在數(shù)據(jù)如潮水般涌動的數(shù)字時(shí)代，如何確保敏感信息在處理與存儲過程中的可靠性，不僅關(guān)系到企業(yè)的核心資產(chǎn)，更是維護(hù)業(yè)務(wù)穩(wěn)定、保障生態(tài)可信、實(shí)現(xiàn)可持續(xù)創(chuàng)新的關(guān)鍵前提。機(jī)密計(jì)算（Confidential Computing）應(yīng)運(yùn)而生，它在硬件層面構(gòu)建一道“隱形”防線，讓數(shù)據(jù)即使在被使用的狀態(tài)下也免受窺探。然而，再堅(jiān)固的堡壘，也需要不斷的檢視與加固。

近日，英特爾與谷歌披露，雙方共同對英特爾可信域拓展（Intel Trust Domain Extensions，TDX）1.5展開聯(lián)合可靠性審查成果。此次深度協(xié)作不僅精準(zhǔn)識別出5項(xiàng)已被英特爾快速修復(fù)的關(guān)鍵漏洞，以及35項(xiàng)亟待改進(jìn)的缺陷和建議，更通過高效聯(lián)動的修復(fù)機(jī)制，進(jìn)一步強(qiáng)化了TDX技術(shù)的核心可靠性，為機(jī)密計(jì)算生態(tài)的健康發(fā)展注入強(qiáng)勁動力。

技術(shù)升級：從TDX 1.0到1.5的復(fù)雜演進(jìn)

為強(qiáng)化機(jī)密計(jì)算技術(shù)的可靠性，針對英特爾TDX技術(shù)的審查工作持續(xù)深化，尤其聚焦于自TDX 1.0以來的版本迭代，重點(diǎn)覆蓋TDX 1.5版本帶來的一系列重要變革。該版本新增“實(shí)時(shí)遷移”（Live Migration）、“可信域分區(qū)”（Trust Domain Partitioning）等關(guān)鍵功能，大幅拉近了機(jī)密計(jì)算能力與傳統(tǒng)虛擬化解決方案的差距，而這一切優(yōu)化的前提，離不開機(jī)密計(jì)算的核心價(jià)值——最小化可信計(jì)算基（TCB）。TCB的完整性需經(jīng)嚴(yán)苛驗(yàn)證，加之現(xiàn)代系統(tǒng)日趨復(fù)雜，持續(xù)的可靠性評估與協(xié)同優(yōu)化已成為必然要求。

此外，功能的提升往往伴隨著復(fù)雜性的飆升：TDX 1.5模塊固件新增34,862行代碼，其中超8,000行專用于元數(shù)據(jù)與狀態(tài)管理，這無疑進(jìn)一步擴(kuò)展了TCB的邊界?？紤]到TCB作為機(jī)密計(jì)算可靠性的核心，任何微小漏洞都可能引發(fā)災(zāi)難性后果，因此雙方團(tuán)隊(duì)選擇在TDX 1.5公開發(fā)布后、云服務(wù)提供商大規(guī)模采用前的2025年春秋季窗口期，啟動了本次評估工作。

隨著新功能持續(xù)引入，TCB邊界不斷擴(kuò)展，“可靠性”已成為需動態(tài)評估的變量，持續(xù)審查也因此成為唯一可行路徑。協(xié)同審查能夠在漏洞被利用前完成修復(fù)，同時(shí)有效提升技術(shù)棧對最終用戶的可觀測性與透明度。

抽絲剝繭，團(tuán)隊(duì)高效協(xié)同

為在龐大的代碼海洋中捕獲潛在的威脅，谷歌與英特爾 INT31 團(tuán)隊(duì)從項(xiàng)目伊始便建立了高效且緊密聯(lián)動的協(xié)作機(jī)制：雙方共享問題跟蹤平臺，并保持每周同步會議，同時(shí)在日常協(xié)作中實(shí)時(shí)同步進(jìn)度、驗(yàn)證技術(shù)認(rèn)知、反饋漏洞問題、確認(rèn)修復(fù)效果，形成“發(fā)現(xiàn)—評估—修復(fù)—驗(yàn)證”的閉環(huán)。這種緊密聯(lián)動的合作模式，為審查工作的高效推進(jìn)提供了有力保障。

此外，審查團(tuán)隊(duì)采取了多維度的策略：雙方對 TDX 1.0 以來所有 API 變更進(jìn)行了系統(tǒng)性審查，并輔以集成靜態(tài)分析工具；團(tuán)隊(duì)還開發(fā)了專為 Python 定制的實(shí)驗(yàn)框架 TDXplore，用于探索復(fù)雜邏輯流和邊緣場景，如同在數(shù)字迷宮中點(diǎn)亮了一盞盞探照燈。在這場高智力密度的工作中，AI 也扮演了重要角色——團(tuán)隊(duì)巧妙運(yùn)用 Gemini 2.5 Pro 與 NotebookLM 解析繁冗的技術(shù)規(guī)范、協(xié)助復(fù)雜分析，極大提升了審查效率和精度。

項(xiàng)目尾聲，英特爾迅速為漏洞分配 CVE 編號，并與谷歌攜手制定負(fù)責(zé)任披露時(shí)間表；考慮到客戶需要足夠時(shí)間進(jìn)行測試、認(rèn)證并將修復(fù)成功部署到其基礎(chǔ)設(shè)施中，最終公開披露期限由常見的約90天延長至約180天，體現(xiàn)了對用戶負(fù)責(zé)、對機(jī)密計(jì)算可靠性的深度承諾。

修復(fù)漏洞，成效顯著

這場“把每個角落都翻一遍”的細(xì)致排查，最終迎來了極具價(jià)值的成果。雙方團(tuán)隊(duì)不僅識別出5項(xiàng)關(guān)鍵漏洞，且英特爾已針對這些漏洞完成了修復(fù)，還像給系統(tǒng)加上“多道門鎖”一樣，針對35項(xiàng)其他技術(shù)薄弱環(huán)節(jié)，提出針對性改進(jìn)意見。

而其中最引人注目、也最具警示意義的，是研究揭示的一個關(guān)鍵漏洞——CVE-2025-30513。

這是一個可能允許未經(jīng)授權(quán)的操作者“徹底瓦解TDX可靠性保障”的嚴(yán)重漏洞。簡而言之，它利用了TOCTOU（Time-of-Check to Time-of-Use）的檢測時(shí)序漏洞，能夠在遷移過程中，將一個原本安全的“可遷移TD”悄然轉(zhuǎn)化為“可調(diào)試TD”。一旦觸發(fā)，主機(jī)即可完全訪問解密后的TD狀態(tài)，甚至可以利用這些敏感信息重新構(gòu)建TD或進(jìn)行實(shí)時(shí)監(jiān)控。而由于遷移可以在TD生命周期中的任何時(shí)間點(diǎn)發(fā)生，這意味著即使機(jī)密虛擬機(jī)（CVM）已完成嚴(yán)格驗(yàn)證，數(shù)據(jù)也可能因此被暴露。

這一關(guān)鍵漏洞的定位，主要得益于審查后期的大范圍靜態(tài)分析與 TDXplore 工具包的深度使用；而前期的 API 審計(jì)則像先繪制“生命周期地圖”，為識別 TDX 模塊 TD 生命周期管理中的缺陷補(bǔ)齊了必要的技術(shù)語境。綜合分析表明：TD 的 op_state 有限狀態(tài)機(jī)（FSM）跟蹤機(jī)制、導(dǎo)入活動可能被中斷的場景，以及故障發(fā)生后 TD 狀態(tài)變更與修復(fù)邏輯之間存在關(guān)鍵銜接缺口，漏洞由此產(chǎn)生。而隨著漏洞被修復(fù)，用戶的數(shù)據(jù)也將被再加上一道“安全防線”。

展望未來：持續(xù)迭代，與生態(tài)合作

此次聯(lián)合審查既是一次高強(qiáng)度的技術(shù)協(xié)作，也是整個行業(yè)對機(jī)密計(jì)算重視的體現(xiàn)。在 TDX 1.5 加速落地、功能與場景持續(xù)擴(kuò)展的背景下，持續(xù)開展聯(lián)合審查并開放共享階段性成果，將成為應(yīng)對復(fù)雜性提升、夯實(shí)高特權(quán)組件可靠性與推動生態(tài)穩(wěn)健演進(jìn)的重要路徑。面向未來，英特爾將繼續(xù)秉持開放協(xié)作理念，迭代優(yōu)化TDX能力，深化與生態(tài)伙伴的聯(lián)動，共同筑牢機(jī)密計(jì)算的可信底座。