本报讯 （记者 吕扬）5月25日，记者从西北工业大学获悉：该校科研团队在RISC-V SonicBOOM处理器设计中发现中危漏洞。这是国内首个自主发现的RISC-V处理器设计上可远程利用的中危漏洞，也是国内首个处理器硬件安全领域国家重点研发计划项目——纳米级芯片硬件综合安全评估关键技术研究的重要进展。近日，国家计算机网络应急技术处理协调中心专题报道了这项成果。

处理器是各类计算系统的硬件核心和算力基座，也是网络空间安全的最后一道关口。2018年“熔断”和“幽灵”类漏洞爆出以来，处理器安全成为备受国内外关注的热点前沿研究方向。RISC-V处理器设计被视为我国芯片自主设计的一次弯道超车机会。截至2022年末，我国大约有50款不同型号的国产RISC-V芯片投入量产，在工业控制、电源管理等嵌入式场景被广泛应用，并且正在向自动驾驶、人工智能等领域快速拓展。

RISC-V处理器设计中如果存在漏洞，攻击者就可能利用漏洞绕过现代处理器和操作系统设计的安全保护机制，无须管理员权限即可远程窃取受保护的敏感信息，造成关键数据和个人隐私泄露。因此，发现并杜绝漏洞成为网络安全研究的重大课题。

此次漏洞的发现由西工大网络空间安全学院胡伟教授带领吴怡冰、高亦菲、唐时博等团队成员完成。相关部门评估认为，该漏洞潜在的危害程度、评分值和可利用性，均超过国内漏洞数据库已收录的同类漏洞。

胡伟教授团队长期从事芯片设计安全方面的研究工作，形成了智能化、形式化、标准化、自动化的芯片设计安全检测与评估技术体系，有效突破了高隐蔽性、安全脆弱性检测难题，成为国内芯片安全研究领域的优势团队。近年来，团队主持预研重点项目、国家重点研发计划课题、国家自然科学基金重点项目20余项；研发芯片设计安全验证及脆弱性挖掘工具，并在国内重要信息研发单位的自主芯片设计安全分析中成功应用；研究成果获省部级科技奖励3项。