文章总结： 本文解读TC260-PG-20261A人工智能加速芯片安全功能技术规范，涵盖硬件固件等七大维度的基本级与增强级要求，明确安全启动、可信根及TEE等机制，并提供对应测评验证方法，旨在为芯片设计开发与安全评估提供系统性支撑及合规参考。 综合评分： 88 文章分类： 技术标准,AI安全

TC260-PG-20261A人工智能加速芯片安全功能技术规范

原创

weyanxy weyanxy

微言晓意

2026年1月15日 22:20 北京

《网络安全标准实践指南——人工智能加速芯片安全功能技术规范》（V1.0-202601）由全国网络安全标准化技术委员会秘书处发布，适用于人工智能加速芯片的设计、开发、应用及安全评估检测认证。

规范围绕硬件安全、接口安全、固件安全、安全存储单元、密码技术机制、故障检测与诊断、数据保护七个核心安全维度，明确了基本级和增强级的具体安全要求，同时提供了“要求-方法”一一对应的测评流程，为芯片研制单位、测评机构及使用方提供了系统性的安全技术支撑与合规参考。

该技术规范对人工智能加速芯片的固件安全提出了哪些核心要求？这些要求如何通过测评验证？

核心要求包括：①无6个月前权威漏洞库（CNNVD/CNVD/CVE等）公布的高危漏洞，且建立漏洞响应与恢复机制；②具备固件备份和恢复机制；③提供升级校验（完整性、来源真实性）；④防回滚；⑤安全启动（校验固件与引导程序）；⑥基于硬件可信根的完整性度量。

测评验证方式：①用工具扫描漏洞+审查制度文件；②模拟固件损坏/篡改，验证恢复能力；③篡改固件测试升级+查验数字签名；④尝试低版本固件升级；⑤篡改固件/引导程序测试启动+查验签名；⑥审查技术文件+验证度量值获取与对比。

该规范中“增强级”安全要求与“基本级”的核心区别是什么？增强级在硬件安全维度新增了哪些关键要求？

答案：核心区别：基本级满足基础安全防护需求，增强级是更高安全标准，新增要求以“加粗” 字体标注，覆盖更全面的安全风险场景。增强级在硬件安全维度新增的关键要求：①基于硬件可信根生成身份证书，支撑安全接入认证；②抵抗计时分析、能量分析等侧信道攻击；③抵抗电压、频率、温度等故障注入攻击（基本级仅包含唯一标识、无远程控制 2 项要求）。

规范对人工智能加速芯片的数据保护提出了哪些硬性要求？如何确保这些要求落地？

硬性要求：①预置受硬件保护的根密钥；②支持基于根密钥派生密钥，加密保护模型、数据集等敏感数据；③提供硬件可信执行环境，保障内存中数据的机密性与完整性。

落地保障措施：①测评时验证根密钥不可修改、导出，且密文无法在其他设备解密；②验证根密钥可调用进行加解密操作；③通过操作系统层、物理探针等攻击面测试，确认可信执行环境外无法获取明文数据。

*▼▼规范核心特点*

• 体系化:构建了覆盖芯片硬件、固件、接口、数据全链条的“要求-方法”一一对应的技术规范体系。
• 焦点明确:将硬件可信根、侧信道与故障注入防护、可信执行环境（TEE）作为增强芯片内生安全的核心技术支柱。
• 风险导向:直接应对人工智能加速芯片面临的关键安全威胁，如模型窃取、数据泄露、恶意篡改等。
• 实操性强:测评方法包含文档审查、实操验证和攻击测试，为安全评估提供了具体可操作的指南。
• 分级管理:安全要求分为“基本级”和“增强级”（增强级要求在文档中以加粗字体表示），满足不同安全需求的场景。

该技术规范是全国首个系统性地针对人工智能加速芯片安全功能提出的权威指南。它不仅是芯片设计、制造和测评的“安全标尺”，也为AI算力基础设施的采购、部署和运营提供了关键的安全评估依据，对保障我国人工智能产业底层算力安全具有重要的指导意义。

关注公众号后台回复“20250115”获取下载链接，或扫描下方二维码加入知识星球下载：

「微言晓意」ima知识库包含各类网络安全资料5100+，扫描下方二维码免费加入：

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：微言晓意 weyanxy weyanxy《TC260-PG-20261A人工智能加速芯片安全功能技术规范》