國安：境外設計生產芯片可能預埋木馬

日前，國家安全部披露部分境外生產的芯片、智能設備及軟件可能存在預埋“技術后門”的重大安全隱患。這些后門可通過特定信號遠程激活，實現攝像頭/麥克風竊聽、數據回傳等功能，直接威脅公民隱私、企業機密乃至國家安全。

技術后門的三重滲透路徑

根據國家安全部披露，境外技術后門主要通過三種方式侵入設備：

惡意預埋（設備“內鬼”）部分境外廠商在芯片或設備設計制造階段即植入后門，可通過遠程指令直接操控設備。例如，某品牌智能手機曾被檢測出芯片級后門，可在用戶不知情時開啟攝像頭并上傳影像數據。

后期破解（服務“漏洞”）個別廠商為方便維修設置遠程訪問接口，但因管理不善或被第三方破解，導致后門淪為竊密工具。2024年某跨國企業服務器遭入侵事件中，黑客即利用設備維護端口長期竊取用戶數據。

供應鏈投毒（代碼“污染”）不法分子通過污染開源代碼庫、篡改軟件更新包或在供應鏈環節植入惡意代碼，在設備使用過程中暗中激活后門。2025年初，某國產智能電視品牌因使用被篡改的第三方組件，導致數百萬臺設備面臨數據泄露風險。

國產化替代可以降低風險

從國安部披露的三張入侵方式看，一種方式是利用用戶管理不善，訪問接口被破解，另外兩種方式是植入硬件或軟件后門。對于植入硬件或軟件后門的最佳應對措施，就是不用外商的CPU，不用外商軟件和未經安全測試認證過的開源軟件。

正是因此，國家安全部強調，政府、軍工、金融、通信等涉密崗位需優先采用自主可控的國產芯片和操作系統。某央企技術負責人透露，其單位已全面替換進口路由器，改用國產信創設備，并部署AI驅動的異常流量監測系統，成功攔截多起境外IP的非法訪問嘗試。

為了保障信息安全，所使用的自主可控的國產芯片和操作系統必須是真自主，而不能是打著自主旗號的技術引進。

具體來說，當下信創行業中的部分國產ARM CPU，其CPU核、GPU核就是從ARM購買的，源碼原封不動從ARM買過來，就CPU核、GPU核部分而言，沒有一行代碼是自己寫的，然后把買來了IP核“組裝”成SoC。

比如一款國產ARM CPU公司購買了ARMA55和A77，把多個A55和A77集成到一款ARM CPU上，那么，A77上的漏洞，這款國產ARM芯片必然存在，因為用的就是A77的源碼。

就標榜自研，這種ARM芯片其實就是一款商業芯片，若標榜自主、安全就是自欺欺人，掩耳盜鈴。

類似的，當下的國產桌面操作系統，其實都是基于開源軟件的二次開發，雖然Linux、FreeBSD早已開源，但哪家操作系統公司敢立軍令狀聲明已經吃透所有技術細節，并保證基于開源軟件二次開發的操作系統不存在任何漏洞？

從降低安全風險的角度看，使用自主指令集、自主CPU核、內存控制器、PHY等外網IP全部自研的CPU是最安全的。每一行代碼都自己寫的操作系統，相對于直接購買外商軟件，或直接使用未經安全驗證的開源軟件要更安全。

純自主CPU和OS同樣面臨安全考驗

鐵流認為，技術引進肯定不安全，但自主研發也不一定就百分之百安全。因為即便是純自主技術，也要面臨國家級攻擊者的攻擊。

誠然，龍芯這樣從指令集到核心IP全部自研的CPU不存在預埋后門的問題，但海外的國家級攻擊者會查找硬件漏洞。硬件能否安全就是矛與盾的攻防戰，最終還是看龍芯團隊的能力水平，如果能力強，能夠快速迭代技術，升級的速度比西方黑客找漏洞的速度快，或是在西方黑客發現漏洞之前就補全存在的漏洞，或者發現問題后能夠第一時間亡羊補牢，這就能夠保障硬件安全。反之，即便是純自主設計的CPU，同樣無法保障硬件安全。

操作系統也是如此，特別是國產桌面操作系統都是基于開源軟件做二次開發，這就對本土技術團體的漏洞查找能力和修補能力提出了更高的要求。

總體來說，自主研發的安全性是高于技術引進的。比如當年英特爾、AMD被發現幽靈和熔斷兩個漏洞時，全球用戶只能等著英特爾、AMD來打補丁，國內企業沒有能力去給英特爾、AMD打補丁。

類似的，當ARM發現漏洞時，國內企業只能等ARM來打補丁，自己只能干瞪眼。因為購買ARM技術授權就意味著很多工作是由ARM完成，國內ARM CPU公司通過買技術授權走捷徑，在很多工作上偷懶了，即便買到了軟核授權，也不少所有代碼都可讀可寫，ARM對一些模塊是有加密的，何況沒有開發文檔和注釋，只有源碼也未必能看懂。由于平時走了捷徑，自己沒做過，也就不會做，因而只能等ARM來打補丁。

相比之下，自主CPU因為純自主，所有工作都是自己做，平時沒少鍛煉，自己都會做，源代碼都是自己寫的，干凈又透明，注釋和開發文檔齊全，因而發現問題的時候自己能修補。

結語

實踐上看，自主研發不一定安全，技術引進一定不安全。

鐵流認為，涉密崗位就應該買龍芯和SW，普通辦公電腦可以從海光和龍芯里選。

國產ARM芯片是非常雞肋的，論性能、生態、性價比都不如海光，論自主性和安全又不如龍芯和SW，在裸CPU性能和性價比上被龍芯壓著打。

在桌面辦公平臺ARM和龍芯的生態是難兄難弟，在一些特定行業，ARM的生態還不如龍芯。

當下，金融、通信、黨政、交通、醫療等行業大量采購ARM芯片，其中很多ARM芯片集成的CPU核、GPU核就是ARM公版架構，一旦面臨緊急狀態，這些ARM公版架構就有可能變成特洛伊木馬，隱患不容小覷。