AI Agent发展浪潮下，芯片级安全为何成为关键？主流芯片厂商如何布局？

电子发烧友网报道 随着AI技术的飞速发展，AI Agent（智能体）正逐渐成为推动行业变革的核心力量。它不仅赋予了AI更强的自主性和执行力，还带来了系统架构的复杂性提升、算力需求的激增，以及更为严峻的安全挑战。海光信息港澳办总经理鲁千夫指出，面对更高复杂度的模型，芯片需具备更高的应用生态兼容性和性能，同时，芯片级安全的重要性也日益凸显。那么，为何芯片级安全如此关键？主流芯片厂商又是如何布局的呢？
 
芯片级安全：AI时代的必然选择
 
为什么需要“芯片级安全”？随着AI智能体的普及，Token消耗量急剧上升，AI系统处理的业务和数据愈发核心。然而，传统的安全手段在应对这些挑战时显得力不从心。软件层的安全措施，如安全软件，其安全性依赖于操作系统的完整性。但操作系统本身存在被重装、调试或篡改的风险，这意味着建立在它之上的安全措施并非坚不可摧。
 
此外，AI还面临着新型威胁，如“模型投毒”、算力劫持、数据泄露等。这些攻击手段动态且复杂，传统防火墙和杀毒软件难以有效应对。因此，安全能力必须下沉到芯片层，从设备启动的第一条指令开始，就构建一个不可动摇的信任链。
 
“芯片级安全”如何实现？以海光信息等芯片厂商的实践为例，芯片级安全主要通过可信计算、机密计算和密码加速等核心技术，构建一个立体的“内生安全”体系。
 
可信计算：相当于给芯片内置了一个无法被篡改的“硬件身份证”（硬件可信根）。从CPU启动的第一条指令开始，就会逐级验证BIOS、操作系统等每一个环节。一旦发现任何环节被非法修改，系统就会立即停止运行，从源头杜绝恶意软件的入侵。
 
机密计算：解决了数据“正在使用时”的保护难题。它为计算过程创建一个硬件级别的“加密保险箱”，即使数据在内存、CPU或GPU上进行运算，整个过程都保持加密状态。云服务商、系统管理员甚至潜在的恶意攻击者都无法窥探到数据的明文，真正实现了数据“可用不可见”。
 
密码加速：芯片内部集成了高性能的密码协处理器，能够高效地执行国密算法（如SM2/SM3/SM4），并且密钥的生成和管理完全在芯片内部完成，永不外露。此外，为了应对未来量子计算机可能带来的破解风险，一些厂商已经开始提前布局抗量子密码算法。
 
实现芯片级安全的技术挑战
 
尽管芯片级安全的重要性不言而喻，但其实现过程却面临着诸多技术挑战。尤其是在AI智能体和Chiplet（芯粒）技术普及的当下，这些挑战更加凸显。
 
将安全功能集成到芯片中并非没有代价。硬件信任根（HRoT）、可信执行环境（TEE）等安全架构需要占用宝贵的硅片面积，并增加额外的功耗。对于电池供电的物联网设备或面积受限的专用集成电路（ASIC）而言，每平方毫米的硅片都极为珍贵。增加安全模块会直接影响芯片的功耗、性能和面积（PPA）指标，这在成本敏感或能效要求高的场景中是一个艰难的取舍。
 
在芯片设计阶段，工程师必须在RTL（寄存器传输级）就深度融入安全设计，而非事后补救。这要求他们不仅要精通功能设计，还要熟练掌握形式化验证等新一代EDA工具，显著增加了设计的复杂度和学习成本。
 
另外，随着Chiplet技术成为构建高性能SoC的主流方案，传统的芯片安全模型正面临根本性的颠覆。在Chiplet架构下，一个系统由多个来自不同供应商的芯粒通过先进封装集成而成。信任边界被打破，扩展到了整个封装、基板布线和供应链中。整个平台的安全性不再取决于最强的芯粒，而是取决于最薄弱的那个。攻击者只需找到一个安全防护较弱的I/O或模拟芯粒作为切入点，就足以威胁整个系统的安全。此外，芯粒之间的高速互连也成为了新的攻击面，为窃听、数据篡改和重放攻击创造了机会。
 
主流芯片厂商的布局策略
 
面对AI智能体爆发带来的算力需求和安全挑战，主流芯片厂商正从“外挂安全”向“内生安全”转变，将安全能力深度集成到芯片的硬件架构中。各大厂商的布局策略各有侧重，但核心目标都是构建一个从启动到运行、从数据到算法的全方位防护体系。
 
CPU原生集成，构建“内生安全”
以海光、龙芯为代表的国产CPU厂商，倾向于将安全模块作为CPU的“核心基因”，直接在处理器内部集成安全处理器和密码协处理器。
 
海光：其CPU内部集成了独立的安全处理器（PSP）和密码协处理器（CCP），并扩充了支持国密算法（SM2/SM3/SM4）的专用指令集。这使得每一颗CPU本身就成为一个高性能的“虚拟密码机”，无需外接密码卡即可实现硬件级的数据加密和机密计算（TEE）。
 
龙芯：在处理器中集成了安全SE（安全单元）模块，成为国内首家获得商用密码二级资质的CPU内置安全模块。该模块将密码计算与通用计算进行芯片级融合，提供硬件级的密码算法处理能力。
 
提供标准化安全IP，赋能芯片设计
以安谋科技（Arm）、新思科技（Synopsys）为代表的IP供应商，则通过提供成熟、可复用的安全IP核，帮助其他芯片设计公司快速构建安全子系统。
 
安谋科技（Arm）：其“山海”S30FP/S30P安全IP方案是一个独立的硬件安全模块（HSM）子系统。它不仅支持TrustZone和硬件虚拟化，还通过了ISO 26262 ASIL D功能安全认证，能够有效抵御侧信道等物理攻击，广泛应用于智能汽车、AI PC等高性能计算场景。
 
新思科技（Synopsys）：其ARC SEM安全处理器专为高可靠性场景设计，支持硬件隔离和多域保护，同样可助力芯片达到ASIL D等级，满足汽车和工业应用的严苛要求。
 
聚焦垂直领域，打造场景化安全方案
针对特定行业（如汽车）的复杂需求，一些厂商推出了高度定制化的安全架构，解决多供应商协同和系统级隔离的难题。
 
恩智浦（NXP）：针对“软件定义汽车”中多个供应商软件共存于同一芯片的挑战，NXP提出了“硬件安全飞地”（Secure Enclave）方案。它通过硬件强制隔离，为不同供应商的软件创建独立的“虚拟ECU”，确保即使某个软件域被攻破，核心密钥和敏感操作依然安全。
 
总结：在AI Agent蓬勃发展的今天，芯片级安全已成为保障AI系统稳定运行、数据安全的关键所在。主流芯片厂商正通过不断创新和布局，为AI的未来发展奠定坚实的安全基础。