黃仁勳剛要爬出一個坑,又掉進另一個坑。
7月31日,中國互聯網監管機構國家互聯網信息辦公室約談英偉達,要求該公司就對華銷售的H20算力芯片“後門”風險問題進行說明。
H20有“後門”是美國議員的提議:要求商務部規定,受出口限製的人工智能芯片必須配備位置確認機製。
剛去台積電追加30萬顆H20、準備在中國大賣一場的英偉達相當尷尬。
CEO黃仁勳費盡九牛二虎之力,才說動美國總統特朗普“高抬貴手”,放行“中國特供版”H20芯片,結果美國議員一招“背刺”,英偉達一下子從“慷慨解囊”變成了“不懷好意”——在國家間競爭激烈的當下,國家安全這個坑,對獲取市場的障礙要遠大於貿易政策。
美國的泛安全化大棒,以自己揮棒的方式,敲到了自己頭上。
01 自己人“捅刀”
冤有頭,債有主。7月31日,中國國家互聯網信息辦公室約談英偉達,是對美國參議員湯姆·科頓5月份提出的一項法案的回應。該法案要求,受美國對中國出口管製的人工智能芯片必須提供“位置驗證”功能。
英偉達H20芯片專門為中國市場設計,以遵守美國出口規則。因此,中方監管機構要求英偉達對H20芯片的“位置驗證”等“後門”風險做出解釋。
身處中美貿易戰風口浪尖的H20命途多舛,“敲鑼打鼓”之時忽然迎來“當頭一棒”。
2022年開始,美國拜登政府先後拋出《芯片法案》及好幾百頁的“芯片管製條款”,限製英偉達的高階芯片H100向中國銷售,英偉達特別設計了“減配版”H20,以便符合當年的規範。其實,那時不光H100,還有A100,“中國特供”H800和A800,以及消費級顯卡RTX4090都受到禁令。
NVIDIA A100 for HGX/圖源:nvidia
2025年初,中國生成式AI公司“深度求索”異軍突起,其AI產品使用H20芯片也能達到世界頂級聊天機器人ChatGPT的運算能力。
美方深感擔憂,於2025年4月再度禁運H20。其時,中國科技巨頭騰訊、阿裏巴巴已經提交大量訂單,英偉達因無法交付,承受了超過50億美元的損失。
就此,英偉達CEO黃仁勳展開“魅力遊說”,頻繁出現在白宮和特朗普府邸“海湖莊園”,並於7月16日高調訪問中國,公開表示美國商務部已批準向中國銷售H20芯片,引發全球矚目。此次已是黃仁勳本年度第三次訪京,從去年穿東北花襖、今年身著“唐裝”用生硬中文讚揚中國科技發展,亦可見其對“中國大客戶”的重視。
雖然H20的運算能力不如H100乃至GH200,但在AI推理方麵表現出色。H20基於英偉達的Hopper平台打造,運算能力和帶寬有所降低,但支持英偉達自身的CUDA軟件,自帶開發和運行AI大模型的行業標準平台。
所以,雖然華為等中國本土科技巨頭已經推出英偉達芯片的“替代方案”,但H20解禁後,多家中國“大廠”如騰訊、字節跳動等優先向英偉達遞交巨額訂單,也充分證明CUDA生態係統的地位短期內仍然難以取代。
訂單一多,本來隻想“清庫存”的英偉達也改了主意,連夜向台積電追加了30萬顆H20。
CUDA生態係統/圖源:nvidia
黃仁勳訪問北京後的第五天,中國國家安全部於7月21日發文警示“當心你身邊的隱形竊密通道”。文中指出,“境外生產的芯片、智慧型裝置與軟件預藏後門”,呼籲中國國內重點涉密單位應采用“自主可控”的芯片和國產係統,避免“後門”風險。
7月31日,中國國家互聯網信息辦公室約談英偉達,要求其對後門問題進行說明,並提交相關證明材料。
英偉達隨後回應“英偉達芯片不存在‘後門’,並不會讓任何人有遠程訪問或控製這些芯片的途徑”。
8月1日,人民日報發表《英偉達,讓我怎麽相信你?》評論文章。文中表示,回應歸回應,企業唯有按照約談要求,拿出令人信服的安全證明,才能消除中國用戶的後顧之憂,重新贏得市場信任。
圖源:nvidia
至此,美國參議員的“刀子”切切實實地遞到了中方手裏,如果英偉達想賣H20,就必須要拿出合規性資料——尤其是詳細的底層原理,如代碼、示例讓中方審核、檢測。
而在英偉達拿出證據之前,所有H20的接收恐怕都會暫停一段時間。
02 “讓我怎麽相信你?”
芯片“後門”,首先是一個技術問題。從技術的角度看,H20芯片實現“追蹤定位”和“遠程關閉”功能是完全可行的。
在美國參議員呼籲出口芯片必須配備“追蹤定位”功能之前,有美國人工智能領域專家透露英偉達算力芯片的有關技術已經成熟。
一般而言,硬件後門(Hardware
Backdoor)是一種故意植入到硬件設備中的惡意電路和代碼,它允許攻擊者繞過正常的安全機製,獲取對設備的未授權訪問。硬件後門通常由兩個核心部分組成:觸發機製(Trigger)和載荷(Payload)。
像觸發機製主要分成三種:組合邏輯觸發,需要特定的輸入組合,組合設計為正常操作中幾乎不能出現的輸入模式,常規測試中不容易發現;時序邏輯觸發,基於內部計數器或狀態機,需要特定的時間序列才能激活;物理條件觸發,靠溫度、電壓等物理條件變化來激活後門,實驗室環境很難重現。
像載荷也主要分成三種:信息泄露,通過隱蔽信道傳輸敏感數據;功能篡改,在特定條件下改變芯片功能,如削弱加密強度、修改權限等;拒絕服務,降低係統性能,或使係統崩潰,如觸發斷電、重啟或功能降級。
一般而言,硬件後門(Hardware Backdoor)是一種故意植入到硬件設備中的惡意電路和代碼
硬件後門的通信方式,比如功耗側信道、電磁輻射、時序側信道等,都具有很強的隱蔽性。
也就是說,從硬件後門的觸發機製、載荷和通信方式三個層麵來看,如果手段隱蔽,常規安全檢測的話還是相對難發現。
但是,比起軟件後門,硬件後門還是“明顯”了一些。假如H20專用的驅動程序有“貓膩”,那就更不容易被察覺了。業界有人士猜測,假如用戶的計算服務器需要對外提供服務,那麽H20驅動程序就可以合理與英偉達服務器通信,然後偷偷把客戶數據搬走做分析。
搬走數據,或者暗地操控,往往不是為了商業用途。
2017年,俄羅斯安全公司研究人員在英特爾的管理引擎(ME)固件上發現了不對勁的地方。ME是一個嵌入在英特爾芯片組上的獨立微控製器,自2008年起就被集成到幾乎所有英特爾CPU上。
圖源:Intel
不對勁的地方在於,ME上存在一個名為“reserve_hap”的隱藏位,被描述為“High Assurance
Platform(HAP)enable”。HAP是美國國家安全局(NSA)發起的一個安全計算平台的項目。
這個隱藏位就是美國國家安全局留的後門——以便在特定場景下關閉ME。要知道,對於全球其他用戶,ME是默認開啟的。
而英特爾CPU在消費級市場上的龍頭地位始終難以撼動,2024年市場占有率還高達75.4%——這個“後門”的威力相當巨大。
03 國產替代
芯片後門,表麵看是技術問題,本質上還是政治問題。
即使中國產業界完全有能力檢測,也沒有必要檢測。因為用戶懷疑不需要理由,證明沒有後門是英偉達的責任,它必須“自證清白”。
2019年,美國將中國華為納入“實體名單”,禁止華為向美國出售信息與通信技術和服務。英國緊隨其後,由於有意向購買華為的通訊設備,英國政府要求華為提交所有源代碼,一行一行地進行審核。雖然沒有審核出任何問題,但英國依然給華為下了禁令,理由是“有後門”。
不管H20有沒有後門,既然美國參議員自己捅了這一刀,中國政府有充分的理由審核英偉達芯片。
黃仁勳/圖源:nvidia
無論如何,美國同意英偉達恢複向中國銷售H20,客觀上也使英偉達成為中美貿易戰的焦點。上個財年,中國市場為英偉達貢獻了170億美元的收入。穿著招牌黑色皮夾克的黃仁勳,在人工智能東風下引領英偉達突破市值4萬億美元大關的同時,又能在平衡華盛頓和北京意見的外交舞台上縱橫捭闔。
“後門事件”暫時挫傷了英偉達的風頭,但不會改變算力芯片和人工智能在全球科技、經濟、軍事競爭中的關鍵地位。中國一定會努力贏下比賽,除了AI應用的加速落地,也會盡快地完全解決硬件製約。
歸根結底,跨過這一階段,中國國產替代方案終會大規模發展。