AI算力下半场，“内生安全”是一块芯片的入场券

安全正在成为AI Infra的“基础能力”。

当大模型参数规模迈向万亿级、AI算力集群规模不断刷新纪录时，算力已越来越像工业时代的“电力”与“石油”，成为新一轮产业竞争中的重要变量。

但与此同时，一个过去并未被充分重视的问题也正在浮出水面：当算力成为核心生产力之后，生产力本身也开始成为攻击对象。

近年来，围绕AI基础设施的安全事件明显增多。比如，2023年曝出的全球GPU资源被黑客组织劫持用于加密货币挖矿事件，就让大量企业算力资源在不知情的情况下被长期占用。

与此同时，供应链层面的风险也在持续扩大，从固件后门到开源组件漏洞，再到云端多租户环境中的横向渗透，AI时代的攻击面已经远远超出传统网络安全边界。

因此，除了算力规模和性能指标之外，安全性、可信性以及持续稳定运行能力，也开始成为企业评估AI基础设施的重要标准。

过去那种“先上车后补票”的思路，已经越来越难适应AI时代的需求。对于很多AI基础设施而言，安全能力正在从附属配置变成前置条件，甚至会直接影响平台能否进入关键行业和核心场景。

01.

AI时代

“外挂式安全”为何失灵？

过去很长一段时间里，行业对于安全的理解，更多是一种外挂式防护逻辑。比如在服务器层面部署防火墙、入侵检测系统、加密软件、权限管理平台，或者通过虚拟化隔离和安全代理实现访问控制。这类方案本质上是在计算系统之外，再额外叠加一层安全模块。

在传统IT时代，这种模式曾经非常有效。因为当时的计算架构相对稳定，业务边界清晰，数据流动路径也更可控。然而进入AI时代后，这种“外挂式安全”开始暴露出明显短板。

首先，大模型训练和推理对于性能极其敏感。一次安全检查、多一次数据拷贝、一次额外加解密，都可能带来显著延迟。尤其是在大规模基础设施中，任何安全机制如果需要频繁介入主计算链路，都会严重影响算力利用率。

其次，AI基础设施正在走向高度异构化。CPU、GPU、NPU等不同类型的芯片、高速网络、分布式存储共同组成复杂计算体系，数据会在不同芯片、不同节点之间高速流动。传统软件安全方案往往很难覆盖如此复杂的底层协同环境，很多机制甚至无法感知芯片内部状态。

更关键的问题在于，软件层安全本身也建立在“底层可信”的前提上。如果芯片、固件已经被篡改，那么运行在其上的安全软件就可能从根源失效。

AI时代正在推动安全理念发生一次重要转向：安全需要成为计算架构本身的一部分。这也正是“内生安全”概念受到行业关注的重要原因。

所谓内生安全，本质上是把安全能力直接嵌入系统组件（如中央处理器）内部，让安全机制像人体“自主神经反射”一样，在系统运行过程中自动发挥作用，而不是依赖额外外挂安全组件进行补救。

比如，在芯片内部构建可信根，通过硬件级认证确保系统启动可信；通过内置加密引擎实现数据实时高效加解密；通过内存隔离和可信执行环境，让不同任务即便共享同一硬件资源，也无法相互窃取数据。

更重要的是，这些能力要与计算架构同构运行。换句话说，安全能力不再需要频繁“打断”计算流程，而是在芯片内部同步完成。相比传统软件安全，这种模式既减少性能损耗，也降低了被绕过、被篡改的风险。

02.

海光的答案：

让芯片具备“免疫系统”

从产业趋势来看，内生安全正在成为AI基础设施发展的重要方向。尤其是在金融、政务、能源、科研等高敏感领域，客户对于“可信算力”的需求已经越来越明确。

国内不少企业也已经开始意识到这一变化，并尝试从芯片架构层面重构AI时代的安全体系。其中，海光信息近年来在“芯片级内生安全”方向上的布局，就极具代表性。

海光信息已提出了覆盖密码技术、机密计算、可信计算、漏洞防御四大方向的内生安全能力，希望从底层硬件层面构筑AI时代的安全底座。

首先是密码技术。

传统软件加密往往存在两个问题：一是性能消耗较大；二是密钥容易暴露在系统内存或软件链路中。而海光的方案，则是在芯片内部集成密码协处理器、密码学指令集、安全处理器和抗量子密码算法引擎，将加密能力直接嵌入硬件。

这种设计核心的价值，在于实现密钥的“可用不可见”。也就是说，应用系统可以调用密钥完成加密计算，但密钥本身不会暴露给操作系统或普通应用层。整个生命周期，包括生成、存储、调用，都在芯片可信环境中完成。

其次是机密计算。

在云计算和AI训练场景中，多租户共享资源已经非常普遍，不同用户任务往往会同时运行在同一台物理服务器甚至同一组算力节点上。一旦隔离机制出现问题，就可能引发数据泄露、任务窃取等风险。

海光采用的是基于安全虚拟化的机密计算体系。虚拟机之间通过SM4进行加密，不同应用资源彼此隔离，同时支持计算隔离、启动度量、远程认证、磁盘加密、密钥卸载等能力。

从技术演进路径来看，海光的CSV机密计算已经从最初的“内存加密”，逐步扩展到“内存加密+状态加密”，再到“内存加密、状态加密、内存隔离”的完整保护体系，安全边界正在不断向底层延伸。同时，海光CPU和DCU还可以通过安全通道连接，共享同一安全域。

第三是可信计算。

海光C86芯片支持可信计算3.0和TCM2.0等标准，并兼容TCG规范与中国商密体系，能够实现安全启动、动态度量等功能。

其中，安全启动主要用于防止系统被篡改风险，在开机阶段就对BIOS、固件等关键组件进行可信验证；动态度量则会持续监控系统运行状态，形成动态信任链。

简单理解，就是系统从启动到运行的整个过程中，都会不断确认当前环境是否可信。一旦检测到固件异常、系统组件被篡改或者运行状态异常，系统就能够及时识别并阻断风险。

第四则是漏洞防御。

过去几年，国际芯片行业曾因“熔断”、“幽灵”等经典漏洞受到巨大冲击。这类漏洞本质上利用了现代CPU乱序执行、分支预测等机制，通过侧信道方式窃取敏感数据。

很多传统芯片只能依赖后续软件补丁修复，而海光强调，其基于独立演进的国产C86架构，在设计阶段就已经考虑相关风险，因此能够从架构源头降低漏洞产生概率。

如果说过去的安全体系更多是“围墙逻辑”，那么内生安全更像是“基因逻辑”，让整个芯片体系天然具备免疫能力。

03.

内生安全

开始进入真实场景

海光在芯片内生安全方面的布局，正在从单一芯片能力，逐步扩展为完整体系能力。

海光近期发布的内生安全技术全景图，就展现了这一布局。在底层，海光以CPU+DCU双芯为底座，建立统一安全域，让数据在训练、推理、传输和存储过程中始终处于安全可信环境。

这套体系覆盖了数据采集、传输、存储、使用到销毁的全生命周期，并面向党政、互联网、金融、电力、石油等领域提供开箱即用的全栈应用。

而这一体系化能力，也已经开始进入真实产业场景。

随着量子计算的快速发展，经典公钥算法未来存在被破解的风险。尤其在金融、政务、通信等场景里，很多敏感数据即便今天无法破解，也可能被攻击者先保存下来，等未来量子计算成熟后再统一解密，也就是所谓“先存储、后解密”风险。

在这一背景下，海光与国泰海通推出了全球首个抗量子密码平滑迁移方案，通过抗量子商密网关、抗量子证书体系以及数据库加密方案，构建覆盖通信、安全认证、数据存储的量子安全能力。

其中，一个关键点在于“混合密码”机制。这一机制支持客户通过客户端配置加密方式，实现商密、商密+抗量子（混合密码）和纯抗量子密码的平滑切换。既可以保留现有商密体系（如SM2），同时也引入抗量子算法ML-KEM（也称Kyber）。

这种模式对于证券行业尤为重要，因为交易系统对低延迟、高并发和稳定性要求极高，激进式替换的风险较大。

更值得关注的是，相关可信密码模块已经内置于海光CPU内部，并取得国家密码管理局商用密码检测中心颁发的商用密码产品认证证书，由芯片直接提供商密计算与安全存储能力。

04.

结语：AI时代

安全正在成为“基础能力”

从行业演进路径来看，AI时代的安全逻辑正在发生变化。过去，人们默认“性能优先、安全补充”；而未来，安全本身可能会成为算力基础设施的一部分核心指标。

在这个过程中，具备内生安全能力的芯片，也很可能从“高配”逐渐变成AI基础设施的“标配”。谁能率先完成从外挂安全到内生安全的范式转移，谁就更有机会在下一轮AI基础设施竞争中掌握主动权。

文章来自于"智东西"，作者 "陈骏达"。