【導讀】隨著技術迭代帶來的功能增強與代碼復雜度的指數級上升,尤其是英特爾可信域拓展(TDX)1.5版本引入實時遷移等關鍵特性后,最小化可信計算基(TCB)的完整性面臨前所未有的挑戰。面對這一嚴峻形勢,科技巨頭英特爾與谷歌,于2025年關鍵期啟動了深度的聯合可靠性審查。此次行動不僅是對TDX 1.5新增近3.5萬行代碼的一次“全身CT掃描”,更是行業首次通過高度協同的“發現—評估—修復—驗證”閉環機制,在漏洞被惡意利用前主動構筑防御工事。
技術升級:從TDX 1.0到1.5的復雜演進
為強化機密計算技術的可靠性,針對英特爾TDX技術的審查工作持續深化,尤其聚焦于自TDX 1.0以來的版本迭代,重點覆蓋TDX 1.5版本帶來的一系列重要變革。該版本新增“實時遷移”(Live Migration)、“可信域分區”(Trust Domain Partitioning)等關鍵功能,大幅拉近了機密計算能力與傳統虛擬化解決方案的差距,而這一切優化的前提,離不開機密計算的核心價值——最小化可信計算基(TCB)。TCB的完整性需經嚴苛驗證,加之現代系統日趨復雜,持續的可靠性評估與協同優化已成為必然要求。
此外,功能的提升往往伴隨著復雜性的飆升:TDX 1.5模塊固件新增34,862行代碼,其中超8,000行專用于元數據與狀態管理,這無疑進一步擴展了TCB的邊界。考慮到TCB作為機密計算可靠性的核心,任何微小漏洞都可能引發災難性后果,因此雙方團隊選擇在TDX 1.5公開發布后、云服務提供商大規模采用前的2025年春秋季窗口期,啟動了本次評估工作。
隨著新功能持續引入,TCB邊界不斷擴展,“可靠性”已成為需動態評估的變量,持續審查也因此成為唯一可行路徑。協同審查能夠在漏洞被利用前完成修復,同時有效提升技術棧對最終用戶的可觀測性與透明度。
抽絲剝繭,團隊高效協同
為在龐大的代碼海洋中捕獲潛在的威脅,谷歌與英特爾 INT31 團隊從項目伊始便建立了高效且緊密聯動的協作機制:雙方共享問題跟蹤平臺,并保持每周同步會議,同時在日常協作中實時同步進度、驗證技術認知、反饋漏洞問題、確認修復效果,形成“發現—評估—修復—驗證”的閉環。這種緊密聯動的合作模式,為審查工作的高效推進提供了有力保障。
此外,審查團隊采取了多維度的策略:雙方對 TDX 1.0 以來所有 API 變更進行了系統性審查,并輔以集成靜態分析工具;團隊還開發了專為 Python 定制的實驗框架 TDXplore,用于探索復雜邏輯流和邊緣場景,如同在數字迷宮中點亮了一盞盞探照燈。在這場高智力密度的工作中,AI 也扮演了重要角色——團隊巧妙運用 Gemini 2.5 Pro 與 NotebookLM 解析繁冗的技術規范、協助復雜分析,極大提升了審查效率和精度。
項目尾聲,英特爾迅速為漏洞分配 CVE 編號,并與谷歌攜手制定負責任披露時間表;考慮到客戶需要足夠時間進行測試、認證并將修復成功部署到其基礎設施中,最終公開披露期限由常見的約90天延長至約180天,體現了對用戶負責、對機密計算可靠性的深度承諾。
修復漏洞,成效顯著
這場“把每個角落都翻一遍”的細致排查,最終迎來了極具價值的成果。雙方團隊不僅識別出5項關鍵漏洞,且英特爾已針對這些漏洞完成了修復,還像給系統加上“多道門鎖”一樣,針對35項其他技術薄弱環節,提出針對性改進意見。
而其中最引人注目、也最具警示意義的,是研究揭示的一個關鍵漏洞——CVE-2025-30513。
這是一個可能允許未經授權的操作者“徹底瓦解TDX可靠性保障”的嚴重漏洞。簡而言之,它利用了TOCTOU(Time-of-Check to Time-of-Use)的檢測時序漏洞,能夠在遷移過程中,將一個原本安全的“可遷移TD”悄然轉化為“可調試TD”。一旦觸發,主機即可完全訪問解密后的TD狀態,甚至可以利用這些敏感信息重新構建TD或進行實時監控。而由于遷移可以在TD生命周期中的任何時間點發生,這意味著即使機密虛擬機(CVM)已完成嚴格驗證,數據也可能因此被暴露。
這一關鍵漏洞的定位,主要得益于審查后期的大范圍靜態分析與 TDXplore 工具包的深度使用;而前期的 API 審計則像先繪制“生命周期地圖”,為識別 TDX 模塊 TD 生命周期管理中的缺陷補齊了必要的技術語境。綜合分析表明:TD 的 op_state 有限狀態機(FSM)跟蹤機制、導入活動可能被中斷的場景,以及故障發生后 TD 狀態變更與修復邏輯之間存在關鍵銜接缺口,漏洞由此產生。而隨著漏洞被修復,用戶的數據也將被再加上一道“安全防線”。
總結
此次合作的價值遠超漏洞修復本身:它確立了一種由芯片廠商與云服務商深度綁定的新型安全協作范式,即通過共享工具鏈(如TDXplore)、引入AI輔助分析以及延長負責任披露周期,將安全左移至架構設計與代碼演進的最前端。隨著TDX 1.5在修補后正式邁向大規模商用,這場“把每個角落都翻一遍”的極致排查,不僅消除了實時遷移場景下的致命隱患,更為整個行業樹立了透明度與責任感的新標桿。
