近日，關於英特爾、AMD和ARM架構芯片中安全漏洞的風險事件被媒體炒的沸沸揚揚，大家一致認為這能夠讓黑客盜取幾乎所有的現代計算設備中的敏感信息，並且很多人都在擔心這個風險？

引石老王從事信息安全研究20年，一直致力於人工智能反劫持防禦與信息安全反黑工作，從專業的角度告訴大家，大可不必如此緊張，抓住芯片的漏洞，黑客確實可以入侵你的電子設備，但你的密鑰也會被攻破了嗎？哪有想象的那麼容易！

英特爾、AMD和ARM架構的芯片的安全漏洞可能會造成設備內存被入侵的風險，會導致用戶數據及密鑰的洩露。

報道稱，英特爾的芯片以及英特爾、AMD和ARM架構的芯片都存在關鍵性的安全漏洞，這個漏洞導致黑客可以繞過設備應用程序和內存之間的硬件防護，直接入侵設備的內存，這樣黑客可以將內存的數據取走，最關鍵的可能會導致密鑰的洩露。

這個漏洞幾乎影響到了包括筆記本電腦、臺式機、智能手機、平板電腦和互聯網服務器在內的所有硬件設備，最大的風險是那些擁有支付功能的金融設備，比如我們常用的手持支付設備（包括手機），這可能會導致用戶的資金風險。目前，很多設備廠商已經開始設備升級，但這樣的升級過後，大大降低了設備應用的效率和性能，用戶的體驗也大打折扣。

在科技高速發展的當下，安全防禦的核心是主動防禦，而不是被動防護，由於產品設計中缺乏安全主動防禦的考慮，在漏洞被爆出的時候，往往會損失系統的效率與用戶的體驗。

在科技高速發展的當下，系統或產品在被黑客入侵時，要進行主動防禦，而不是發現入侵後，系統或產品通過升級來被動應對入侵。英特爾漏洞事件導致設備出現很大的安全風險，所以每個設備廠家會進行相應的升級，雖然可以阻止黑客的入侵，但最終的結果卻是降低了設備的使用效率和性能，讓用戶的體驗下降。

由於產品設計之初缺乏對主動防禦的考慮，在漏洞被爆出的時候，廠家也只能是通過“打補丁”、“升級”的方式進行被動防護，就像殺毒一樣，不停地增加數據內容，加大數據冗餘來減少風險，可是如果再有新的病毒出現呢？那就再升級、加大病毒庫，結果搞到應用效率極度降低，殺毒一次的時間是越來越長，關鍵整個系統運行起來也會很慢。

針對英特爾此次的漏洞，如果設備中的密鑰是加密存儲，那就算被黑客拿走也沒關係，黑客根本無法解密這個密鑰。但對於未加密、明文存儲的密鑰，黑客確實可以拿走並使用它。

從安全防禦的角度來講，英特爾此次漏洞導致黑客入侵內存並截取密鑰的風險很大。但如果密鑰是加密存儲的話，黑客即使截取了這個密鑰也沒有辦法破解。所以，大家也不必有那麼多擔心。而且金融類設備或應用都是通過行業安全檢測的，密鑰文件都是要求加密的，所以黑客即使拿到也沒那麼容易可以破解。

目前國內大部分企業對信息安全的認知還並不完善，而信息安全本身又是一件概率防禦事件，所以需要設備廠商們對客戶要負起責任。在許多未監管的應用中，有的密鑰確實是明文存儲，比如在某些電子設備中攝像頭的密鑰，為了方便，它很有可能是將明文密鑰存放在內存裡的。遇到英特爾此次的漏洞，黑客肯定是可以輕鬆拿走這個密鑰的。

應用與設備廠商如何應對芯片級的安全漏洞造成的風險呢？

對於應用與設備廠家來講，如何應對芯片級的安全漏洞造成的風險呢？

首先，從產品設計之初，就要考慮產品本身的主動防禦策略，拋棄依靠打補丁、升級的事後防禦。引石老王之前文章《人工智能若想不被非法控制，加強系統關鍵指令防護才是關鍵》中曾介紹過基於指令系統的主動防禦，有興趣的讀者可以再看看。

其次，密鑰一定要加密存放。如果設備中加入一顆安全芯片專門用於存放密鑰，那密鑰將會更加安全。目前市場上華為、金立手機已經有型號是加載了安全芯片的，這種手機的安全級別比用軟件加密密鑰的手機在使用上安全的多。

安全其實就是黑與白的技術競爭，有些漏洞的出現，確實是可以給黑客造成可乘之機，但也並非媒體講的那麼容易得手。

引石老王：從事信息安全工作20年的職業經理人，國內首批商業密碼從業人員，國家商業密碼應用的參與者與見證者。專注人工智能反劫持技術與信息安全反黑，為您解讀當下科技創新與發展。

關注引石老王，評論安全熱點，解讀安全風險，歡迎您留言探討，期待與您的互動，共同交流！