国安：境外设计生产芯片可能预埋木马

日前，国家安全部披露部分境外生产的芯片、智能设备及软件可能存在预埋“技术后门”的重大安全隐患。这些后门可通过特定信号远程激活，实现摄像头/麦克风窃听、数据回传等功能，直接威胁公民隐私、企业机密乃至国家安全。

技术后门的三重渗透路径

根据国家安全部披露，境外技术后门主要通过三种方式侵入设备：

恶意预埋（设备“内鬼”）部分境外厂商在芯片或设备设计制造阶段即植入后门，可通过远程指令直接操控设备。例如，某品牌智能手机曾被检测出芯片级后门，可在用户不知情时开启摄像头并上传影像数据。

后期破解（服务“漏洞”）个别厂商为方便维修设置远程访问接口，但因管理不善或被第三方破解，导致后门沦为窃密工具。2024年某跨国企业服务器遭入侵事件中，黑客即利用设备维护端口长期窃取用户数据。

供应链投毒（代码“污染”）不法分子通过污染开源代码库、篡改软件更新包或在供应链环节植入恶意代码，在设备使用过程中暗中激活后门。2025年初，某国产智能电视品牌因使用被篡改的第三方组件，导致数百万台设备面临数据泄露风险。

国产化替代可以降低风险

从国安部披露的三张入侵方式看，一种方式是利用用户管理不善，访问接口被破解，另外两种方式是植入硬件或软件后门。对于植入硬件或软件后门的最佳应对措施，就是不用外商的CPU，不用外商软件和未经安全测试认证过的开源软件。

正是因此，国家安全部强调，政府、军工、金融、通信等涉密岗位需优先采用自主可控的国产芯片和操作系统。某央企技术负责人透露，其单位已全面替换进口路由器，改用国产信创设备，并部署AI驱动的异常流量监测系统，成功拦截多起境外IP的非法访问尝试。

为了保障信息安全，所使用的自主可控的国产芯片和操作系统必须是真自主，而不能是打着自主旗号的技术引进。

具体来说，当下信创行业中的部分国产ARM CPU，其CPU核、GPU核就是从ARM购买的，源码原封不动从ARM买过来，就CPU核、GPU核部分而言，没有一行代码是自己写的，然后把买来了IP核“组装”成SoC。

比如一款国产ARM CPU公司购买了ARMA55和A77，把多个A55和A77集成到一款ARM CPU上，那么，A77上的漏洞，这款国产ARM芯片必然存在，因为用的就是A77的源码。

就标榜自研，这种ARM芯片其实就是一款商业芯片，若标榜自主、安全就是自欺欺人，掩耳盗铃。

类似的，当下的国产桌面操作系统，其实都是基于开源软件的二次开发，虽然Linux、FreeBSD早已开源，但哪家操作系统公司敢立军令状声明已经吃透所有技术细节，并保证基于开源软件二次开发的操作系统不存在任何漏洞？

从降低安全风险的角度看，使用自主指令集、自主CPU核、内存控制器、PHY等外网IP全部自研的CPU是最安全的。每一行代码都自己写的操作系统，相对于直接购买外商软件，或直接使用未经安全验证的开源软件要更安全。

纯自主CPU和OS同样面临安全考验

铁流认为，技术引进肯定不安全，但自主研发也不一定就百分之百安全。因为即便是纯自主技术，也要面临国家级攻击者的攻击。

诚然，龙芯这样从指令集到核心IP全部自研的CPU不存在预埋后门的问题，但海外的国家级攻击者会查找硬件漏洞。硬件能否安全就是矛与盾的攻防战，最终还是看龙芯团队的能力水平，如果能力强，能够快速迭代技术，升级的速度比西方黑客找漏洞的速度快，或是在西方黑客发现漏洞之前就补全存在的漏洞，或者发现问题后能够第一时间亡羊补牢，这就能够保障硬件安全。反之，即便是纯自主设计的CPU，同样无法保障硬件安全。

操作系统也是如此，特别是国产桌面操作系统都是基于开源软件做二次开发，这就对本土技术团体的漏洞查找能力和修补能力提出了更高的要求。

总体来说，自主研发的安全性是高于技术引进的。比如当年英特尔、AMD被发现幽灵和熔断两个漏洞时，全球用户只能等着英特尔、AMD来打补丁，国内企业没有能力去给英特尔、AMD打补丁。

类似的，当ARM发现漏洞时，国内企业只能等ARM来打补丁，自己只能干瞪眼。因为购买ARM技术授权就意味着很多工作是由ARM完成，国内ARM CPU公司通过买技术授权走捷径，在很多工作上偷懒了，即便买到了软核授权，也不少所有代码都可读可写，ARM对一些模块是有加密的，何况没有开发文档和注释，只有源码也未必能看懂。由于平时走了捷径，自己没做过，也就不会做，因而只能等ARM来打补丁。

相比之下，自主CPU因为纯自主，所有工作都是自己做，平时没少锻炼，自己都会做，源代码都是自己写的，干净又透明，注释和开发文档齐全，因而发现问题的时候自己能修补。

结语

实践上看，自主研发不一定安全，技术引进一定不安全。

铁流认为，涉密岗位就应该买龙芯和SW，普通办公电脑可以从海光和龙芯里选。

国产ARM芯片是非常鸡肋的，论性能、生态、性价比都不如海光，论自主性和安全又不如龙芯和SW，在裸CPU性能和性价比上被龙芯压着打。

在桌面办公平台ARM和龙芯的生态是难兄难弟，在一些特定行业，ARM的生态还不如龙芯。

当下，金融、通信、党政、交通、医疗等行业大量采购ARM芯片，其中很多ARM芯片集成的CPU核、GPU核就是ARM公版架构，一旦面临紧急状态，这些ARM公版架构就有可能变成特洛伊木马，隐患不容小觑。