免疫StackWarp漏洞 海光C86开启国产算力“体系安全”新纪元

　　2026年开年，德国CISPA亥姆霍兹信息安全中心披露的处理器漏洞“StackWarp”，如同一颗投入平静湖面的石子，在全球算力产业激起了巨大涟漪。该漏洞波及AMD Zen全系处理器。目前官方已经给出了修复方案。不过，在硬件级修复之前，部分防护措施需要以关闭同步多线程为代价，对系统算力和部署成本造成影响。这也引发了业内的热议：安全与性能，究竟该如何兼得？

　　而国产处理器的安全能力也遭到了审视，尤其是获得x86永久授权和Zen架构的海光。但这场风波却意外成了照亮国产CPU自主化进程的一束强光。据了解，海光信息(SH688041)的C86CPU已被验证对该漏洞实现“原生免疫”。在看似同源的X86技术河流中，以海光C86为代表的国产CPU，早已悄然筑起独立的技术航道与坚固的安全堤坝。这背后，是中国芯片产业走过的一条从引进消化、到再创新、最终实现技术路线分叉与生态独立的艰辛而清晰路径。海光所构建的不仅是一颗性能优异的CPU，更是一套从硅基物理层开始构筑的、深度融入国家网络安全体系的内生安全架构。

　　 StackWarp漏洞照出的“分水岭”：

　　从技术追随到生态独立

　　StackWarp(CVE-2025-29943)漏洞的本质，是攻击者利用AMD SEV-SNP(安全加密虚拟化)技术的设计缺陷，通过主机侧篡改特定寄存器，实现对虚拟机内存数据的确定性攻击。这对于将安全托付于云端的企业和机构而言，无异于“釜底抽薪”。

　　目前来看，官方给出的修复方案需更新固件并禁用同步多线程(SMT，即超线程)技术。超线程技术是通过让单个物理核心模拟出两个逻辑核心，显著提升处理器在多任务环境下的吞吐能力，禁用则意味着可用计算资源大幅削减。对于动辄部署数万乃至数十万颗CPU的云计算巨头和超算中心，这一修复成本堪称天文数字。这也让不少用户陷入两难：要安全，还是要性能？

　　在这一窘境中，海光信息的声音显得格外有力。经技术验证，海光C86处理器对StackWarp漏洞具备原生免疫力。其根本原因并非幸运，而是源于一场始于数年前静默而坚定的技术“分叉”。彼时，海光通过永久性授权，合法获得了X86指令集架构的使用许可，为公司提供了一个与世界主流生态兼容的高起点。

　　其成果便是今天具有完全自主知识产权的“C86”计算架构。需要注意的是，C86并非对原有技术的简单套用，而是在兼容主流生态的基础上，于芯片微架构、安全模块、能效管理等多个核心层面进行了深度重构与自主扩充。特别是在安全领域，海光前瞻性地将安全能力视为芯片的“第一属性”进行硬件原生设计。例如，StackWarp漏洞利用的关键前提是主机能篡改虚拟机页表以构造单步执行环境，而与AMD SEV-SNP技术对应的海光CSV3技术，从硬件层面就阻断了主机对安全虚拟机页表的非法访问，根本上杜绝了此类攻击路径。

　　如今，海光C86已然完成了从“技术授权跟随”到“架构分叉独立”的关键演变。这一事件清晰地划出了一道“分水岭”：全球X86生态正在形成两条并行且差异化的技术路线——一条是延续传统设计、面临周期性安全挑战的国际路线；另一条则是以海光C86为代表，以前沿安全理念驱动、实现内生免疫与自主可控的中国路线。这条独立的技术道路，正是海光应对当前复杂国际科技博弈、支撑国内关键信息系统安全的底气所在。

　　解剖“免疫”基因：

　　内置三道“金刚锁”的国产自主安全体系

　　面对层出不穷的硬件级安全威胁，传统“软件打补丁”的模式已力不从心。海光的答案是将安全能力深度“硬化”到硅片之中，构建起从芯片底层出发的主动防御体系。这集中体现在其广受业内认可的三道硬件级“金刚锁”上：芯片原生密码技术、可信计算与机密计算。共同构成了海光CPU区别于普通商用芯片的核心安全护城河。

　　第一道锁是芯片原生密码技术，让每颗CPU成为高性能密码机。传统的数据加密往往依赖外置的密码卡或软件算法，前者增加成本与复杂度，后者存在性能瓶颈和安全风险。海光创新性地在CPU内部集成了独立的安全处理器(PSP)和密码协处理器(CCP)，并扩充了支持国密算法(SM2/SM3/SM4)的专用指令集。这意味着，每一台搭载海光CPU的服务器，其本身就成为一个无需外接密码卡的高性能“虚拟密码机”。

　　第二道锁是可信计算3.0“中国方案”，能实现从启动到运行的全周期主动免疫。与依赖主板外置可信芯片的传统方案不同，海光将国际主流的TPM2.0、国内的TCM2.0以及代表更先进主动防御理念的TPCM(可信平台控制模块)等三大可信标准，全部以固件形式集成于CPU内部的安全处理器中。一旦发现篡改即可实时告警甚至干预，实现了对未知威胁的主动防御。目前，在通过国家认证的可信计算产品名单中，基于海光CPU的方案占比已过半，成为金融、能源等关键行业构建高等级安全系统的首选。

　　第三道锁是机密计算(CSV)，也是为云上数据流动打造的“绝对安全屋”。通过在CPU内部创建基于硬件的可信执行环境(TEE)，海光自主研发的CSV3机密计算技术将虚拟机的内存数据进行实时加密，且密钥由CPU自身生成与管理，永不外泄。目前，海光已与阿里云、腾讯云、联通云等主流云服务商合作推出基于CSV的机密云服务。在隐私计算领域，海光还与超90%的头部厂商合作，联合推出了十余款隐私计算一体机，应用于政务数据开放、联合医疗科研、金融风控等场景，确保数据“可用不可见”，在释放数据价值的同时牢牢守住安全底线。

　　这三道深度融合于硅片的“金刚锁”，使得安全不再是海光CPU的“附加功能”，而是其与生俱来的“核心基因”。它们共同回应了一个根本性问题：在算力基础层面，如何实现真正的、不依赖妥协的自主可控。

　　超越硬件：从芯片安全

　　到国家数字基座的“战略安全”

　　海光在芯片安全技术上的纵深布局，其意义早已超越单一的硬件产品竞争。它所指向的，是一个更高维度的命题——国家数字基础设施的战略安全。

　　在中美科技竞争长期化的背景下，高端计算芯片的供应链稳定已成为产业发展的“生命线”。海光C86实现从架构迭代到生产制造的全流程国内主导，意味着在最为核心的算力层，中国拥有了一条不受制于人、可自主供给和升级的备份路线。当国际技术轨道出现类似StackWarp的“急刹车”甚至“断供”风险时，海光代表的自主体系能够确保关键信息系统的连续、稳定运行。

　　更为关键的是，在数字经济时代，数据是核心生产要素，其处理全过程的安全直接关系到国家安全、商业机密与个人隐私。以海光为代表的国产厂商们从硬件根源上为数据的产生、传输、存储、计算乃至销毁的全生命周期提供了可信环境。特别是在金融、能源、通信等关键信息基础设施领域，搭载具备内生安全芯片的设备，是落实网络安全等级保护制度、抵御高级别持续性威胁(APT)的物理基础。

　　另外，一颗自主可控且安全可靠的芯片，能够向下带动国内半导体设备、材料、制造工艺的进步，向上支撑操作系统、数据库、中间件乃至各类应用软件的创新与迁移，形成良性的国内信息技术应用创新(信创)生态闭环。以海光C86为例，其对主流软件生态的兼容性，极大地降低了整个产业链的迁移成本，加速了从“可用”到“好用”的进程，从而在整体上提升了我国数字产业的韧性与竞争力。

　　在全球数字主权竞争日益激烈的今天，算力就是国力，而安全的算力则是基石。它关乎在波涛汹涌的数字浪潮中，我们能否拥有自己设计、自己建造且自己掌舵的“万吨巨轮”，以确保数据资产与数字未来，从而航行在一条自主、安全、可控的广阔航道上。

　　文/胡晓

　　(本文不构成任何投资建议，信息披露内容以公司公告为准。投资者据此操作，风险自担。)