在地緣緊張局勢、AI應用深入各大領域的現下,AI資料中心成為不能停機的國家關鍵基礎建設,也更可能成為資安攻擊標的。耕耘「硬體信任」多年的美國新創Eclypsium如何看待珍貴的GPU防護策略?又為何認為韌體是「下一個成本最低的攻擊領域」?
韌體(firmware)。這個一般使用者很少接觸、過往也不常被駭客鎖定的軟體,即將成為資安產業的關鍵戰場?
在3月於舊金山剛落幕不久的國際資安展會RSA Conference上,除了AI代理崛起的風險受到熱議,AI資料中心的資安盲點也引起關注。
巨額資金正湧入增建AI基礎設施。與此同時,從科技到金融等各行各業也爭相將AI模型融入自身營運流程。這顯示,AI資料中心已可被視為國家關鍵基礎建設。有如先前的太空競賽或核武軍備競賽,21世紀的國力將取決於能否成功且安全地在商業、國防等關鍵領域部署龐大精密的AI能力。
這是美國資安公司Eclypsium在2025年中的聲明。同時,Eclypsium推出升級版平台服務,新增了保護AI資料中心的一系列功能。不到一年內,平台已經兩次更新,並在今年3月宣布獲得2500萬美元策略融資,進一步擴張在AI資料中心與邊緣設備的布局。
Eclypsium共同創辦人暨執行長布里金(Yuriy Bulygin)表示,公司自2025年1月的C輪融資以來,取得了「巨大成功」。目前,Eclypsium已獲得高通投資,並加入輝達新創團隊培育計畫(NVIDIA Inception Program);展現公司打入AI工廠及邊緣裝置的生態系強化。
比作業系統更底層,深耕韌體層資安防護
這一切始於2017年,當英特爾的兩名頂尖硬體資安研究員自立門戶,創立Eclypsium,聚焦在一個相對小眾的資安市場:韌體。
許多人對韌體的認知是那個「如果更新失敗會無法開機」的東西,這也解釋了韌體對硬體設備的重要性。韌體是寫在主機板晶片上的低階程式碼,可以直接控制硬體。在設備通電、開機那一刻,最先執行的就是韌體,在這之後作業系統才跟著被喚醒。
只要一件硬體設備需要被電腦識別、交換資料,就需要有韌體。對於沒有作業系統的硬體來說,韌體是它們可以被使用的核心。USB隨身碟中有韌體,告知電腦自己可以接收檔案。滑鼠與鍵盤中的韌體負責將點擊、移動轉換為0與1的訊號。
在日趨精密的AI伺服器中,有著來自不同供應商的零件。從電源供應器到散熱模組,裡頭存在著控制晶片與韌體,即時處理複雜的任務。例如,電源供應器需要動態調節瞬間電流、自我監控溫度,向主機板回報自身資訊。
假設,駭客駭入了一台AI伺服器液冷系統的韌體,理論上可能發動物理性攻擊。攻擊者可以在AI晶片高速運算時,讓韌體回報假低溫,或是關閉韌體的漏液偵測警報,讓昂貴的AI晶片過熱失控、或是直接泡在冷卻液裡而報廢。
隨著高階AI伺服機櫃系統售價突破億元,AI資料中心的資安更加受到關注。主攻韌體、硬體供應鏈安全的Eclypsium,也迎來公司史上的成長狂潮。
AI資料中心成國家關鍵基礎建設
Eclypsium起先針對筆電、伺服器與網路設備中的韌體防護,再擴張到整條IT供應鏈的監控。2025年,業務朝AI資料中心轉向,深化在國家AI關鍵基礎設施的布局。
在地緣緊張局勢中,IT供應鏈的安全性躍上檯面。一台複雜的高階伺服器中包含大量不同來源的次級供應商零組件,從生產、組裝到運送,客戶如何確保在每個環節中,所有硬體零件都保持安全、乾淨,沒有被動過手腳?這正是Eclypsium想解決的問題。
Eclypsium行銷長史密斯(Andy Smith)向《遠見》解釋,公司一方面和供應商合作,確保產品從出廠到抵達客戶手中都保持安全可信,一方面也與硬體部署者合作,持續監控使用途中沒有被攻擊、竄改。
Eclypsium的一大核心技術是代理掃描韌體現況。公司維護著龐大的韌體標準映像檔(image)資料庫,也就是輝達、英特爾等各大原廠燒錄到自家晶片裡的韌體程式碼,可視為黑膠唱片的「母盤」,是韌體最乾淨、原始的模樣。
透過在硬體裝置裡安裝的代理程式,Eclypsium會抓取晶片上運作的韌體程式碼,與原廠的映像檔做比對。只要出現任何落差,就表示裝置上的韌體已被駭客改寫過。
近年崛起的新興雲端供應商(neoclouds),也是Eclypsium服務的對象。GPU昂貴稀缺,出現一批以GPU為業務核心的雲端業者,將算力輪流租給不同用戶。但底層硬體與記憶體若沒有徹底「洗淨」、驗證,可能有機密外洩風險。
GPU記憶體隔離漏洞,先前已在Apple、AMD與高通等晶片中被發現過。這讓駭客得以讀取同一台機器中其他GPU核心寫入本地記憶體的資料,可能包括關鍵模型權重。雖然輝達晶片未受影響,GPU租賃業者依然提高警覺。史密斯表示,新興雲業者們需要確保在客戶轉換間,晶片沒有被植入後門、也沒有資料殘留。
從國家轉入民間,韌體攻擊可能增加
韌體如此普及、關鍵,為何過往大眾較少聽見針對韌體的資安攻擊?
一項原因是韌體攻擊成本高,過往大多是國家級駭客活動的場域。一支設計來感染微軟作業系統的病毒,能攻擊所有使用微軟OS的電腦。但韌體是針對不同硬體高度客製化的,通常是國家支持的駭客組織為了潛入敵國電信機房、發電廠等關鍵基礎建設的行動。
2022年惡化的烏克蘭戰爭,是近代敲響韌體攻擊風險的一記警鐘。在入侵烏克蘭當天,俄羅斯對美國衛訊公司(Viasat)的KA-SAT 衛星網路發動「AcidRain(酸雨)」攻擊,覆寫數據機底層程式碼。直接導致烏克蘭軍方通訊中斷,波及大量歐洲用戶,證明了韌體攻擊能有效癱瘓國防基礎建設。
然而,近年部分國家級駭客使用的韌體攻擊工具流入暗網,落入一般犯罪集團手中。而他們正在「尋找下一個成本最低的攻擊領域」,史密斯指出。
目前,企業在應用程式與作業系統層次的資安防禦,已經相當強大且普及。各種軟體、雲端服務大量導入多重身分驗證與網頁防火牆,駭客很難再靠竊取密碼就成功滲透。端點偵測與回應(EDR)技術也有長足進展,結合AI與行為分析,能偵測異常行為來鎖定陌生攻擊。
然而,EDR雖強,仍然屬於守護「主要門戶」的層級。EDR存在作業系統上,在此監控所有經過OS的呼叫行動。但是,諸如印表機、路由器這類設備沒有完整作業系統,也就無法安裝EDR。
另一個傳統EDR無力監控的地方是GPU。不同於安頓作業系統的CPU,GPU被設計為外部加速器。EDR看不見GPU裡發生的運算過程,只能看見GPU算完以後傳回來的結果。當GPU的主要工作是渲染遊戲畫面時,這個資安盲點看起來不太嚴重。但現在它運算的是企業訓練資料、AI模型,被攻擊的代價大幅提升。
史密斯描述,訓練AI模型需要資料與算力。工程師可以驗證訓練資料,但很難驗證模型本身。深度神經網路有「黑盒子」之稱,難以查證模型計算的結果一定沒有被干擾過。就算出錯,也可能被誤判為幻覺。
也就是說,如果攻擊者在硬體層投毒,可能竄改模型權重,讓模型在關鍵時刻做出致命誤判。不是整台當機、而是潛伏著特定時機才啟動的機關,這種攻擊更加難以覺察。
因而,史密斯主張,我們很難驗證模型輸出的結果,但至少可以驗證訓練模型的算力是否乾淨。「這就是我們幫助客戶做的事,」他說,「確保他們可以信任自己的硬體。」
智慧機器普及,資安打擊面「無所不在」
許多資安大廠在作業系統、應用程式層級提供防護,Eclypsium則聚焦在更底層、更靠近硬體的資安弱點。在深耕超過十年後,市場需求日漸清晰。
「我認為我們正處於一個市場轉變的時期。」史密斯表示,一方面,攻擊朝下層突進;另一方面,VPN、防火牆等邊緣裝置也成為入侵的弱點。不只是大銀行、聯邦政府要擔心這類攻擊,一般企業、零售商店也可能成為攻擊目標。
目前Eclypsium的主要市場仍在美國。但由於亞洲是硬體製造重鎮,也很早就開始投資亞洲,預計將在新加坡建立新的測試中心。
史密斯預期,未來一大成長動能來自物聯網與智慧邊緣裝置,初期在亞洲爆發的市場衝勁可能比北美更強。從智慧攝影機到智慧紅綠燈,未來愈多裝置需要聯網、進行AI運算,可被攻擊的範圍就愈大。
例如正在全速前進的AI機器人,史密斯直言,「它們被做得愈聰明,裡面的軟體愈多,可被攻擊的方式就愈多。」隨著人工智慧融入各種硬體,各種裝置都需要晶片與韌體,也都會成為資安的攻擊面。資安產業的未來幾乎是「無所不在」。
他認為,「美國製造」不太可能把所有製造環節拉回本土,關鍵在於提升供應鏈的信任強度。台灣企業已經證明自己能以實惠的價格提供高品質的硬體,但透過技術手段提出可驗證的證據,有助於深化供應鏈合作關係。
在兆級美元的AI算力競賽中,各方都在爭搶智慧機器落地的市場大餅。安全性時常不是最先被考慮的要務,卻愈來愈是不能妥協的底限。「硬體信任」可能是智慧機器時代可靠性的地基,也可以是台廠強化自身品牌的要素。
