关注我们设为星标

不久前，美国政府为了防止英伟达最先进的GPU出口到中国，曾要求英伟达在芯片上添加后门，以便能获取到芯片的位置。

那么芯片是如何能够监测自己的位置的？我们看一下来自semiengineering的一篇技术文章，详细介绍美欧芯片公司目前所采用的获取位置的多种方法。

原文翻译如下：

在出口管制收紧、人工智能芯片走私与伪造问题引发的担忧持续升温的背景下，位置验证技术正成为一种无需投入过多精力即可强化供应链监管的有效手段，其应用关注度不断提升。

过去，这类追踪工作需安排一名或多名员工在芯片制造工厂（fab）全程监督生产流程，跟踪芯片直至最终目的地，并对每个密封包装箱进行登记。这种方法不仅成本高昂，还存在被滥用的风险。从 GDSII 代码交付至工厂，到芯片最终发运给客户，供应链的每个环节都需对数百万颗独立芯片进行追踪，这本身就极具难度；而当涉及来自多个来源的多颗芯片（multi-die）时，这种人工追踪方式更是完全无法应对。

更关键的是，既然已有更高效的技术可用于供应链防护，为何还要依赖人工？这个问题的答案复杂且可能涉及政治因素，但相关技术确实在不断发展和完善。

芯片位置追踪的主流技术路径

目前，已有多种技术可实现芯片从制造到交付全程的实时位置追踪，主要包括以下三类：

芯片内置全球定位系统（GPS）技术；
基于 ping 信号的技术 —— 通过向芯片发送信号并接收返回信号，实现与追踪平台的联动；
地理围栏（Geofencing）技术 —— 通过设定边界范围，限制芯片在边界内外的功能使用。

这些技术的一大优势在于，均基于已投入实际应用的相对成熟的方法，且相比“中间人监控”（man-in-the-middle）方案，具备更高的追踪精度。位置验证不仅能确定芯片的运输目的地，还可追踪其实际使用的地点与时间。

“若掌握了验证技术，就能实现鱼与熊掌兼得。” 美国进步研究所（Institute for Progress）高级技术研究员陶・布尔加（Tao Burga）表示，他长期专注于加速人工智能安全领域的研发工作。“这是一种减少权衡取舍的方法 —— 既能向部分‘半信任’国家出口更多芯片，又能确保这些芯片不会被转移至敌对国家。”

单一技术的局限性与优化创新

不过，上述技术均非完美方案，至少单独使用时存在短板。例如，芯片或多芯片封装（multi-die package）搭载的 GPS 虽能追踪每一次移动，但可能侵犯隐私、易被欺骗（spoofing），且会消耗芯片宝贵的资源。因此，不仅敌对势力对其抵触，客户也未必完全接受。这一问题也推动了相关创新，以缓解这些负面影响。

“我们开发了一种依赖邻近系统 ping 信号的水印技术。” 美国佛罗里达大学电子与计算机工程系杰出教授、卡斯皮亚科技公司（Caspia Technologies）联合创始人马克・德黑兰尼普尔（Mark Tehranipoor）介绍道，“若将某一系统与其他系统分离，整个系统会立即察觉。这意味着，要想规避追踪，就必须将所有相关系统一同转移。这种技术并非 GPS 追踪，而是本地验证，侵入性更低。借助它，我们可以确认‘我们出售给沙特阿拉伯等国的系统是否出现在其他地区’—— 这些系统会持续相互通信，比如一方问‘喂，你还在吗？’，另一方会回应‘在’。虽然无法确定它们的具体位置，但能确认它们仍处于同一区域。”

技术选择：无“放之四海而皆准” 的方案

如今愈发明确的是，没有任何一种技术能在所有场景下都实现最优效果。不同类型的芯片或系统面临的经济风险与政治边界差异极大。因此，尽管最终目标一致，但解决方案需根据位置精度需求、确保信息准确所需的功耗、性能及成本进行灵活调整。

以 ping 信号技术为例，它已被用于数据主权相关场景。其基本原理是：从已知位置的服务器向存储数据的目标服务器发送 ping 信号，通过测量信号往返时间（round-trip time）确定目标位置。但难点在于如何验证 ping 信号的真实性。

“这一问题可通过认证网络连接（authenticated network connectivity）解决。” Rambus公司硅安全高级总监斯科特・贝斯特（Scott Best）指出，“现有方案的逻辑是：若选取全球三台谷歌服务器，测量与每台服务器的 ping 信号响应时间，即可通过三角定位确定自身位置。互联网中 ping 信号的传输速度约为光速的三分之二，这意味着在美国东西海岸之间传输仅需约 20 毫秒，测量所需时间短得惊人。但问题在于，若将目标系统放入私人数据中心，攻击者可伪造所有谷歌服务器的信号，让芯片误以为‘自己与某台谷歌服务器仅相距 5 毫秒’。实际上并非如此 —— 芯片试图通过连接 IP 地址确定位置时，这些 IP 地址已被伪造。但如果为网络流量添加足够安全的认证组件，并配备能运行完整网络协议栈的安全处理器（如我们公司的产品），就可将这些经过认证的网络测量数据纳入启动流程（boot process）。如此一来，就能可靠地确认‘设备处于可信地理位置服务器的特定距离范围内’，从而在一定程度上判断‘设备运行于北美而非东北亚’。”

对于人工智能领域使用的高价值芯片，还可额外添加安全层：通过加密方式为 ping 信号签名，并尽快回传。

“实时位置追踪的核心是确定位置的方法，目前已有多种技术可选。” 新思科技（Synopsys）首席安全技术专家兼科学家迈克・博尔扎（Mike Borza）表示，“几乎所有技术都依赖无线电或网络技术获取位置信息，这意味着设备中需嵌入持续定位的组件，且要满足低功耗要求。这就需要在芯片中集成原本可能无需的技术，只为实时确认其运行位置。”

此外，这类技术的落地还需配套基础设施支持。“这要求人们绘制所有频段内固定无线设备的分布图，包括蓝牙设备、ZigBee设备等。” 博尔扎补充道，“是否要像谷歌多年前那样，绘制所有 Wi-Fi 热点的地图？这类数据库如今已严重过时，亟需更新。但如果依赖这些技术实现设备定位与运行区域判断 —— 包括通过地理围栏技术让设备进入特定区域后停止运行 —— 将产生巨额成本：不仅会缩短电池寿命、增加功耗，还需大量软件支持。更重要的是，意图规避监管的人可轻易破解这类技术。”

芯片成本也会因此上升。英飞凌（Infineon）公司加密与产品安全高级总监埃里克・伍德（Erik Wood）在 2020 年曾开展差距分析，研究在芯片中嵌入位置追踪功能的可行性 —— 当时计划利用英飞凌某分包商工厂的隔离安全室（isolated secure rooms）进行最终编程与测试。

“仅因这一功能，一颗 2 美元的微控制器（microcontroller）成本会升至 5 美元，背后原因多样。” 伍德解释道，“首先需满足最小订单量要求，其次要保证产能完全利用，且安全室与相关设备的使用费率远高于普通设施，因此这种方案在实际中并不可行。最终我们选择依靠芯片自身的安全技术 —— 通过加密方式确认芯片为英飞凌原厂产品，确保其在供应链各环节的安全性。若客户关注这一问题，可通过回溯验证确认：即便无法获取芯片的纸质追溯记录，也能保证芯片在整个流程中未被篡改。”

目前，英飞凌已为客户提供加密原产地证明服务。“我们在工厂出厂时就为芯片植入加密密钥，该密钥会全程保护芯片在供应链中的安全。” 伍德表示，“当终端用户（如原始设备制造商 / OEM）收到芯片后，要获取‘信任根’（Root of Trust）的控制权，唯一途径是在线获取‘证书签名请求’（CSR，一种证书令牌）。凭借该令牌，用户可接管芯片的安全权限，加载新策略与新密钥，并执行‘准入检测’（entrance exam）—— 通过检查所有非易失性内存，确保其中没有未经授权的内容。”

地理围栏：进一步的监管手段与争议

地理围栏技术在位置验证的基础上实现了功能升级：位置验证仅能确认芯片的大致位置，而地理围栏可在芯片超出授权区域时限制或禁用其功能。

“位置验证并不会增加新的攻击面。” 布尔加指出，“但地理围栏完全不同。显然，若具备远程关闭芯片的能力，可能会产生新的安全漏洞：有权关闭芯片的机构可能在分配数据不一致的情况下单方面采取行动；即便通过多方系统规避这一风险，仍可能让不可信主体获取该功能并滥用。”

正因如此，布尔加表示，地理围栏相关提案仍存在争议，而位置验证在短期内被认为更具可行性。不过，所有技术方案目前均处于讨论阶段。

美国智库“新美国安全中心”（Center for a New American Security）的报告指出：“芯片内置管理机制（on-chip governance mechanisms）有助于保护功能广泛的人工智能与超级计算系统的研发及部署 —— 通过这类机制，可防止未授权主体使用受出口管制的人工智能芯片，或对其使用范围设定限制。”

动态变化的监管环境

芯片的出口目的地规则复杂、多变且往往模糊不清。

“负责制定先进人工智能芯片出口管制政策的美国工业安全局（Bureau of Industry Security）规定，芯片需出口至已获得许可证或无需许可证的目的地。” 布尔加解释道，“部分国家可直接出口，部分国家则完全禁止；还有些国家虽允许出口，但许可证实际难以获批。而芯片一旦离港，就几乎无法追踪其去向 —— 人工检查虽理论可行，但实际中极少实施。”

美国人工智能政策与战略研究所（Institute for AI Policy and Strategy）的报告显示，从马来西亚、新加坡等国转移的人工智能芯片，最终被转运至中国并出售给当地初创企业。“目前的监管本质上是一种‘基于诚信的体系’。” 布尔加评价道。

这种灰色市场操作还引发了其他问题。“供应链领域一直关注‘系统中的芯片是否为正品’这一问题。” Rambus的贝斯特表示，“我们能否证明芯片的真实性？能否通过追溯确定其来源，确保它不是从其他系统中被盗、翻新后流入市场的？若芯片被敌对势力篡改，能否通过追溯发现异常？但现在又出现了‘转移问题’—— 如果某一系统在加拿大被获取，随后被空运至朝鲜并投入使用，我们能否检测到？这类势力并不关心追溯性，他们只需将芯片放入私人数据中心即可直接使用。”

未来的不确定性

美国政府已明确表示，将位置验证纳入人工智能与半导体安全整体战略的考量范围。《芯片安全法案》（CHIP Security Act）包含了与验证相关的条款，不过目前讨论的修正案允许企业采用人工检查作为替代方案。

“《人工智能行动计划》（AI Action Plan）中明确提到，政府应进一步探索位置验证技术，这一信号非常清晰。” 布尔加指出，“这表明美国政府的政策方向 —— 此次提及并非偶然，因为本届政府的政策既聚焦出口管制，也注重出口促进。”

位置验证技术似乎与当前政策趋势高度契合：在支持美国技术出口的同时，解决国家安全关切。“许多人对这项技术充满期待，因为它是一种‘低投入干预手段’。” 布尔加表示，“虽有其他方案可提升芯片安全性，但这些方案需更多研发投入，且短期内能否落地尚不明确。相比之下，位置验证的优势在于几乎无负面影响，且能大幅提升芯片最终去向的可追溯性 —— 这一特点既能服务于出口管制目标，也符合出口促进需求。”

尽管如此，该技术仍面临重大隐私关切，且行业也在探索其他芯片安全交付方案。但值得注意的是，位置验证与追踪技术已具备“泛在性”—— 其应用场景远超芯片领域。

“若听说政府、银行或保险公司使用位置服务，人们会高度警惕。” 是德科技（Keysight）总经理马腾・布伦（Maarten Bron）表示，“但当我们安装 Instagram 时，面对‘是否允许获取位置信息’的询问，往往会不假思索地点击‘允许’。因此，人们对位置服务‘侵入性’的感知，很大程度上取决于‘谁在请求获取位置信息’。”

“请求获取位置信息的时机” 也引发了新的疑问。“以数据中心为例，供应链还应涵盖‘报废阶段’—— 存储机架终有一天需退役。” 布伦补充道，“若机架中一定比例的磁盘出现故障，整个机架就需报废。此时如何清除数据？如今常用的方法是‘加密清除’—— 删除数据的加密密钥，从而默认数据已永久销毁。但如果有人通过聚焦离子束（focused ion beam）或其他技术重建了保护数据的密钥，数据就可能被恢复。芯片中存在独特标识符，微软、谷歌等企业还会在设备报废后添加‘现场熵’（field entropy）以增强安全性。但如果这些安全资产能从芯片中提取，理论上攻击者可伪造中央处理器（CPU）或图形处理器（GPU），赋予其全新的使用生命周期。因此，位置追踪不仅要覆盖芯片在供应链中的流通阶段，还需关注其从数据中心退役并被替换后的去向。”