机密计算的核心理念是将信任边界从云服务提供商下放到硬件层面,使租户能够在不可信的基础设施上运行敏感工作负载。AMD SEV-SNP(Secure Encrypted Virtualization-Secure Nested Paging)作为这一领域的重要实现,通过硬件级隔离保护机密虚拟机(CVM)的内存免受 hypervisor 窥探。然而,USENIX Security 2026 发表的 Fabricked 研究揭示了一个令人警醒的事实:芯片内部的互联架构 —— 而非 CPU 核心本身 —— 可能成为突破这些安全保证的关键通道。
从 Chiplet 架构到动态配置风险
现代 AMD 处理器采用 Chiplet 设计,将 CPU 核心、内存控制器、I/O die 等组件制造在独立的硅片上,通过 Infinity Fabric 高速互联。这种架构在提升制造良率的同时,也引入了复杂的片上通信需求。Infinity Fabric 负责跨组件的一致性数据传输、内存路由和地址映射,其配置必须在每次启动时根据具体平台动态完成。
关键的设计决策在于:AMD 将部分 Infinity Fabric 配置职责委托给主板固件(UEFI/BIOS)。在机密计算的威胁模型中,UEFI 被明确视为不可信 —— 它由云服务提供商控制,攻击者可能对其进行恶意修改。Fabricked 攻击正是利用了这一架构层面的信任错位。
攻击技术路径:从 UEFI 操控到 RMP 失效
Fabricked 的攻击链条展现了微架构级别漏洞的精密性。首先,攻击者修改 UEFI 固件,跳过本应锁定 Infinity Fabric 配置的 API 调用。这一操作使 Infinity Fabric 在 SEV-SNP 激活后仍保持可配置状态,为后续攻击奠定基础。
第二阶段发生在 SEV-SNP 初始化过程中。AMD Platform Security Processor(PSP)作为片上安全协处理器,负责建立 RMP(Reverse Map Table,反向映射表)—— 这是强制执行 CVM 内存访问控制的核心数据结构。PSP 需要将 RMP 初始化数据写入 DRAM,而这些写操作同样通过 Infinity Fabric 路由。
攻击者在此关键时刻介入:通过重新配置 Infinity Fabric 的路由规则,将 PSP 发往 DRAM 的写操作重定向至无效地址或直接丢弃。结果是 RMP 保持未初始化状态,保留由恶意 hypervisor 预设的不安全默认值。当受害者随后启动 CVM 时,RMP 的访问控制机制形同虚设,hypervisor 获得对 CVM 内存空间的任意读写能力。
攻击特征与影响评估
Fabricked 具有几个值得关注的特征。作为纯软件攻击,它不需要物理访问、故障注入或 CVM 内部代码执行,成功率达到 100%。攻击影响 Zen 3、Zen 4 和 Zen 5 世代的 EPYC 处理器,已被分配 CVE-2025-54510。
需要明确的是,该攻击仅在机密计算场景下构成威胁。对于非机密 VM,hypervisor 和 UEFI 本身就在信任边界内,Fabricked 不提供额外的攻击能力。这符合 AMD 定义的 SEV-SNP 威胁模型:保护租户数据免受云提供商窥探,而非防范外部入侵者。
同一研究团队还发现了 BreakFAST 攻击(IEEE S&P 2026),两者同属 XCA(Interconnect Corruption Attacks,互联损坏攻击)家族。BreakFAST 针对 I/O crossbar 组件,将 PSP 读写重定向至 Control Fabric,使攻击者能够控制部分控制平面。Fabricked 则聚焦 IOMS(I/O Memory Services),通过丢弃 PSP 写操作破坏完整性保护。两种攻击展示了互联架构作为攻击面的系统性风险。
防御实践与配置参数
针对此类互联层攻击,防御策略需要在固件层、初始化验证和补丁管理三个维度展开。
固件锁定策略:确保 UEFI 正确调用 Infinity Fabric 锁定 API,防止启动后配置被篡改。这需要在固件代码审查中重点关注 Fabric 初始化序列,验证锁定指令的不可绕过性。
初始化验证机制:在 SEV-SNP 初始化完成后,通过独立通道验证 RMP 等关键数据结构的完整性。可以考虑引入基于硬件的初始化证明(attestation)扩展,覆盖互联配置状态。
补丁管理清单:
- 确认系统固件已更新至包含 AMD-SB-3034 补丁的版本
- 验证 PSP 固件版本符合安全公告要求
- 对于多租户环境,建立固件完整性监控,检测 UEFI 未经授权的修改
- 在启用 SEV-SNP 前,执行平台安全配置基线检查
更广泛的启示
Fabricked 揭示了一个深层问题:硬件安全机制的有效性不仅取决于其设计,还依赖于配置时序和周边组件的正确行为。Infinity Fabric 作为 "中间层" 基础设施,其配置权限的分配直接影响了上层安全保证的可靠性。
这一发现对机密计算生态具有警示意义。随着 TEE(可信执行环境)技术向 Arm CCA、Intel TDX 等平台扩展,类似的互联架构风险需要得到同等关注。事实上,Intel 已在内部发现相关漏洞(INTEL-SA-00960),表明这不是 AMD 特有的问题,而是芯片级安全架构设计的共性挑战。
对于部署机密计算的基础设施运营者而言,Fabricked 强调了供应链安全的重要性 —— 从固件完整性到补丁时效性,每个环节都可能成为安全边界的关键支点。
参考来源:
- Fabricked 研究论文(USENIX Security 2026):https://xca-attacks.github.io/fabricked/
- AMD 安全公告 AMD-SB-3034:https://www.amd.com/en/resources/product-security/bulletin/amd-sb-3034.html
内容声明:本文无广告投放、无付费植入。
如有事实性问题,欢迎发送勘误至 i@hotdrydog.com。