南極土著:美國國會打擊轉運的《芯片安全法案》,強制企業在芯片植入位置追蹤模塊
guancha
【文/南極土著】
美國國會眾議院美中戰略競爭特別委員會於5月15日提出了《芯片安全法案》(Chip Security Act),要求商務部強制美國芯片企業在受出口管制的芯片中加入位置驗證模塊,以確保這些芯片不會被轉運。
路透社相關報道截圖
法案由委員會主席John Moolenaar、首席成員Raja Krishnamoorthi以及另外六名兩黨議員共同提出。上週,共和黨參議員、參議院情報委員會主席Tom Cotton已在參院提出了配套版本的法案。
這兩個版本內容幾乎一模一樣。核心是要求美國商務部在法案生效後180天內,強制所有受出口管制的高性能芯片及相關計算產品,在出口、再出口或境外內部轉移前,配備能夠實現位置驗證等功能的“芯片安全機制”。該機制可通過軟件、固件、硬件或物理方式實現,旨在防止這些芯片被中國等國家通過空殼公司或走私方式非法獲取,並用于軍事、監控或人工智能等敏感領域。獲得出口許可者如發現產品被轉移到未授權地點或被篡改,應立即向主管BIS的副部長報告。
法案還要求商務部在一年內完成對是否需要引入額外安全機制(如反篡改、用途驗證、走私識別)進行系統性評估,並在兩年內實施經評估認定為必要的附加機制。商務部須每年向國會提交機制有效性與更新建議報告,並被賦予核查芯片實際流向、維護記錄、要求企業配合報告異常情況的執法權限。
早在去年夏天,參議院撥款委員會就曾要求BIS評估在芯片中加入控制機制的可行性,但相關立法最終沒能通過。去年8月,一名商務部官員對“芯片內嵌控制機制”的技術可行性提出疑問,並表示即使技術上可行,也需評估是否會影響美國產芯片的市場競爭力。該官員表示:“這是一個聽起來不錯的概念,但確實需要具體分析。”
如何解決對華芯片出口管制的“轉運問題”,一直以來都是美國政府非常頭疼的事。拜登政府時期,美國商務部的策略是對全球的受控芯片採取總量控制和分配製度,也就是“AI Diffusion Rule”的三級國家劃分和GPU配額方案。美國政府的核心邏輯是,先根據轉運國家本身的實際需求,設定一個剛剛夠用的GPU數量。這樣一來,如果這些國家再偷偷將芯片轉賣給中國,就會導致自己本國芯片不夠用,迫使它們在轉運問題上自我約束。
而特朗普政府顯然不認可拜登政府的這種做法,認為它可能會阻礙美國GPU佔領全球市場,削弱美國企業的競爭力,甚至導致其他國家轉而使用中國製造的GPU。因此,特朗普政府提出了一個替代方案,採用了三條腿走路的策略:
1、對轉運國,要求其與美國簽署出口管制協議,配合美國立法,同步實施嚴格的出口限制,並嚴厲打擊芯片轉運;
2、對企業,發佈《防止先進計算集成電路轉用的行業指南》,提出更多“紅旗”警示,指導企業加強內部審核和盡職調查,發現和阻止轉運行為;
3、推動國會立法,賦予商務部權力去要求芯片製造企業在芯片中植入位置追蹤模塊,從而更精準地監控和打擊芯片非法轉運的行為。
眾議院版本《芯片安全法案》的主要推手之一,是來自伊利諾伊州的眾議員Bill Foster。他和一般律師或文科背景的議員截然不同,是一名罕見的“科學家議員”。他畢業於哈佛大學,擁有物理學博士學位,過去曾長期在費米國家加速器實驗室(Fermilab)擔任高級物理學家,從事質子衰變等前沿物理實驗。此外,他還曾經有過芯片設計方面的實際工作經驗,對芯片製造技術非常熟悉。正是他率先在國會提出要給受控芯片裝上“數字繮繩”,即位置追蹤功能和遠程關閉(killing switch)功能,一旦發現芯片被非法轉運,就能遠程立即禁用。他一直強調,這種方案在技術上已經相當成熟,實現起來並不困難。
在參議院的《芯片安全法案》版本提出後,我曾請教過幾個半導體領域的專家,得到的一致答覆是:這個Bill Foster沒有吹牛,實現芯片的位置追蹤,在技術上不難實現,難得是怎麼能讓芯片設計商去這麼做,有什麼法律上的依據。
2024年1月,新美國安全中心研究員Tim Fist曾經寫過一個報告,詳細闡述過這種芯片位置追蹤的實現機制,即所謂“片上治理機制”。
Tim Fist在報告中建議為AI芯片設計一套靈活的治理機制,其中最核心的是在每個高性能AI芯片上安裝一個“安全模塊”,用來確保芯片使用的是經過授權且最新版本的固件和軟件。這種模塊能遠程驗證芯片的狀態,強制芯片定期更新以修補安全漏洞,還可以遠程控制芯片是否可用,從而有效執行出口管制。此外,芯片上還具備可信執行環境,可以安全地證明芯片運行的情況。這套機制的優點是靈活性強,可以根據不同的政策需求自動調整治理方式。目前,遠程驗證等技術在某些CPU和GPU上已經實現,未來也能輕鬆擴展到AI芯片中。理想情況下,這套機制還能結合供應鏈追蹤以及“瞭解你的客户”(KYC)政策,更好地控制芯片的銷售和使用。
具體來説,這套治理機制允許監管機構對芯片實施訪問限制、性能調整,甚至防止芯片用於構建大型AI集羣等措施。芯片的用户需要通過安全驗證,才能證明自己遵守了相關的使用規定。這種做法特別適合出口管制以及對高性能AI芯片的監管場景。政策手段包括:
操作許可證防止芯片被非法使用:每個芯片需要定期更新一個“許可證”,就像軟件的訂閲模式一樣。許可證決定芯片是否能正常運行,也可以限制特定功能。最重要的是,這個許可證是有時間限制的,如果芯片在規定時間內沒有收到新的許可證更新,它就會自動停止工作。這樣一來,就不用依靠遠程發出關閉芯片的指令,避免了被惡意用户或不配合的運營方干擾的風險。
位置驗證:原理是利用設備響應速度來推測芯片的位置。這種方法通過芯片內置的安全機制和多個可信的“地標服務器”,測量設備回覆查詢的時間。由於信息傳輸速度無法超過光速,加上通信設備本身存在的最低延遲,芯片與服務器間的響應時間就能幫助確定設備所在的大致範圍。
使用驗證:芯片內置的機制允許用户向外界提供可驗證的芯片使用情況。這種功能不僅能降低各方對潛在風險的疑慮,還可以擴展到整個計算集羣中,讓用户證明與AI能力和風險相關的重要信息,比如用於AI訓練的計算資源規模或訓練過程的具體細節。
使用限制:芯片可以設置特定的功能限制,防止其被用於敏感或未經許可的用途,例如禁止用於搭建大型計算集羣或超級計算機、限制訪問敏感數據,或確保只有經過批准的軟件和AI模型才能運行。舉個例子,芯片的許可證機制能根據客户是否付費來解鎖或限制芯片功能。這一功能在出口管制中尤為有效,BIS可以通過許可證方式確保出口的芯片不會被違規用於未授權的用途。
這一“片上治理機制”的技術基礎如下:
安全啓動:安全啓動機制能確保芯片只運行經制造商授權的固件和軟件。芯片會先檢查固件的簽名,以驗證其真實性。具體做法是製造商生成一對密鑰,將公鑰存入芯片的只讀存儲器(ROM),然後使用私鑰為固件簽名。芯片啓動時用公鑰驗證固件簽名,如果不符合,則芯片拒絕啓動。與遠程認證不同,這個過程不需要額外的保密信息。
遠程認證:在安全啓動的基礎上更進一步,芯片可主動向遠程服務器證明其運行狀態。具體而言,芯片啓動後會生成固件的簽名發送給驗證方,由驗證方確認芯片運行的是經過認證的固件。這種技術配合“可信執行環境”(TEE)可實現遠程監管,尤其適合出口管制等場景。
安全模塊:芯片上專門的安全模塊負責執行安全啓動、遠程更新固件、加密處理和設備身份認證等任務。它還能強制芯片許可證的使用規則——例如,如果用户未及時更新許可證,芯片就會自動限制或停止運行。模塊內還設置了不可修改的芯片ID,以確保許可證規則有效執行。
可信執行環境(TEE):芯片處理器內的一個安全隔離區域,能保護敏感數據和代碼不受惡意軟件或未經授權訪問的侵害。與安全模塊不同的是,TEE位於芯片主處理器中,用來進一步保障數據安全。TEE還能遠程證明自己的狀態,幫助多方安全協作,並實現對芯片使用情況的遠程管理和監控。
最後,Tim Fist在報告中建議白宮發佈一項行政令,成立一個由美國國家標準與技術研究院(NIST)牽頭的跨部門小組,專門負責在所有受出口管制的數據中心AI芯片中加入芯片治理機制。在設計和實施這些治理機制時,要確保最大程度地降低被黑客攻擊或用於非法監控的風險。具體措施包括嚴格限制芯片安全模塊的權限,只允許訪問芯片運行所必須的信息,以減少潛在風險,保護用户隱私,防止不必要的數據收集和分享。
此外,他還強調,這些治理機制應該特別關注出口管制等高風險場景,建立多層防禦體系,從軟件到物理層面全面抵禦攻擊。根據實際環境的安全風險等級,調整防護措施,從最基本的安全管理,到更高級的防篡改技術。同時,在設計過程中應當充分考慮不同威脅情境,確保芯片治理機制在各種條件下都能安全可靠地運行,並最大限度地減少對用户隱私和自由的影響。
技術上可行,只是沒有現成的法律依據,所以現在國會兩院同時推進兩個法案,想要給美國商務部一個法律上的授權,其勢頭似乎很猛,值得密切關注。
但英偉達不會喜歡這個《芯片安全法案》。有了這個法案,芯片是否“安全”説不好,英偉達的生意和客户一定變得更不安全了。正常的情況下,一旦芯片賣出,英偉達對芯片的後續用途不應該仍然持有掌控的能力。沒有哪個客户願意自己花大價錢買的芯片,還內安置了一個監控“後門”,到了哪裏被英偉達美國政府掌握得一清二楚。
在商業市場中加入這種位置驗證機制,會給人留下一個印象:美國不信任全球市場,也不信任自己的盟友,更不信任自身在技術上的優勢。對中國國產芯片來説,這可能成為一個機會,因為他們可以不用內置這種位置驗證機制,給客户充分的信任、隱私和安全。有些客户可能寧願要性能差一點的芯片,也不想被時時刻刻監控。如果雙方性能差不多了,那麼更多客户一定會選擇沒有位置驗證機制的中國國產芯片。
所以,儘管《芯片安全法案》這個主意技術上很聰明,效果也會有,但副作用會不會太大了?
(文章轉載自微信公眾號“東不壓橋研究院”。)