在受损的硅芯片上，主权还能存在吗？
对 Goodacre 而言，问题的关键很简单：三级供应链的剩余成本是“购买带有 Ring -3 管理引擎的芯片的不可降低的成本”，Francillon 则认为，包括网络隔离、监控和威胁建模在内的运营控制措施，使得后门除了极高端的攻击外，几乎无法被攻破，Strubel 承认硬件依赖性确实存在，但他坚持认为，SecNumCloud 在其覆盖范围内提供了有效的保护：法律控制、抵御自毁开关攻击、防御网络攻击和内部威胁。
分歧不在于技术细节，而在于风险承受能力和威胁模型校准，对于选择 SecNumCloud 认证供应商的欧洲首席信息官而言，需要向供应商提出的问题是：你们的威胁模型如何应对英特尔管理引擎和 AMD 平台安全处理器？答案将明确供应商是否将硬件层视为安全隐患之外，或者是否已实施控制措施来降低风险但无法完全消除风险。
对欧洲政策制定者而言，问题更为广泛：数字主权能否存在于非主权芯片之上？现有框架无法解答这个问题，它们认证的是运营控制、法律结构和自主执行能力，而非芯片层面的豁免权，因为硬件要么是美国的，要么是中国的，受美国或中国法律管辖，其管理引擎并非由欧洲当局指定，欧洲当局既无法强制执行，也无法自行更换。
这究竟是值得弥补的差距，还是参与全球技术供应链不可避免的代价，欧洲需要自行回答这个问题。
更多背景信息：
Gartner：主权云只有中国或美国企业才能拥有瑞士构建了一个安全的 BGP 替代方案，世界其他国家尚未注意到这一点部长对 Palantir 的 NHS 平台给予了完全认可欧洲开始认真考虑切断与美国大型科技公司之间的数字脐带经典版 Outlook 的快速步骤功能会因微软漏洞而失效
延伸阅读：
互联网计算机推出前沿云引擎独家报道：巴基斯坦迈向自主人工智能巴基斯坦数字管理局与 DFINITY 合作，共同构建主权云基础设施和人工智能软件系统
#云引擎 #AMD #AI
你关心的 IC 内容
技术进展 | 项目信息 | 全球活动
收藏关注 IC 币安频道
掌握最新资讯